POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH z dnia 25.05.2018 r. w Kamil Bełz BUSINESS CONSULTING
Wstęp
Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego
oraz postanowienia rozporządzenia Parlamentu Europejskiego i Rady (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) w celu zastosowania
środków technicznych i organizacyjnych zapewniających ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną, a w szczególności zabezpieczenia danych przed
ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia
oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się
następujący zestaw procedur.
Rozdział 1 – Postanowienia ogólne
1. Ilekroć w dokumencie jest mowa o:
rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub
możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
możliwa do zidentyfikowania osoba fizyczna to osoba, którą można
bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie
identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o
lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
zbiorze danych – rozumie się przez to uporządkowany zestaw danych
osobowych dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony
funkcjonalnie lub geograficznie;
przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji
wykonywanych na danych osobowych lub zestawach danych osobowych w
sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie,
utrwalanie, organizowanie, porządkowanie,przechowywanie, adaptowanie lub
modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie
poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
systemie informatycznym – rozumie się przez to zespół współpracujących
ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi
programowych zastosowanych w celu przetwarzania danych;
zabezpieczeniu danych w systemie informatycznym – rozumie się przez
to wdrożenie i eksploatację stosownych środków technicznych i
organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym
przetwarzaniem;
usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub
taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której
dane dotyczą;
administratorze danych – rozumie się przez to osobę fizyczną lub prawną,
organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie
z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i
sposoby takiego przetwarzania są określone w prawie Unii lub w prawie
państwa członkowskiego, to również w prawie Unii lub w prawie państwa
członkowskiego może zostać wyznaczony administrator lub mogą zostać
określone konkretne kryteria jego wyznaczania;
zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne,
świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą,
w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala
na przetwarzanie dotyczących jej danych osobowych;
odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ
publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe,
niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą
otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z
prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane
za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
państwie trzecim – rozumie się przez to państwo nienależące do
Europejskiego Obszaru Gospodarczego;
środkach technicznych i organizacyjnych – należy przez to rozumieć
środki techniczne i organizacyjne niezbędne dla zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych osobowych;
ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie
przechowywanych danych osobowych w celu ograniczenia ich przyszłego
przetwarzania;
profilowaniu – oznacza to dowolną formę zautomatyzowanego
przetwarzania danych osobowych, które polega na wykorzystaniu danych
osobowych do oceny niektórych czynników osobowych osoby fizycznej, w
szczególności do analizy lub prognozy aspektów dotyczących efektów pracy
tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji,
zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
pseudonimizacji – oznacza to przetworzenie danych osobowych w taki
sposób, by nie można ich było już przypisać konkretnej osobie, której dane
dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie
dodatkowe informacje są przechowywane osobno i są objęte środkami
technicznymi i organizacyjnymi uniemożliwiającymi ich
przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ
publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w
imieniu administratora;
naruszeniu ochrony danych osobowych – oznacza to naruszenie
bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem
zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych,
przechowywanych lub w inny sposób przetwarzanych.
Rozdział 2 – Administrator danych
1. Administrator danych w szczególności:
wdraża środki techniczne i organizacyjne, uwzględniające charakter, zakres,
kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie i wadze zagrożenia oraz
umożliwiające przetwarzanie danych zgodnie z rozporządzeniem. Środki te
są w razie potrzeby poddawane przeglądom i uaktualniane, prowadzi rejestr czynności przetwarzania danych osobowych, w przypadku gdy ten obowiązek ma zastosowanie, wyznacza Inspektora Ochrony Danych (IOD), w razie zaistnienia przesłanek określonych w rozporządzeniu.
Rozdział 3 – Środki techniczne i organizacyjne
1) Celem ochrony danych spełniono wymogi, określone w rozporządzeniu, w
szczególności:
▪ 1) przeprowadzono ocenę skutków dla ochrony danych zgodnie z
załącznikiem nr 1, przeprowadzono analizę ryzyka w stosunku do
zasobów biorących udział w poszczególnych procesach, dopuszczono
do przetwarzania danych osobowych wyłącznie osoby upoważnione
przez administratora danych,
▪ 2) zawarto umowy powierzenia przetwarzania danych zgodnie ze
wzorem stanowiącym załącznik nr 3, 2) została opracowana i wdrożona
niniejsza polityka bezpieczeństwa.
