Polityka Bezpieczeństwa

Polityka Bezpieczeństwa

Wstęp

Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego oraz postanowienia rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się następujący zestaw procedur.

Kierownictwo Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Łapach, zwanego dalej „Zakładem” świadome wagi problemów związanych z ochroną prawa do prywatności, w szczególności prawa osób fizycznych powierzających Zakładowi swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklaruje zamiar:

  1. podejmowania działań niezbędnych dla ochrony praw związanych z bezpieczeństwem danych osobowych;
  2. stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Zakładzie w zakresie problematyki bezpieczeństwa tych danych;
  3. traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania;
  4. podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.

Kierownictwo Zakładu deklaruje, że będzie stale doskonaliło i rozwijało organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom związanym z/ze:

  1. infekcjami wirusów i koni trojańskich, które instalując się na komputerze mogą wykradać zasoby tego komputera (zarówno stacjonarne jak i sieciowe);
  2. spamem, posiadającym niekiedy programy pozwalające wykradać zasoby komputera;
  3. dostępem do stron internetowych, na części których zainstalowane są skrypty pozwalające wykradać zasoby komputera;
  4. ogólnie dostępnymi komunikatorami internetowymi, w których występują luki, przez które można uzyskać dostęp do komputera;
  5. użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza Zakład;
  6. możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki;
  7. możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane;
  8. lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez zabezpieczenia;
  9. brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy;
  10. atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery);
  11. działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści;
  12. kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone;

Rozdział 1

Postanowienia ogólne (definicje)

§ 1.  Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Zakładzie dotyczy danych osobowych przetwarzanych w zbiorach danych:

  1. tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych;
  2. w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

§ 2. Ilekroć w dokumencie jest mowa o:

  1. rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  2. danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  3. zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  4. przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  5. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
  6. zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
  7. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
  8. administratorze danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
  9. zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
  10. odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
  11. państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
  12. środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;
  13. ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
  14. profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  15. pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  16. podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  17. naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Rozdział 2

Administrator danych

§  3.  Administrator danych w szczególności:

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. Jeżeli obowiązek ten ma zastosowanie – prowadzi rejestr czynności przetwarzania.
  3. Jeżeli obowiązek ten ma zastosowanie – wyznacza Inspektora Ochrony Danych (IOD).

Rozdział 3

Środki techniczne i organizacyjne

§ 4. W celu ochrony danych spełniono wymogi, o których mowa w rozporządzeniu, w szczególności:

  1. przeprowadzono ocenę skutków dla ochrony danych zgodnie z załącznikiem nr 1,
  2. przeprowadzono analizę ryzyka w stosunku do zasobów biorących udział w poszczególnych procesach zgodnie z załącznikiem nr 2,
  3. do przetwarzania danych zostały dopuszczone wyłącznie osoby upoważnione przez administratora danych na podstawie upoważnienia zgodnie z załącznikiem nr 5;
  4. Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych, systemach informatycznych
  5. Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa
  6. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie – załącznik nr 9
  7. Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia
  8. Administrator (Inspektor Ochrony Danych) prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych. Ewidencja ma charakter pomocniczy i nie jest wymagana przepisami RODO ale to tzw. Dobra praktyka, załącznik nr 6.
  9. zawarto umowy powierzenia przetwarzania danych zgodnie z załącznikiem nr 3;
  10. została opracowana i wdrożona niniejsza polityka bezpieczeństwa.

§ 5. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:

  1. zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min;
  2. zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie – drzwi klasy C;
  3. zbiory danych osobowych przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej;
  4. pomieszczenia, w którym przetwarzane są zbiory danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy;
  5. zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej niemetalowej szafie;
  6. zbiory danych osobowych w formie papierowej przechowywane są w zamkniętym sejfie lub kasie pancernej;
  7. pomieszczenia, w których przetwarzane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy;
  8. dokumenty zawierające dane osobowe po ustaniu przydatności są przekazywane do firmy zajmującej się niszczenie dokumentów.

§ 6. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

  1. zastosowano urządzenia typu UPS, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania;
  2. dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
  3. zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł;
  4. zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych;
  5. dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia;
  6. zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej;
  7. zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity;
  8. użyto system Firewall do ochrony dostępu do sieci komputerowej;
  9. zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe;
  10. zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
  11. monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;

§ 7. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:

  1. wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych;
  2. zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych;
  3. dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
  4. zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego;
  5. zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych;
  6. kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.

