Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 2.1. Ustawa oraz akty wykonawcze... 4 2.2. Definicje... 4 3. Najważniejsze zagadnienia ochrony danych osobowych... 6 3.1. Generalny Inspektor Ochrony Danych Osobowych... 6 3.2. Przetwarzanie danych... 7 3.3. Obowiązki informacyjne przy przetwarzaniu danych... 8 3.4. Obowiązek zgłaszania przetwarzanych danych... 9 3.5. Powierzenie przetwarzania danych... 10 3.6. Prawa osób, których dane dotyczą... 10 3.7. Przekazywanie danych do państwa trzeciego... 11 3.8. Dokumentowanie... 12 3.9. Sankcje karne... 13 4. Zagrożenia bezpieczeństwa... 14 4.1. Charakterystyka możliwych zagrożeń... 14 4.2. Lista potencjalnych zagrożeń przetwarzania danych... 14 5. Polityka bezpieczeństwa... 16 5.1. Deklaracja... 16 5.2. Wykaz zbiorów osobowych... 16 5.3. Wykaz miejsc przetwarzania... 16 5.4. Opis struktury zbiorów osobowych... 16 5.5. Sposób przepływu danych pomiędzy systemami... 17 5.6. Ewidencja osób upoważnionych... 17 5.7. Środki organizacyjne ochrony danych osobowych... 17 5.8. Środki techniczne ochrona fizyczna... 18 5.9. Środki techniczne infrastruktura informatyczna... 19 5.10. Środki techniczne programy i bazy danych... 19 5.11. Zadania Administratora bezpieczeństwa informacji... 20 5.12. Zadania Administratora systemu informatycznego... 21 6. Instrukcja zarządzania systemem informatycznym... 22 6.1. Charakterystyka systemu... 22 6.2. Ogólne zasady pracy w systemie informatycznym... 22 6.3. Procedury nadawania uprawnień... 22 6.4. Stosowane metody i środki uwierzytelniania... 23 6.5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy... 23 6.6. Procedury tworzenia kopii awaryjnych... 24 6.7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji... 25 6.8. Sposób zabezpieczenia systemu przed wirusami... 25 6.9. Informacje o odbiorcach danych... 25 6.10. Przesyłanie danych poza obszar przetwarzania... 26 6.11. Procedury wykonywania przeglądów i konserwacji... 26 7. Załącznik nr 1... 27 8. Załącznik nr 2... 36 9. Załącznik nr 3... 37 generator: abiexpert.pl 2 / 41
1. Wprowadzenie Celem niniejszego dokumentu jest opisanie zasad ochrony danych osobowych oraz dostarczenie podstawowej wiedzy z zakresu ich przetwarzania. W celu zwiększenia świadomości obowiązków i odpowiedzialności pracowników, a tym samym skuteczności ochrony przetwarzanych zasobów, w dokumencie opisano podstawy prawne przetwarzania danych osobowych oraz scharakteryzowano zagrożenia bezpieczeństwa, podając jednocześnie schematy postępowań na wypadek wystąpienia naruszenia bezpieczeństwa. Dokument szczegółowo opisuje podstawowe zasady organizacji pracy przy zbiorach osobowych przetwarzanych metodami tradycyjnymi oraz w systemie informatycznym wyrażone w Polityce bezpieczeństwa oraz w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Wszelkie zestawienia uzupełniające treść dokumentu zebrano w postaci załączników. Do najważniejszych należy ewidencja zbiorów osobowych, miejsc ich przetwarzania oraz osób upoważnionych do przetwarzania danych, a także lista środków organizacyjnych i technicznych służących bezpieczeństwu danych. generator: abiexpert.pl 3 / 41
2. Podstawy prawne Poniżej opisano aktualne przepisy prawne w zakresie ochrony danych osobowych oraz wybrane, najważniejsze definicje i terminy. 2.1. Ustawa oraz akty wykonawcze Przepisy ochrony danych osobowych zawarte są w ustawie o ochronie danych osobowych oraz wydanych do niej aktach wykonawczych. Pełną listę aktów prawnych stanowią: Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2014 r. poz. 1182 i 1662), Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r., Nr 203, poz. 1494) art. 13.3 ustawy, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923) art. 22a ustawy, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536) art. 46a ustawy, Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934) art. 46f ustawy. Niniejszy dokument powstał w oparciu o art. 36. ust. 2. oraz art. 39a ustawy o ochronie danych osobowych, które zobowiązują Administratora danych do wykonania dokumentacji opisującej środki organizacyjne i techniczne służące ochronie przetwarzanych danych osobowych. Szczegółowy zakres dokumentu określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wydane do art. 39a ustawy. 2.2. Definicje W dokumencie przyjmuje się następującą terminologię: Generalny Inspektor Ochrony Danych Osobowych organ do spraw ochrony danych osobowych. Ustawa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane wrażliwe dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Administrator danych (ADO) organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach generator: abiexpert.pl 4 / 41
