Instrukcja wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym programu partnerskiego/lojalnościowego.

Transkrypt

1 Instrukcja wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym programu partnerskiego/lojalnościowego. Dziękujemy za skorzystanie z oferty oraz dołączenie do szerokiego grona użytkowników serwisu e-regulaminy.pl. Jesteśmy przekonani, że nasza współpraca będzie przebiegała pomyślnie dla obu stron, a jakość świadczonych usług zaowocuje bezpieczeństwem prawnym Państwa e-biznesu. Przygotowanie wewnętrznej dokumentacji ochrony danych osobowych to jedno z podstawowych zadań każdego Administratora Danych. Niniejsza Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym jest kompleksowym opracowaniem zagadnienia przetwarzania i ochrony danych osobowych. W jej ramach należy ująć gdzie i w jaki sposób operuje się na danych w całym przedsiębiorstwie. Poniżej przedstawiamy praktyczne informacje dotyczące uzupełnienia informacji i wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. W pierwszej kolejności prosimy o zapoznanie się z całym dokumentem, który wyjaśnia podstawowe pojęcia oraz definiuje system. Coś pozostaje dla Państwa niejasne? Zachęcamy do kontaktu. Pozostajemy do Państwa dyspozycji! 1 S t r o n a

2 WSTĘP Słowniczek: ABI Administrator Bezpieczeństwa Informacji, będący wyznaczoną przez Administratora Danych Osobowych osobą nadzorującą stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. ADO Administrator Danych Osobowych, będący organem, jednostką organizacyjną, podmiotem lub osobą fizyczną, decydujący o celach i środkach przetwarzania danych osobowych (np. jednoosobowa działalność gospodarcza, spółka, fundacja). ASI Administrator Systemu Informatycznego, będący wyznaczoną przez Administratora Danych Osobowych osobą odpowiedzialną za prawidłowe funkcjonowanie sprzętu, oprogramowania i ich konserwację, w zakresie wskazanym przez ADO. Modele organizacji. Istnieją dwa modele organizacji przetwarzania i ochrony danych osobowych: 1. Bez powołania Administratora Bezpieczeństwa Informacji (ABI). W tym przypadku Administrator Danych Osobowych (ADO) sam odpowiedzialny jest za właściwe, zgodne z prawem, w tym z normami ustawy o ochronie danych osobowych, zorganizowanie procesu przetwarzania danych osobowych. Wiąże się z tym m.in. obowiązek zgłoszenia wszystkich zbiorów danych do rejestru GIODO (oraz dokonywania aktualizacji w momencie zaistnienia jakiś zmian). Jest to rozwiązanie lepsze dla jednoosobowych działalności gospodarczych, małych przedsiębiorstw, gdyż nie trzeba powoływać specjalnej osoby, która nadzorowałaby przetwarzanie danych oraz realizowała obowiązki, o których poniżej. 2. Powołanie Administratora Bezpieczeństwa Informacji. ADO może powołać ABIego i zlecić mu zadania związane z nadzorowaniem przetwarzania i ochroną danych osobowych. ABIm może zostać osoba, która: a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; b) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; c) nie była karana za umyślne przestępstwo. Do wewnętrznych zadań ABI należy: a) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, 2 S t r o n a