§ 8. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

  1. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych;
  2. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;
  3. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
  4. Upoważnieni pracownicy są zobowiązani do stosowania tzw. „Polityki czystego biurka”, czyli na zabezpieczaniu (zamykaniu) dokumentów oraz nośników np. w szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem osób nieupoważnionych po godzinach pracy lub podczas ich nieobecności w trakcie godzin pracy.
  5. Upoważnieni pracownicy zobowiązani są do niszczenia dokumentów i wydruków w niszczarkach lub utylizacji ich w specjalnych bezpiecznych pojemnikach z przeznaczeniem do bezpiecznej utylizacji.
  6. Zabrania się pozostawiania    dokumentów z danymi osobowymi poza zabezpieczonymi pomieszczeniami, np. w korytarzach, na kserokopiarkach, drukarkach, w pomieszczeniach konferencyjnych
  7. Zabrania się wyrzucania niezniszczonych dokumentów na śmietnik lub porzucania ich na zewnątrz, np., na terenach publicznych miejskich lub w lesie.
  8. Dane osobowe wynoszone poza organizację muszą być zaszyfrowane (szyfrowane dyski, zabezpieczone hasłem pliki)
  9. Należy zapewnić bezpieczne przewożenie dokumentacji papierowej w plecakach, teczkach
  10. Należy korzystać ze sprawdzonych firm kurierskich
  11. W przypadku, gdy dokumenty przewozi pracownik, zobowiązany jest do zabezpieczenia przewożonych dokumentów przed zagubieniem i kradzieżą
  12. W sytuacji przekazywania nośników z danymi osobowymi poza obszar organizacji można stosować następujące zasady bezpieczeństwa:
    1. dane przed wysłaniem powinny zostać zaszyfrowane a hasło podane adresatowi inną drogą
    1. stosować bezpieczne koperty depozytowe
  13. Zabrania się wynoszenia poza obszar organizacji wymiennych nośników informacji a w szczególności twardych dysków z zapisanymi danymi osobowymi i pendrive bez zgody administratora danych.

Rozdział 4

Procedura DPIA

(Data Protection Impact Assessment)

§ 9. Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych z wykorzystaniem załącznika nr 1.

§ 10. DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu przetwarzania danych osobowych, np. zmiana dostawcy usług, zmiana sposobu przetwarzania danych, wymiana zasobów biorących udział w procesie.

§ 11. DPIA jest przeprowadzana wraz z analizą ryzyka nie rzadziej niż raz w roku w stosunku do procesów, które w wyniku poprzednio przeprowadzonego DPIA wykazały wysokie ryzyko dla praw i wolności osób, których dane dotyczą.

Rozdział 5

Procedura analizy ryzyka i plan postępowania z ryzykiem

§ 12. Analizę ryzyka dla zasobów biorących udział w procesach przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych lub administrator danych samodzielnie z wykorzystaniem załącznika nr 2.

§ 13. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz w roku i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.

§ 14. Na podstawie wyników przeprowadzonej analizy ryzyka, wskazani przez administratora danych właściciele procesów lub administrator danych samodzielnie wdrażają sposoby postępowania z ryzykiem.

§ 15. Każdorazowo administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.

§ 16. Administrator danych nie może zlekceważyć ryzyk, których wartość przekracza 6 punktów zgodnie z załącznikiem nr 2 lub ryzyka w stosunku do zasobu, biorącego udział w procesie wysokiego ryzyka zgodnie z wynikiem DPIA zgodnie z załącznikiem nr 1.

Rozdział 6

Procedura współpracy z podmiotami zewnętrznymi

§ 17. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych zgodnie z załącznikiem nr 3.

§ 18. Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta lub ma zamiar skorzystać z wykorzystaniem listy kontrolnej.

Rozdział 7

Procedura domyślnej ochrony danych

§ 19. Administrator danych w przypadku zamiaru rozpoczęcia przetwarzania danych osobowych w nowym procesie przeprowadza DPIA w stosunku do tego procesu.

§ 20. W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania.

Rozdział 8

Procedura zarządzania incydentami

§ 21. W każdym przypadku naruszenia ochrony danych osobowych administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

§ 22. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia.

§ 23. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.

§ 24. Administrator danych dokumentuje incydenty oraz naruszenia, które skutkują naruszeniem praw i wolności osób fizycznych, załącznik nr 7.