przetwarzania danych osobowych. Administrator bezpieczeństwa informacji (ABI) osoba nadzorująca stosowanie środków technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. ABI jest powoływany przez ADO. Administrator systemu informatycznego (ASI) osoba lub osoby odpowiedzialna/e za prawidłowe funkcjonowanie systemu informatycznego. ASI jest powoływany przez ADO. Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zabezpieczenie danych w systemie informatycznym wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Zgoda osoby, której dane dotyczą oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może być odwołana w każdym czasie. Identyfikator użytkownika ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Hasło ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. Rozliczalność właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Integralność danych właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. Poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom. Dokumentacja przetwarzania danych dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, określoną w przepisach wydanych na podstawie art. 39a ustawy. Sprawdzenie czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w szczególności w wyniku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Generalnym Inspektorem. Sprawozdanie dokument zawierający elementy określone w art. 36c ustawy, opracowany przez administratora bezpieczeństwa informacji po dokonaniu sprawdzenia, którego celem jest zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Państwo trzecie rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego. generator: abiexpert.pl 5 / 41
3. Najważniejsze zagadnienia ochrony danych osobowych 3.1. Generalny Inspektor Ochrony Danych Osobowych Zadania GIODO Do zadań GIODO należy: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydanych decyzji przez zastosowanie środków egzekucyjnych przewidzianych w ustawie z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji, opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Kontrole GIODO W celu wykonania w/w zadań Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej inspektorami, mają prawo: wstępu, w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, zlecać sporządzanie ekspertyz i opinii. Inne uprawnienia GIODO Generalny Inspektor może zwrócić się do ABI wpisanego do rejestru, o którym mowa w art. 46c ustawy, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, ustawy u ADO, który go powołał, wskazując zakres i termin sprawdzenia. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy, ABI za pośrednictwem ADO, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy. Dokonanie przez ABI sprawdzenia w przypadku, o którym mowa wyżej, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1 ustawy. generator: abiexpert.pl 6 / 41
Działania GIODO w przypadku naruszenie przepisów W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, wstrzymanie przekazywania danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. 3.2. Przetwarzanie danych Przetwarzanie danych jest dopuszczalne tylko wtedy gdy: Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Zgoda nie może być domniemana lub dorozumiana. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody nie jest możliwie, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Przetwarzanie danych jest zabronione w przypadku danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie tych danych jest jednak dopuszczalne, jeżeli: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwalana przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych generator: abiexpert.pl 7 / 41
lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. 3.3. Obowiązki informacyjne przy przetwarzaniu danych Zbieranie danych osobowych od osób, których dane dotyczą. W przypadku zbierania danych od osoby, której te dane dotyczą Administrator danych jest zobowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy Administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Podanych wyżej zasad nie stosuje się, jeżeli przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania lub jeżeli osoba, której dane dotyczą, posiada już te informacje. Zbieranie danych osobowych nie od osób, których dane dotyczą. W przypadku zbierania danych nie od osoby, której te dane dotyczą Administrator danych jest zobowiązany poinformować tę osobę bezpośrednio po utrwaleniu danych o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania, prawie wniesienia, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, generator: abiexpert.pl 8 / 41