2. W celu zapewnienia ochrony danych osobowych stosuje się następujące
środki ochrony fizycznej danych osobowych:
▪ 1) zbiory danych osobowych przechowywane są w pomieszczeniu
zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nieprzeciwpożarowymi);
▪ 2) zbiory danych osobowych przechowywane są w pomieszczeniu
zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30
min; zbiory danych osobowych przechowywane są w pomieszczeniu
zabezpieczonym drzwiami o podwyższonej odporności na włamanie –
drzwi klasy C;
▪ 3) zbiory danych osobowych przechowywane są w pomieszczeniu, w
którym okna zabezpieczone są za pomocą krat, rolet lub folii
antywłamaniowej;
▪ 4) pomieszczenia, w którym przetwarzane są zbiory danych osobowych
wyposażone są w przeciwwłamaniowy system alarmowy;
▪ 5) dostęp do pomieszczeń, w których przetwarzane są zbiory danych
osobowych, objęty jest systemem kontroli dostępu;
▪ 6) dostęp do pomieszczeń, w których przetwarzane są zbiory danych
osobowych, kontrolowany jest przez system monitoringu z
zastosowaniem kamer przemysłowych;
▪ 7) dostęp do pomieszczeń, w których przetwarzane są zbiory danych
osobowych, jest w czasie nieobecności zatrudnionych tam pracowników
nadzorowany przez służbę ochrony;
▪ 8) dostęp do pomieszczeń, w których przetwarzane są zbiory danych
osobowych, przez całą dobę jest nadzorowany przez służbę ochrony; zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej niemetalowej szafie;
▪ 9) zbiory danych osobowych w formie papierowej przechowywane są w
zamkniętej metalowej szafie;
▪ 10) zbiory danych osobowych w formie papierowej przechowywane są
w zamkniętym sejfie lub kasie pancernej;
▪ 11) kopie zapasowe/archiwalne zbiorów danych osobowych
przechowywane są w zamkniętej niemetalowej szafie;
▪ 12) kopie zapasowe/archiwalne zbiorów danych osobowych
przechowywane są w zamkniętej metalowej szafie;
▪ 13) kopie zapasowe/archiwalne zbiorów danych osobowych
przechowywane są w zamkniętym sejfie lub kasie pancernej;
▪ 14) zbiory danych osobowych przetwarzane są w kancelarii tajnej,
prowadzonej zgodnie z wymogami określonymi w odrębnych
przepisach;
▪ 15) pomieszczenia, w których przetwarzane są zbiory danych
osobowych, zabezpieczone są przed skutkami pożaru za pomocą
systemu przeciwpożarowego i/lub wolnostojącej gaśnicy;
▪ 16) dokumenty zawierające dane osobowe po ustaniu przydatności są
niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
3. W celu ochrony danych osobowych stosuje się następujące środki
sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
▪ 1) komputery służące do przetwarzania danych osobowych nie są
połączone z lokalną siecią komputerową;
▪ 2) zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną
sieć elektroenergetyczną, chroniące system informatyczny służący do
przetwarzania danych osobowych przed skutkami awarii zasilania;
▪ 3) dostęp do zbioru danych osobowych, który przetwarzany jest na
wydzielonej stacji komputerowej/komputerze przenośnym,
zabezpieczony został przed nieautoryzowanym uruchomieniem za
pomocą hasła BIOS;
▪ 4) dostęp do systemu operacyjnego komputera, w którym przetwarzane
są dane osobowe, zabezpieczony jest za pomocą procesu
uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz
hasła;
▪ 5) dostęp do systemu operacyjnego komputera, w którym przetwarzane
są dane osobowe, zabezpieczony jest za pomocą procesu
uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN
lub tokena;
▪ 6) dostęp do systemu operacyjnego komputera, w którym przetwarzane
są dane osobowe, zabezpieczony jest za pomocą procesu
uwierzytelnienia z wykorzystaniem technologii biometrycznej;
▪ 7) zastosowano środki uniemożliwiające wykonywanie
nieautoryzowanych kopii danych osobowych przetwarzanych przy
użyciu systemów informatycznych;
▪ 8) zastosowano systemowe mechanizmy wymuszający okresową
zmianę haseł;
▪ 9) zastosowano system rejestracji dostępu do systemu/zbioru danych
osobowych;
▪ 10) zastosowano środki kryptograficznej ochrony danych dla danych
osobowych przekazywanych drogą teletransmisji;