§ 25. Minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

  1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego (lub jeśli jest powołany – Inspektora Ochrony Danych).
  2. Do typowych podatności bezpieczeństwa danych osobowych należą:
  3. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
  4. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych.
  5. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
  6. Do typowych incydentów bezpieczeństwa danych osobowych należą:
  7. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności).
  8. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych)
  9. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadom zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
  10. W przypadku stwierdzenia wystąpienia incydentu, Administrator (lub w przypadku powołania – IOD) prowadzi postępowanie wyjaśniające w toku, którego:
  11. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki
  12. inicjuje ewentualne działania dyscyplinarne
  13. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu
  14. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
  15. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze – patrz załącznik nr 7, Formularz rejestracji incydentu.
  16. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych.
  17. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

Rozdział 8

Procedura realizacji praw osób

§ 26. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą, woli skorzystania z praw przewidzianych w rozporządzeniu administrator danych rozpatruje indywidualnie.

§ 27. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:

  1. prawo dostępu do danych,
  2. prawo do sprostowania danych,
  3. prawo do usunięcia danych,
  4. prawo do przenoszenia danych,
  5. prawo do sprzeciwu wobec przetwarzania danych,
  6. prawo do niepodlegania decyzjom oparty wyłącznie na profilowaniu.

§ 28. W przypadku realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych administrator danych niezwłocznie informuje odbiorców danych, którym udostępnił on przedmiotowe dane, chyba że jest to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

§ 29. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów rozporządzenia, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.

Rozdział 9

Procedura odbierania zgód oraz informowania osób

§ 30. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, administrator danych informuje osobę, której dane dotyczą, zgodnie z załącznikiem nr 4.

§ 31. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą,  administrator danych informuje osobę, której dane dotyczą, niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą, zgodnie z załącznikiem nr 4.

  • W telefonicznej – osoba zostaje telefonicznie poinformowana
  • Internetowa/email

§ 32. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z klauzul zgody zgodnie z załącznikiem nr 4.

Rozdział 10

Zasady bezpiecznego korzystania z technologii informatycznych

§ 33. Zasady bezpiecznego użytkowania sprzętu IT, dysków, programów

  1. W przypadku, gdy użytkownik przetwarzający dane osobowe korzysta ze sprzętu IT zobowiązany jest do jego zabezpieczenia przed zniszczeniem lub uszkodzeniem. Za sprzęt IT rozumie się: komputery stacjonarne, monitory, drukarki, skanery, ksera, laptopy, służbowe tablety i smartfony.
  2. Użytkownik jest zobowiązany zgłosić zagubienie, utratę lub zniszczenie powierzonego mu Sprzętu IT.
  3. Samowolne instalowanie otwieranie (demontaż) Sprzętu IT, instalowanie dodatkowych urządzeń (np. twardych dysków, pamięci) do lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.
  4. Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym (np. klientom, pracownikom innych działów) wglądu do danych wyświetlanych na monitorach komputerowych – tzw. Polityka czystego ekranu.
  5. Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wywołać blokowany hasłem wygaszacz ekranu (WINDOWS + L) lub wylogować się z systemu bądź z programu.
  6. Po zakończeniu pracy, użytkownik zobowiązany jest:
    1. wylogować się z systemu informatycznego, a jeśli to wymagane – następnie wyłączyć sprzęt komputerowy
    1. zabezpieczyć stanowisko pracy, w szczególności wszelkie nośniki magnetyczne i optyczne na których znajdują się dane osobowe
  7. Użytkownik jest zobowiązany do usuwania plików z nośników/dysków do których mają dostęp inni użytkownicy   nieupoważnieni   do   dostępu   do   takich   plików   (np. podczas współużytkowania komputerów).
  8. Jeśli użytkownik jest uprawniony do niszczenia nośników, powinien trwale zniszczyć sam nośnik lub trwale usunąć z niego dane (np. zniszczenie płyt DVD w niszczarce, zniszczenie twardego dysku, pendrive młotkiem/wiertarką).
  9. Użytkownicy   nie   mogą  wynosić   na   zewnątrz  organizacji   wymiennych   elektronicznych   nośników informacji  z zapisanymi  danymi  osobowymi  bez zgody Pracodawcy / Zleceniodawcy.  Do takich nośników zalicz się: wymienne dyski twarde, pen-drivy, płyty CD, DVD, karty pamięci.
  10. Dane osobowe wynoszone  poza obszar dokumentacji  na  nośnikach  elektronicznych muszą być zaszyfrowane.