prawie wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy Administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Podanych wyżej zasad nie stosuje się, jeżeli: dane są przetwarzane przez administratora na podstawie przepisów prawa, przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania. 3.4. Obowiązek zgłaszania przetwarzanych danych Administrator danych jest obowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz zgłaszać zmiany w terminie 30 dni. Zgłoszenie powinno zawierać: wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, oznaczenie Administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych innemu podmiotowi lub wyznaczenia przedstawiciela Administratora danych o którym mowa w art. 31a ustawy, oznaczenie tego podmiotu danych i adres jego siedziby lub miejsca zamieszkania, cel przetwarzania danych, w tym opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych, sposób zbierania oraz udostępniania danych, w tym informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, opis środków technicznych i organizacyjnych zastosowanych w celach ochrony danych, informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w dokumentacji ochrony danych osobowych, informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego. Z obowiązku rejestracji zwolnieni są Administratorzy danych: zawierających informacje niejawne, które zostały uzyskane w wyniku czynności operacyjnorozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym oraz przetwarzanych przez Generalnego Inspektora Informacji Finansowej, a także przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej, dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad generator: abiexpert.pl 9 / 41
powiatów i sejmików województw, wyborów na Urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, powszechnie dostępnych, przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego, przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1. (danych wrażliwych). Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega także Administrator danych, który powołał Administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji. 3.5. Powierzenie przetwarzania danych W przypadku konieczności przetwarzania danych przez odrębne podmioty świadczące usługi dla Administratora danych może on powierzyć ich przetwarzanie, w drodze umowy zawartej na piśmie, pod następującymi warunkami: umowa powinna być zawarta niezależnie od posiadanej umowy określającej relacje obu stron, Podmiot, któremu powierzono przetwarzanie danych, może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie, Podmiot, któremu powierzono przetwarzanie danych, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 3639 ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art.39a ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na Administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Do kontroli zgodności przetwarzania danych przez podmiot, któremu powierzono przetwarzanie danych, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 1419 ustawy. 3.6. Prawa osób, których dane dotyczą Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1. Uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna jej miejsca zamieszkania oraz imienia i nazwiska. 2. Uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze. 3. Uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych. 4. Uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany generator: abiexpert.pl 10 / 41
do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej. 5. Uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane. 6. Uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 ustawy. 7. Żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. 8. Wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację. 9. Wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. 10. Wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1. W przypadku wniesienia żądania, o którym mowa w pkt 8, ADO zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję. W razie wniesienia sprzeciwu, o którym mowa pkt 9, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. ADO może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. W razie wniesienia żądania, o którym mowa w pkt 10, ADO bez zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję. Jeżeli, dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, ADO może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem. Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa pkt 15, nie częściej niż raz na 6 miesięcy. Na wniosek osoby, której dane dotyczą, ADO jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w pkt 16. Na wniosek osoby, której dane dotyczą, informacji udziela się na piśmie. Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w pkt 16, jeżeli spowodowałoby to: ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. 3.7. Przekazywanie danych do państwa trzeciego Przekazanie danych osobowych do państwa trzeciego (poza Europejski Obszar Gospodarczy) może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych, za wyjątkiem sytuacji wynikających z obowiązku nałożonego na ADO przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi generator: abiexpert.pl 11 / 41