3 nadzorowanie opracowania i aktualizowania Polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; b) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (w związku z czym ADO nie musi zgłaszać do rejestracji zbiorów zwykłych danych osobowych). Zadaniem zewnętrznym jest dokonanie sprawdzenia i sprawozdania na żądanie GIODO. Powołanie ABI ma szansę sprawdzić się przede wszystkim w dużych podmiotach, przetwarzających wiele zbiorów danych osobowych (zwykłych i wrażliwych), które często się zmieniają. Po powołaniu ABI nie trzeba zgłaszać do GIODO zbiorów danych zwykłych. Jeżeli przedsiębiorstwo zatrudnia wielu pracowników odciąży on ADO w zakresie wdrażania osób, wydawania upoważnień oraz nadzoru. ABI jest również swoistego rodzaju buforem między podmiotem a GIODO. W obu przypadkach ADO może powołać również ASIego, który odpowiedzialny będzie za funkcjonowanie systemów informatycznych. Jeżeli przedsiębiorstwo zatrudnia informatyka to warto go formalnie wpisać w system i uporządkować jego obowiązki. JAK UZUPEŁNIĆ DOKUMANTACJĘ? 1. Należy określić, który z powyższych modeli będzie wdrażany w państwa przedsiębiorstwie: a) jeżeli nie będziemy powoływać ABIego to należy z dokumentów usunąć elementy oznaczone żółtym zakreśleniem; b) jeżeli nie będziemy powoływać ASIego to należy z dokumentów usunąć elementy oznaczone zielonym zakreśleniem; c) jeżeli będziemy powoływać ABIego i/lub ASIego należy pozostawić przepisy zakreślone na żółto i/lub zielono (oczywiście likwidując zakreślenia). Oczywiście każda firma może odmiennie określić zakres zadań ABIego i/lub ASIego oraz dowolnie kształtować system uprawnień niniejsza dokumentacja powstała w oparciu o najczęściej wdrażane rozwiązania. 2. Należy wypełnić brakujące w dokumentacji dane, w oparciu o poniższe wytyczne. A. Strona tytułowa. 3 S t r o n a Polityka Bezpieczeństwa Należy uzupełnić dane Administratora Danych Osobowych. B. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane dane osobowe (strona 19). Określając obszar przetwarzania danych osobowych należy pamiętać, iż zgodnie z ustawą o ochronie danych osobowych, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,

4 zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno miejsca, w których wykonuje się operacje na danych osobowych (wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacja papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, skrytki bankowe, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Należy również pamiętać o firmach, którym powierzyliśmy dane osobowe (np. zewnętrzna księgowość), to też jest obszar przetwarzania danych osobowych. Najlepiej jak najdokładniej określić miejsca, ale jeżeli firma mieści się w całym budynku to GIODO dopuszcza wskazanie tylko tego jednego adresu. C. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (strona 20). Ważnym elementem identyfikacji przetwarzanych zasobów informacyjnych jest wskazanie nazw zbiorów danych oraz systemów informatycznych używanych do ich przetwarzania. Stąd też oprócz wskazania obszaru przetwarzania danych, polityka bezpieczeństwa powinna identyfikować zbiory danych osobowych oraz systemy informatyczne używane do ich przetwarzania. W przypadku, gdy system zbudowany jest z wielu modułów programowych i moduły te mogą pracować niezależnie np. mogą być instalowane na różnych stacjach komputerowych, wówczas wskazanie systemu powinno być wykonane z dokładnością do poszczególnych jego modułów. Należy zauważyć również, iż jeden program może przetwarzać dane zawarte w jednym zbiorze jak i wielu zbiorach danych osobowych. Sytuacja może być również odwrotna, kiedy to wiele różnych programów przetwarza dane, stanowiące jeden zbiór danych osobowych. Programy te to najczęściej moduły zintegrowanego systemu. Każdy taki moduł dedykowany jest do wykonywania określonych, wydzielonych funkcjonalnie zadań. Przykładem, może być system kadrowy oraz system płacowy, które często występują jako jeden zintegrowany system kadrowo - płacowy. Kluczem jest prawidłowa identyfikacja zbiorów danych osobowych oraz programów do przetwarzania danych (wszelkie aplikacje służące do przetwarzania danych, np. aplikacje webowe, systemy CRM, aplikacje kadrowo-płacowe). Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych, każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Poszczególne zbiory wyróżnia się ze względu na CEL przetwarzania. Mimo, iż mamy jedną bazę danych, może ona zawierać kilka różnych zbiorów danych osobowych. Najczęściej spotykanymi zbiorami danych osobowych przetwarzanymi przez e-przedsiębiorców są: 4 S t r o n a zbiór danych osobowych klientów sklepu internetowego; zbiór danych osobowych użytkowników serwisu internetowego; zbiór danych osób, które złożyły reklamacje; zbiór danych osobowych uczestników konkursu/promocji; zbiór danych osobowych użytkowników aplikacji mobilnej; zbiór danych kontrahentów;