§ 34. Zarządzanie uprawnieniami – procedura rozpoczęcia, zawieszenia i zakończenia pracy:

  1. Każdy użytkownik (np. komputera stacjonarnego, laptopa, dysku sieciowego, programów w których użytkownik pracuje, poczty elektronicznej) musi posiadać swój własny indywidualny identyfikator (login) do logowania się.
  2. Tworzenie kont użytkowników wraz z uprawnieniami (np. komputera stacjonarnego, laptopa, dysku sieciowego, programów w których użytkownik pracuje, poczty elektronicznej) odbywa się na polecenie przełożonych a wykonywane przez informatyków-administratorów.
  3. Użytkownik nie może samodzielnie zmieniać swoich uprawnień (np. zostać administratorem Windows na swoim komputerze).
  4. Każdy użytkownik musi posiadać indywidualny identyfikator. Zabronione jest umożliwianie innym osobom pracy na koncie innego użytkownika
  5. Zabrania się pracy wielu użytkowników na wspólnym koncie.
  6. Użytkownik (np. komputera stacjonarnego, laptopa, dysku sieciowego,   programów w których użytkownik pracuje, poczty elektronicznej) rozpoczyna pracę z użyciem identyfikatora i hasła.
  7. Użytkownik jest zobowiązany do powiadomienia informatyków-administratorów o próbach logowania się do systemu osoby nieupoważnionej, jeśli system to sygnalizuje.
  8. W przypadku, gdy użytkownik podczas próby załogowania się trwale zablokuje system, zobowiązany jest powiadomić o tym informatyków-administratorów.
  9. Przed   czasowym   opuszczeniem   stanowiska   pracy,   użytkownik   zobowiązany jest   wywołać blokowany hasłem wygaszacz ekranu lub wylogować się z systemu. Jeżeli tego nie uczyni, po upływie 1 minut system automatycznie aktywuje wygaszacz.
  10. Zabrania się uruchamiania jakiejkolwiek aplikacji lub programu na prośbę innej osoby, o ile nie została ona zweryfikowana jako pracownik działu  informatyki. Dotyczy to zwłaszcza programów przesłanych za pomocą poczty elektronicznej lub wskazanych w formie odnośnika internetowego.
  11. Po zakończeniu pracy, użytkownik zobowiązany jest:
    1. wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy.
    1. zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki magnetyczne i optyczne, na których znajdują się dane osobowe.

§ 35. Polityka haseł

  1. Hasła powinny składać się z minimum 8 znaków.
  2. Hasła powinny zawierać duże litery, małe litery, cyfry (lub znaki specjalne).
  3. Hasła nie mogą być łatwe do odgadnięcia. Nie powinny być powszechnie używanymi słowami. Zabrania się definiowania haseł, w których jeden człon pozostaje niezmienny, a drugi zmienia się według przewidywalnego wzorca (np. Xxx0l, Xxx02 itp.). Nie powinno się też stosować haseł, w których któryś z członów stanowi imię, nazwę lub numer miesiąca lub inny możliwy do odgadnięcia klucz.
  4. Hasła nie powinny być ujawnianie innym osobom. Nie należy zapisywać haseł na kartkach i w notesach, nie naklejać na monitorze komputera, nie trzymać pod klawiaturą lub w szufladzie.
  5. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności.
  6. W przypadku ujawnienia hasła – należy natychmiast je zmienić.
  7. Hasła muszą być zmieniane, co 30 dni. Jeżeli system nie wymusza zmiany haseł, użytkownik zobowiązany jest do samodzielnej zmiany hasła.
  8. Zabrania się używania w serwisach internetowych takich samych lub podobnych haseł jak w systemie komputerowym firmy.
  9. Zabrania się stosowania tego samego hasła jako zabezpieczenia w dostępie do różnych systemów.

§ 36. Polityka korzystania z Internetu

  1. Użytkownik zobowiązany jest do korzystania z Internetu wyłącznie w celach służbowych.
  2. Użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie instalowane z Internetu.
  3. Zabrania się zgrywania na dysk twardy komputera oraz uruchamia jakichkolwiek   programów nielegalnych oraz plików pobranych z niewiadomego źródła. Pliki takie powinny być ściągane tylko za każdorazową zgodą osoby upoważnionej do administrowania infrastrukturą informatyczną i tylko w uzasadnionych przypadkach
  4. Zabrania się wchodzenia na strony, na których prezentowane są informacje o   charakterze przestępczym, hackerskim, pornograficznym, lub innym zakazanym przez prawo.
  5. Nie   należy   w   opcjach   przeglądarki   internetowej   włączać   opcji   autouzupełniania   formularzy i zapamiętywania haseł.
  6. W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę, należy zwracać uwagę na pojawienie się ikonki kłódki, oraz adresu www rozpoczynającego się frazą „https:”. Dla pewności należy „kliknąć” na ikonkę kłódki i sprawdzić, czy właścicielem certyfikatu jest wiarygodny właściciel.
  7. Należy zachować szczególną ostrożność w przypadku logowania się na strony bankowości elektronicznej, czy też mail, w przypadkach gdzie występuje prośba o podanie numeru PIN i hasła lub numerów kart płatniczych. Szczególnie tyczy się to żądania podania takich informacji przez rzekomy bank.
  8. Zabrania się samowolnego podłączania do komputerów modemów, telefonów komórkowych i innych urządzeń dostępowych nienależących ( a także nie będących częścią umowy) do firmowy. Zabronione jest też łączenie się przy pomocy takich urządzeń z Internetem w chwili, gdy komputer użytkownika podłączony jest do sieci firmowej.