odpowiedni poziom ochrony tych danych. ADO może jednak przekazać dane osobowe do państwa trzeciego, jeżeli: 1. Osoba, której dane dotyczą, udzieliła na to zgody na piśmie. 2. Przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie. 3. Przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem. 4. Przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych. 5. Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, 6) dane są ogólnie dostępne. W pozostałych przypadkach przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody GIODO, wydanej w drodze decyzji administracyjnej, pod warunkiem, że ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Zgoda GIODO nie jest wymagana, jeżeli ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez: 1. Standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub, 2. Prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej wiążącymi regułami korporacyjnymi, które zostały zatwierdzone przez GIODO. 3.8. Dokumentowanie Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto, Administrator danych: prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki organizacyjne i techniczne służące ochronie danych, wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony chyba, że sam wykonuje te czynności, nadaje upoważnienia do przetwarzania danych i dopuszcza do pracy wyłącznie osoby posiadające takie upoważnienie, zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, prowadzi ewidencję osób upoważnionych do ich przetwarzania, która zawiera: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji opisującej ochronę danych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa generator: abiexpert.pl 12 / 41
przetwarzanych danych. 3.9. Sankcje karne Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn ten dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Wobec osoby, która w przypadku naruszenia zasad bezpieczeństwa lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonych w niniejszej dokumentacji, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych. Orzeczona kara dyscyplinarna nie wyklucza odpowiedzialności karnej osoby winnej zgodnie z ustawą oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat. generator: abiexpert.pl 13 / 41
4. Zagrożenia bezpieczeństwa W rozdziale scharaketryzowano możliwe do wystąpienia zagrożenia bezpieczeństwa. 4.1. Charakterystyka możliwych zagrożeń Zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), których występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu. Zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki przetwarzających dane, pozostawienie danych lub pomieszczeń bez nadzoru, błędy operatorów systemu, awarie sprzętowe, błędy oprogramowania), przy których może dojść do zniszczenia danych lub naruszenia ich poufności. Zagrożenia zamierzone, świadome i celowe najpoważniejsze zagrożenia, gdzie występuje naruszenia poufności danych. Zagrożenia te możemy podzielić na: nieuprawniony dostęp z zewnątrz (włamanie), nieuprawniony dostęp do danych w wewnątrz (przez osoby nieuprawnione). 4.2. Lista potencjalnych zagrożeń przetwarzania danych Poniżej przedstawiono listy potencjalnych zagrożeń bezpieczeństwa danych z podziałem na zagrożenia miejsc przetwarzania oraz rodzajów danych, tj. zbiorów przetwarzanych tradycyjnie (papierowo) oraz z wykorzystaniem systemów informatycznych. W każdym przypadku, w sytuacji stwierdzenia wystąpienia któregokolwiek z zagrożeń należy niezwłocznie powiadomić Administratora danych. 1. Zagrożenia miejsc przetwarzania danych. Włamania od strony okien wybite szyby, niedomknięte skrzydła. Włamania od strony drzwi zerwane plomby, uszkodzone klamki, źle działające zamki, niedomknięte drzwi, ślady po narzędziach. Oddziaływanie czynników zewnętrznych wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana. Pozostawienie niezamkniętych drzwi lub okien jeżeli w pomieszczeniu nie pozostają osoby uprawnione do przetwarzania danych. Pozostawienie bez nadzoru osób nieuprawnionych do przebywania w pomieszczeniach. 2.Zagrożenia związane z przetwarzaniem danych papierowych. Pozostawienie danych na biurkach, półkach, regałach, itp. po zakończeniu pracy. Pozostawienie dokumentów zawierających dane osobowe w kserokopiarce lub skanerze. Pozostawienie po zakończeniu pracy otwartych szaf, w których gromadzone są dane osobowe. Przechowywanie dokumentów w miejscach do tego nieprzeznaczonych. Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Przetwarzanie danych przez osoby nieuprawione. Nieuzasadnione sporządzanie kserokopii danych. 3. Zagrożenia związane z przetwarzaniem danych elektronicznych. Dopuszczenie zapisywania na nośniki zewnętrzne wynoszone poza obszar przetwarzania lub przesyłanie poprzez Internet danych niezaszyfrowanych. generator: abiexpert.pl 14 / 41