5 zbiór danych osób uczestniczących w programie partnerskim/lojalnościowym; zbiór danych osób, które zapisały się na Newsletter; zbiór danych osób, które skorzystały z formularzy kontaktowych na stronie internetowej; zbiór danych wykorzystywanych w celach marketingowych; zbiór danych osób, które oceniły produkt/firmę poprzez stronę internetową. Przykład jak należy uzupełniać tabelę: Lp. Nazwa zbioru oraz lokalizacja miejsca, w którym znajdują się zbiory danych osobowych Forma prowadzenia zbioru. Programy i narzędzia użyte Rejestracja w GIODO przy przetwarzaniu oraz lokalizacja programó(tak/nie) (modułów programowych) używanych do ich przetwarzania 1. Zbiór danych osobowych uczestników programu partnerskiego/lojalnościowego Lokalizacja: Warszawa, ul. Przykładowa 4/5 Zbiór przetwarzany w systemie informatycznym i w wersji papierowej. Programy: KOTT, oprogramowanie biurowe (Word, Excel). Lokalizacja programów: stanowisko komputerowe w pokoju 15, ul. Przykładowa 4/5 TAK 2. Zbiór danych osobowych przetwarzanych w związku z zatrudnieniem Lokalizacja: Warszawa, ul. Przykładowa 4/5 Zbiór przetwarzany w systemie informatycznym i w wersji papierowej. Programy: KOTT, Płatnik, oprogramowanie biurowe (Word, Exel) Lokalizacja programów: stanowiska komputerowe w pokoju 12 i 13, ul. Przykładowa 4/5, Warszawa NIE Wykaz zwolnień z obowiązku rejestracji zbiorów danych GIODO znajduje się w Polityce Bezpieczeństwa na stronie 11 (na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych). 5 S t r o n a

6 C. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi (strona 21). Przykład jak należy uzupełniać tabelę: Nazwa zbioru Dane osobowe zawarte w zbiorze Sposób pozyskiwania danych Kategorie powiązań danych Zbiór danych osobowych uczestników programu partnerskiego/ lojalnościowego Imię i nazwisko Adres zamieszkania/dostawy Adres Nr telefonu Nr zamówienia NIP adres IP Numer konta, itd. Od osób, których dane dotyczą Dane są powiązane ze sobą w kategoriach: - zbiór danych osobowych użytkowników składających reklamacje, - zbór danych osób, które zapisały się na newsletter. Zbiór danych osobowych przetwarzanych w związku z zatrudnieniem Zakres przetwarzanych danych osobowych jest zgodny z Kodeksem Pracy i wynikającymi z niego rozporządzeniami (najlepiej wymienić) Od osób, których dane dotyczą brak D. Opis sposobu przepływu danych pomiędzy systemami (strona 21). W punkcie tym należy przedstawić sposób współpracy pomiędzy różnymi systemami informatycznymi oraz relacje, jakie istnieją pomiędzy danymi zgromadzonymi w zbiorach, do przetwarzania których systemy te są wykorzystywane. Przedstawiając przepływ danych można posłużyć się zaproponowaną tabelą, ale również np. opisem słownym czy schematami, które wskazują, z jakimi zbiorami danych system lub moduł systemu współpracuje, czy przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest jednokierunkowy np. informacje pobierane są tylko do odczytu, czy dwukierunkowy (do odczytu i do zapisu). W sposobie przepływu danych pomiędzy poszczególnymi systemami należy zamieścić również informacje o danych, które przenoszone są pomiędzy systemami w sposób manualny (przy wykorzystaniu zewnętrznych nośników danych) lub półautomatycznie za pomocą teletransmisji (przy wykorzystaniu specjalnych funkcji eksportu/importu danych), wykonywanych w określonych odstępach czasu. Taki przepływ danych występuje np. często pomiędzy systemami Kadrowym i Płacowym oraz pomiędzy systemami Kadrowym, Płacowym a systemem Płatnik służącym do rozliczeń pracowników z ZUS. 6 S t r o n a

7 Przykładowy schemat: Przykładowy opis słowny: Dane osobowe wprowadzone są przez uczestnika programu lub upoważnionego pracownika firmy do systemu informatycznego. Dane wprowadzane są następnie ręcznie do bazy danych uczestników konkursu w Programie XXX. Z bazy danych dane osobowe w formie pliku xls eksportowane są do programu księgowego XXX oraz programu sprzedażowego XXX. Przykładowe wypełnienie tabeli: Zakres przesyłanych danych Nazwa systemu lub podmiotu I Nazwa systemu lub podmiotu II Kierunek przepływu danych osobowych* Sposób przesyłania danych osobowych** Zbiór danych osobowych uczestników programu partnerskiego/lojalnościowego (wymienić przesyłane dane) System/Program Sprzedaży XXX Program finansowy XXX jednokierunkowo manualnie Zbiór danych kadrowych i płacowych (wymienić przesyłane dane) System/Program Kadrowy XXX System/Program Płacowy XXX jednokierunkowo automatycznie 7 S t r o n a