§ 37. Polityka korzystania z poczty elektronicznej

  1. Przesyłanie danych osobowych z użyciem maila poza organizację może odbywać się tylko przez osoby do tego upoważnione.
  2. W przypadku przesyłania danych osobowych poza organizację należy wysyłać pliki zaszyfrowane/spakowane i chronione hasłem, gdzie hasło powinno być przesłane do odbiorcy telefonicznie lub przez SMS. Przykładowe programy: 7-zip, winzip, winrar.
  3. W przypadku zabezpieczenia plików hasłem, obowiązuje minimum 8 znaków: duże i małe litery, cyfry lub znaki specjalne, a hasło należy przesłać inną drogą np. telefonicznie lub przez SMS.
  4. Użytkownicy powinni zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu.
  5. Zaleca się, aby użytkownik podczas przesyłania danych osobowych mailem zawarł w treści prośbę o potwierdzenie otrzymania i zapoznania się z informacją przez adresata
  6. Zaleca się stosować NAJWYŻSZĄ ostrożność lub nie otwierać załączników przesłanych drogą mailową.
  7. Zaleca się stosować NAJWYŻSZĄ ostrożność lub nie „klikać” na hiperłącze (hyperlinki) w mailach, gdyż mogą to być hiperłącza do niebezpiecznych stron.
  8. Należy zgłaszać informatykowi przypadki podejrzanych email.
  9. Podczas  wysyłania   maili   do  wielu   adresatów jednocześnie,   należy  użyć     metody  „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie maili do wielu adresatów z użyciem opcji „Do wiadomości”.
  10. Użytkownicy powinni okresowo archiwizować niepotrzebne maile.
  11. Maił służbowy jest przeznaczony wyłącznie do wykonywania obowiązków służbowych i nie służy do rozsyłania „niezawodowych” email.
  12. Zakazuje się wysyłania korespondencji służbowej na prywatne skrzynki pocztowe pracowników lub innych osób.
  13. Użytkownicy mają prawo korzystać z poczty mailowej dla celów prywatnych wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum.
  14. Zabrania   się   użytkownikom   poczty   elektronicznej   konfigurowania   swoich   kont   pocztowych   do automatycznego przekierowywania wiadomości na inny adres.
  15. Przy korzystaniu z maila, Użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego.
  16. Użytkownicy  nie  mają  prawa  korzystać z  maila  w celu  rozpowszechniania  treści  o charakterze obraźliwym, niemoralnym lub niestosownym wobec powszechnie    obowiązujących zasad postępowania.
  17. Użytkownik bez zgody Pracodawcy / Zleceniodawcy nie ma prawa wysyłać wiadomości zawierających dane osobowe dotyczące Pracodawcy / Zleceniodawcy, jego pracowników, klientów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.

§ 38.    Ochrona antywirusowa

  1. Użytkownicy zobowiązani  są do skanowania  plików wprowadzanych z    zewnętrznych  nośników programem antywirusowym.
  2. Zakazane jest wyłączanie systemu antywirusowego podczas pracy systemu informatycznego przetwarzającego dane osobowe.
  3. W przypadku stwierdzenia zainfekowania systemu lub pojawienia się podejrzanych komunikatów, użytkownik zobowiązany jest poinformować niezwłocznie o tym fakcie Informatyka lub osobę upoważnioną.

Rozdział 11

Postanowienia końcowe

§ 31. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.

§ 32. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez administratora danych.

Załączniki:

Załącznik nr 1 – Arkusz DPIA – Ocena skutków przetwarzania danych osbowych

Załącznik nr 2 – Arkusz analizy ryzyka

Załącznik nr 3 – Umowa powierzenia przetwarzania danych osobowych

Załącznik nr 4 – Przykładowe klauzule

Załącznik nr 5 – Upoważnienie do przetwarzania danych osobowych

Załącznik nr 6 – Ewidencja osób upoważnionych

Załącznik nr 7 – Formularz rejestracji incydentu

Załącznik nr 8 – Rejestr czynności przetwarzania danych osobowych

Załącznik nr 9 – Wzór upoważnienia do nadawania/modyfikowania/odbierania uprawnień

Wstęp

Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego oraz postanowienia rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się następujący zestaw procedur.