▪ 11) dostęp do środków teletransmisji zabezpieczono za pomocą
mechanizmów uwierzytelnienia;
▪ 12) zastosowano procedurę oddzwonienia (callback) przy transmisji
realizowanej za pośrednictwem modemu;
▪ 13) zastosowano macierz dyskową w celu ochrony danych osobowych
przed skutkami awarii pamięci dyskowej;
▪ 14) zastosowano środki ochrony przed szkodliwym oprogramowaniem,
takim jak np. robaki, wirusy, konie trojańskie, rootkity;
▪ 15) użyto system Firewall do ochrony dostępu do sieci komputerowej;
▪ 16) użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
4. Celem zapewnienia ochrony danych osobowych stosuje się następujące
środki ochrony w ramach narzędzi programowych i baz danych:
▪ 1) wykorzystano środki pozwalające na rejestrację zmian
wykonywanych na poszczególnych elementach zbioru danych
osobowych;
▪ 2) zastosowano środki umożliwiające określenie praw dostępu do
wskazanego zakresu danych w ramach przetwarzanego zbioru danych
osobowych;
▪ 3) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z
wykorzystaniem identyfikatora użytkownika oraz hasła;
▪ 4) dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy
użyciu karty procesorowej oraz kodu PIN lub tokena;
▪ 5) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z
wykorzystaniem technologii biometrycznej;
▪ 6) zastosowano systemowe środki pozwalające na określenie
odpowiednich praw dostępu do zasobów informatycznych, w tym
zbiorów danych osobowych dla poszczególnych użytkowników systemu
informatycznego;
▪ 7) zastosowano mechanizm wymuszający okresową zmianę haseł
dostępu do zbioru danych osobowych;
▪ 8) zastosowano kryptograficzne środki ochrony danych osobowych;
▪ 9) zainstalowano wygaszacze ekranów na stanowiskach, na których
przetwarzane są dane osobowe;
▪ 10) zastosowano mechanizm automatycznej blokady dostępu do
systemu informatycznego służącego do przetwarzania danych
osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
5. W celu ochrony danych osobowych stosuje się następujące środki
organizacyjne:
▪ 1) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione
z przepisami dotyczącymi ochrony danych osobowych;
▪ 2) przeszkolono osoby zatrudnione przy przetwarzaniu danych
osobowych w zakresie zabezpieczeń systemu informatycznego;
▪ 3) osoby zatrudnione przy przetwarzaniu danych osobowych
obowiązane zostały do zachowania ich w tajemnicy;
▪ 4) monitory komputerów, na których przetwarzane są dane osobowe,
ustawione są w sposób uniemożliwiający wgląd osobom postronnym w
przetwarzane dane;
▪ 5) kopie zapasowe zbioru danych osobowych przechowywane są w
innym pomieszczeniu niż to, w którym znajduje się serwer, na którym
dane osobowe przetwarzane są na bieżąco.
Rozdział 4 – Procedura DPIA (Data Protection Impact Assessment)
1. Każdorazowy właściciel procesu wskazany przez administratora danych
przeprowadza ocenę skutków dla ochrony danych osobowych (DPIA) na
podstawie arkusza stanowiącego załącznik nr 1 do niniejszej umowy.
2. DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu
przetwarzania danych osobowych, polegającej m.in. na zmianie dostawcy
usług, zmianie sposobu przetwarzania danych, wymianie zasobów biorących
udział w procesie.
3. DPIA jest przeprowadzana wraz z analizą ryzyka nie rzadziej niż raz w
roku w stosunku do procesów, które w wyniku poprzednio przeprowadzonego
DPIA wykazały wysokie ryzyko dla praw i wolności osób, których dane
dotyczą.
Rozdział 5 – Procedura analizy ryzyka i plan postępowania z ryzykiem
1. Każdorazowy właściciel procesu wskazany przez administratora danych
lub administrator danych samodzielnie przeprowadza analizę ryzyka dla
zasobów biorących udział w procesach.
2. Właściciel procesu lub administrator danych przeprowadza analizę ryzyka
nie rzadziej niż raz w roku. Przeprowadzona analiza ryzyka stanowi podstawę
do aktualizacji sposobu postępowania z ryzykiem.
3. Właściciel procesu lub administrator danych samodzielnie wdrażają, w
oparciu o wyniki przeprowadzonej analizy ryzyka, sposoby postępowania z
ryzykiem.