8 Dla GIODO nie ma znaczenia forma sporządzenia opisu przepływu między systemami (programami informatycznymi), w których przetwarzane są dane. Ważne by system był kompletny. E. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych (strona 22). W tej części polityki bezpieczeństwa należy określić środki techniczne i organizacyjne niezbędne dla zapewnienia przetwarzanym danym poufności i integralności. Środki te powinny zapewnić jednocześnie rozliczalność wszelkich działań powodujących przetwarzanie danych osobowych. Należy pamiętać, iż środki, o których mowa wyżej, powinny być określone po uprzednim przeprowadzeniu wnikliwej analizy zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych. Ryzykiem dla przetwarzania danych osobowych w systemie informatycznym podłączonym do sieci Internet jest np. możliwość przejęcia lub podglądu tych danych przez osoby nieupoważnione. Ryzyko to będzie tym większe im mniej skuteczne będą stosowane zabezpieczenia. Sygnalizacja istniejącego zagrożenia pozwala podjąć odpowiednie działania zapobiegawcze. Ważne jest często samo uświadomienie istnienia określonych zagrożeń np. wynikających z przetwarzania danych w systemie informatycznym podłączonym do sieci Internet czy też zagrożeń spowodowanych stosowaniem niesprawdzonych pod względem bezpieczeństwa technologii bezprzewodowej transmisji danych. Zidentyfikowane zagrożenia można minimalizować m.in. poprzez stosowanie systemów antywirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall), itp. Dla dużych systemów informatycznych (systemów połączonych z sieciami publicznymi, systemów z rozproszonymi bazami danych, itp.) wybór właściwych środków wymaga posiadania wiedzy specjalistycznej. W poszczególnych podrozdziałach (Środki organizacyjne, Środki ochrony fizycznej danych itd.) wymieniono PRZYKŁADOWE zabezpieczenia. Należy wybrać te, które są wdrożone w firmie oraz dopisać dodatkowe, niewymienione w przykładowym wyliczeniu, a stosowane przez Podmiot. Oczywiście im bardziej zabezpieczone dane tym lepiej. F. Załączniki. Załączniki do Polityki bezpieczeństwa stanowią jej część pod warunkiem uzupełnienia. Lista załączników: 1. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (zał. nr 1), A. Ewidencja haseł administratora, B. Ewidencja nośników zawierających dane osobowe, C. Ewidencja napraw, przeglądów i konserwacji systemu informatycznego, D. Ewidencja czynności w systemie informatycznym, E. Powołanie Administratora Systemu Informatycznego, 2. Ewidencja osób upoważnionych do przetwarzania danych osobowych (zał. nr 2), 3. Upoważnienie do przetwarzania danych osobowych (zał. nr 3), 4. Ewidencja podmiotów, którym Podmiot powierza dane osobowe (zał. nr 4), 5. Ewidencja podmiotów, którym Podmiot udostępnia dane osobowe (zał. Nr 5) 6. Potwierdzenie uczestnictwa w szkoleniu (zał. nr 6), 7. Raport z przeglądu (zał. nr 7), 8 S t r o n a

9 8. Rejestr naruszeń bezpieczeństwa (zał. nr 8), 9. Wzór umowy powierzenia danych osobowych (zał. 9), 10. Oświadczenie o powołaniu Administratora Bezpieczeństwa Informacji (zał. nr 10). Po zapoznaniu się z Polityką Bezpieczeństwa i Instrukcją zarządzania systemem informatycznym (zał. Nr 1) należy uzupełnić pozostałe załączniki (o ile zachodzi taka potrzeba niektóre załączniki mogą pozostać puste, np. jak Podmiot nie udostępnia lub nie powierza danych osobowych nie uzupełnia się zał. 3 i 4 ). Wedle wymagań GIODO wskazana dokumentacja ma mieć charakter żywy, dostosowany do systemu przetwarzanego w konkretnym Podmiocie. Celem jest wytworzenie się silnych mechanizmów kontrolnych wewnątrz organizacji danego Administratora Danych Osobowych. 9 S t r o n a