Dopuszczanie do nieuzasadnionego kopiowania dokumentów i utraty kontroli nad kopią. Sporządzanie kopii danych w sytuacjach nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych. Podmiana lub zniszczenie nośników z danymi osobowymi. Pozostawienie zapisanego hasła dostępu do bazy danych. Samodzielne instalowanie jakiegokolwiek oprogramowania. Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania. Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. Niezabezpieczenie komputera zasilaczem awaryjnym podtrzymującym napięcie na wypadek braku zasilania. Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania osób nieuprawnionych. Ujawnianie sposobu działania aplikacji oraz jej zabezpieczeń osobom niepowołanym. Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej. Dopuszczenie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. Pojawianie się komunikatów. Awarie sprzętu i oprogramowania, które mogą wskazywać na działanie osób trzecich. Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. Próba nieuzasadnionego przeglądania danych w ramach pomocy technicznej. Dopuszczanie, aby osoby inne niż ASI lub osoby przez ASI uprawnione, podłączały jakikolwiek urządzenia, demontowały elementy sieci lub dokonywały innych manipulacji. Ślady manipulacji przy układach sieci komputerowej lub komputerach. Obecność nowych urządzeń i kabli o nieznanym przeznaczeniu i pochodzeniu. Naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji. generator: abiexpert.pl 15 / 41
5. Polityka bezpieczeństwa Polityka bezpieczeństwa rozumiana jest jako wykaz praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Placówki. Obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych. 5.1. Deklaracja W celu zabezpieczenia danych osobowych przed nieuprawnionym udostępnieniem Administrator danych wprowadza określone niniejszym dokumentem zasady przetwarzania danych. Zasady te określa w szczególności Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te są uzupełniane załącznikami do dokumentacji, na które składają się m.in.: wykazy zbiorów, miejsc ich przetwarzania oraz osób upoważnionych do przetwarzania danych. W celu zapewnienia prawidłowego monitorowania przetwarzania danych wprowadza się liczne ewidencje, które szczegółowo charakteryzują obszary objęte monitoringiem, umożliwiając pełną kontrolę nad tym, jakie dane i przez kogo są przetwarzane oraz komu udostępniane. Mając świadomość, iż żadne zabezpieczenie techniczne nie gwarantuje 100%towej szczelności systemu, konieczne jest, aby każdy pracownik upoważniony do przetwarzania danych pełen świadomej odpowiedzialności, postępował zgodnie z przyjętymi zasadami i minimalizował zagrożenia wynikające z błędów ludzkich. W trosce o czytelny i uporządkowany stan materii, wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych. 5.2. Wykaz zbiorów osobowych Na podstawie 4 pkt 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz zbiorów osobowych wraz ze wskazaniem programów komputerowych służących do ich przetwarzania zgodnie z załącznikiem nr 1 do niniejszej dokumentacji. 5.3. Wykaz miejsc przetwarzania Na podstawie 4 pkt 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz pomieszczeń tworzących obszar fizyczny przetwarzania danych. Szczegółowy wykaz bydynków czy pomieszczeń, w których przetwarzane są dane osobowe, stanowi załącznik nr 2 do niniejszej dokumentacji. 5.4. Opis struktury zbiorów osobowych Na podstawie 4 pkt 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza się do załącznika nr 1 opis struktury poszczególnych zbiorów osobowych. generator: abiexpert.pl 16 / 41
5.5. Sposób przepływu danych pomiędzy systemami Na podstawie 4 pkt 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, dla zbiorów przetwarzanych elektronicznie, w przypadku przepływu danych pomiędzy systemami, wprowadza się opis zasad przepływu danych w załączniku nr 1. 5.6. Ewidencja osób upoważnionych Zgodnie z art. 39 ust. 1 ustawy o ochronie danych osobowych wprowadza się ewidencję osób upoważnionych do przetwarzania danych, która stanowi załącznik nr 3 do niniejszej dokumentacji. Ewidencja stanowi podstawę wydania Upoważnienia do przetwarzania danych osobowych na mocy art. 37 ustawy o ochronie danych osobowych. 5.7. Środki organizacyjne ochrony danych osobowych W celu stworzenia właściwych zabezpieczeń, które powinny bezpośrednio oddziaływać na procesy przetwarzania danych, Administrator danych wprowadza określone poniżej środki organizacyjne. Przetwarzanie danych osobowych może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres uprawnień wynika z zakresu tych zadań. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie. Podpisany dokument jest dołączany do akt osobowych. Unieważnienie upoważnienia następuje na piśmie. Zabrania się przetwarzania danych poza obszarem określonym w załączniku nr 2 do niniejszej dokumentacji. Każdy pracownik odbywa co 23 lata szkolenie z zakresu ochrony danych osobowych. Szkolenie może być wewnętrzne, tj. prowadzone przez Administratora danych lub zewnętrzne przez firmy specjalistyczne. Nowo przyjęty pracownik odbywa szkolenie prowadzone przez Administratora danych przed przystąpieniem do przetwarzania danych. Ponadto każdy upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa. Podpisany dokument jest dołączany do akt osobowych. Obszar przetwarzania danych osobowych określony w załączniku nr 2 do niniejszej dokumentacji, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób, nieuprawnionych w w/w obszarze jest dopuszczalne za zgodą Administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Przebywanie w pomieszczeniach, w których przetwarzane są dane w postaci elektronicznej osób nie posiadających upoważnienia jest dopuszczalne za zgodą Administratora danych. Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz. Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz usunąć z biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach. Nie należy dopuszczać osób nie mających uprawnień do danych osobowych do treści tych danych, np. pokazywanie dokumentów. Nie należy gromadzić w podręcznej dokumentacji danych osobowych. W wszystkie dane niezbędne do prawidłowej generator: abiexpert.pl 17 / 41
pracy powinny znajdować się w zbiorach, zgodnie z prowadzoną ewidnecją. Jeżeli posiadane druki lub zestawienia są niezbędne należy je zanonimizować (usunąć dane osobowe, np. adres, pesel, pozostawiając imiona). Dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach. Każdorazowe zbieranie danych zgodnie z art. 24 oraz 25 ustawy o ochronie danych osobowych rodzi obowiązek informacyjny. Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. Dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza obaszar przetwarzania lub przesyłane pocztą elektroniczną, należy zabezpieczyć poprzez nadanie im haseł odczytu. Zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa, zapisywanych na zewnętrznych nośnikach i przechowywanych pod zamknięciem. Komputery, które przetwarzają zbiory osobowe wyszczególnione w załączniku nr 1 do dokumentacji, za wyjątkiem komputerów służących jedynie do edycji tekstu, należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek braku zasilania. Pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów, z których pochodzą przetwarzane w nich dane i odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji zarządzania systemem informatycznym będącej częścią niniejszej dokumentacji. W celu zapewnienia danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego (np. WINDOWS) oraz bezpośrednio do programów przetwarzających dane. Szczegółowe zasady postępowania ze zbiorami przetwarzanymi elektronicznie określa Instrukcja zarządzania systemem informatycznym będąca częścią niniejszej dokumentacji. 5.8. Środki techniczne ochrona fizyczna Potencjalne środki ochrony technicznej danych osobowych możliwie do systowania przez Administratora danych. Ogólna ochrona budynku alarm antywłamaniowy, monitoring wizyjny, całodobowy dozór służb ochrony, gaśnice lub systemy ppoż. Zabezpieczenia okien pomieszczenia zlokalizowane na parterze lub wyższych kondygnacjach można dodatkowo zabezpieczyć poprzez montaż krat, rolet lub szyb antywłamaniowych, zwłaszcza, jeśli istnieje do nich dostęp przez tarasy, dachy niższych budynków, drabiny ppoż, itp. Zabezpieczenie drzwi w zależności od kategorii danych i zagrożeń można stosować drzwi tradycyjne zamykane na klucz lub ppożarowe, zaś w miejscach szczególnie narażonych na zagrożenia (drzwi wejściowe, sekretariaty, księgowość, archiwa, itp.) należystosować drzwi antywłamaniowe. Zabezpieczenia zbiorów tradycyjnych (papierowych) w zależności od kategorii danych i zagrożeń do przechowywania danych można stosować szafy tradycyjne zamykane na klucz, szafy metalowe lub sejfy (dla danych szczególnie ważnych). Dane przeznaczone do zniszczenia należyniszczyć w specjalistycznych niszczarkach. Zabezpieczenia zbiorów elektronicznych dane elektroniczne należy zabezpieczyć poprzez wyposażenie komputerów w zasilacze awaryjne podtrzymujące napięcie na wypadek braku zasilania oraz w systemy antywirusowe. Kopie danych należy gromadzić w szafach metalowych lub sejfach ognioodpornych. Rzeczywiste środki ochrony fizycznej stosowane przez Administratora danych. W poniższej tabeli zestawiono sumarycznie dla wszystkich pomieszczeń zastosowane środki ochrony fizycznej. Szczegółowo fizyczne zabezpieczenia zbiorów w poszczególnych pomieszczeniach znajdują się w załączniku nr 2. generator: abiexpert.pl 18 / 41