4. Każdorazowo administrator danych wybiera sposób postępowania z
ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako
pierwsze.
Rozdział 6 – Procedura współpracy z podmiotami zewnętrznymi
1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego
poprzedzane jest zawarciem umowy powierzenia przetwarzania danych
osobowych zgodnie z załącznikiem nr 2.
2. Administrator danych weryfikuje zgodność z rozporządzeniem wszystkich
podmiotów przetwarzających, z których usług korzysta lub ma zamiar
skorzystać z listy kontrolnej. Weryfikacja następuje nie rzadziej niż raz w roku
oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania
danych osobowych.
Rozdział 7 – Procedura domyślnej ochrony danych
1. Administrator danych realizując zamiar rozpoczęcia przetwarzania danych
osobowych w nowym procesie, przeprowadza DPIA w stosunku do tego
procesu.
2. Administrator danych tworząc nowy produkt lub usługę uwzględnia prawa
osób, których dane dotyczą, na każdym strategicznym etapie jego
projektowania i wdrażania.
Rozdział 8 – Procedura zarządzania incydentami
1. Administrator danych weryfikuje każdy przypadek potencjalnego ryzyka
naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem
danych osobowych.
2. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób
fizycznych w związku z przetwarzaniem danych osobowych, administrator
danych zawiadamia o tym fakcie organ nadzorczy niezwłocznie, jednak nie
później niż w ciągu 72 godzin od identyfikacji naruszenia.
3. Administrator danych zawiadamia osoby, których dane dotyczą, w
przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem
naruszenia ich praw lub wolności. Konieczność zawiadomienia osób, których
dane dotyczą, nie zachodzi, jeżeli administrator danych zastosował środki
eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww.
naruszenia.
4. Administrator danych dokumentuje naruszenia, które skutkują naruszeniem
praw i wolności osób fizycznych.
Rozdział 9 – Procedura realizacji praw osób
1. Administrator danych rozpatruje indywidualnie każde zgłoszenie przez
osobę, której dane dotyczą, woli skorzystania z praw określonych w
rozporządzeniu.
2. Administrator danych niezwłocznie realizuje następujące prawa osób,
których dane dotyczą:
▪ 1) prawo dostępu do danych,
▪ 2) prawo do sprostowania danych,
▪ 3) prawo do usunięcia danych,
▪ 4) prawo do przenoszenia danych,
▪ 5) prawo do sprzeciwu wobec przetwarzania danych,
▪ 6) prawo do niepodlegania decyzjom oparty wyłącznie na profilowaniu.
3. Administrator danych niezwłocznie informuje odbiorców danych, którym
udostępnił dane osobowe o realizacji prawa do sprostowania, usunięcia i
ograniczenia przetwarzania danych, chyba że jest to niemożliwe albo
wymaga podjęcia niewspółmiernie dużego wysiłku.
4. Administrator danych odmawia realizacji praw osób, których dane dotyczą,
jeżeli możliwość taka wynika z przepisów rozporządzenia. Każda odmowa
realizacji praw osób, których dane dotyczą, wymaga podania uzasadnienia z
powołaniem podstawy prawnej wynikającej z rozporządzenia.
Rozdział 10 – Procedura odbierania zgód oraz informowania osób
1. Administrator danych informuje osobę, której dane dotyczą, o każdym
przypadku pobierania danych, zgodnie z załącznikiem nr 3.
2. Administrator danych informuje osobę, której dane dotyczą o każdym
przypadku pobierania danych z innych źródeł której dane dotyczą.
Przedmiotowa informacja jest przekazywana niezwłocznie, jednak nie później
niż przy pierwszym kontakcie z osobą, której dane dotyczą, zgodnie z
załącznikiem nr 3.
3. Administrator danych korzysta z klauzul zgody, według wzorów zawartych
w załączniku nr 3 w każdym przypadku odbierania zgody od osoby, której
dane dotyczą.
Rozdział 11 – Postanowienia końcowe
1. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane
przez osoby upoważnione do przetwarzania danych osobowych ze
szczególnym uwzględnieniem dobra osób, których dane te dotyczą.
2. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez
administratora danych.
Załączniki:
– Arkusz DPIA (załącznik nr 1),
– Umowa powierzenia przetwarzania danych osobowych (załącznik nr 2)
– Przykładowe klauzule (załącznik nr 3)