Lp. Środki ochrony fizycznej 1 Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). 2 Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie drzwi klasy C. 3 Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. 4 Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy. 5 Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. 6 Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. 7 Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. 8 Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej. 9 Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. 10 Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. 11 Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej. 12 Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy. 13 Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. 5.9. Środki techniczne infrastruktura informatyczna W poniższej tabeli zestawiono, sumarycznie dla wszystkich komputerów, zastosowane środki sprzętowe ochrony infrastruktury informatycznej i telekomunikacyjnej. Lp. Ochrona w ramach infrastruktury informatycznej i telekomunikacyjnej 1 Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania. 2 Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. 3 Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. 4 Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł. 5 Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. 6 Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji. 7 Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia. 8 Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamieci dyskowej. 9 Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity. 10 Użyto system Firewall do ochrony dostępu do sieci komputerowej. 11 Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej. 5.10. Środki techniczne programy i bazy danych W poniższej tabeli zestawiono, sumarycznie dla wszystkich stosowanych baz daych, stosowane środki ochrony w ramach narzędzi programowych i baz danych. Lp. Ochrona w ramach narzędzi programowych i baz danych 1 Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych. 2 Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych. 3 Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. 4 Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej. 5 Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym generator: abiexpert.pl 19 / 41
zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego. 6 Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych. 7 Zastosowano kryptograficzne środki ochrony danych osobowych. 8 Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. 9 Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. 5.11. Zadania Administratora bezpieczeństwa informacji W przypadku kiedy Administrator danych nie wykonuje bezpośrednio nadzoru nad stosowaniem określonych środków organizacyjnych i technicznych powołuje, zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych, Administratora bezpieczeństwa informacji i wyznacza mu następujące zadania: 1. Nadzór nad przetwarzaniem danych zgodnie z ustawą o ochronie danych osobowych i innymi przepisami prawa. 2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2 4a i 7 ustawy. 3. Udostępnianie rejestru, o którym mowa w pkt 2, na stronie internetowej ADO, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym ADO znajdującym się w siedzibie ADO. W przypadku prowadzenia rejestru w postaci papierowej, rejestr udostępnia się do wglądu każdemu zainteresowanemu w siedzibie ADO. 4. Opracowanie planu sprawdzeń określających przedmiot poszczególnych sprawdzeń, zakres czynności, które będą podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia. 5. Przedstawienie Administratorowi danych planu sprawdzeń nie później niż na miesiąc przed rozpoczęciem okresu objętego planem, który to okres nie może być krótszy niż kwartał i dłuższy niż rok. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie. 6. Przeprowadzenie sprawdzenia pozaplanowego niezwłocznie po powzięciu przez ABI, informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia. Powiadomienie Administratora danych o rozpoczęciu sprawdzenia pozaplanowego jeszcze przed podjęciem pierwszej czynności. 7. Przekazanie Administratorowi danych sprawozdania, o którym mowa w art. 36c ustawy: ze sprawdzenia planowego w terminie określonym w planie sprawdzeń, nie później niż w terminie 30 dni od zakończenia sprawdzenia, ze sprawdzenia pozaplanowego niezwłoczne po zakończeniu sprawdzenia, ze sprawdzenia, o którego dokonanie zwrócił się Generalny Inspektor w terminie umożliwiającym zachowanie przez administratora danych terminu wskazanego przez Generalnego Inspektora zgodnie z art. 19b ustawy. 8. Przechowywanie sprawozdania oraz dokumentów z nim związanych przez okres co najmniej pięciu lat od dnia ich sporządzenia. 9. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 10. Nadzór nad opracowaniem i aktualizacją dokumentacji przetwarzania danych, o której mowa w art. 36 ust. 2 ustawy oraz przestrzeganie zasad w niej określonych. 11. W przypadku wykrycia podczas weryfikacji nieprawidłowości, ABI: generator: abiexpert.pl 20 / 41