Warszawa 2015-07-14 POLITYKA BEZPIECZEŃSTWA INFORMACJI Zgodnie z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182) 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE
Spis treści: 1. Wstęp...4 2. Definicje...4 3. Zadania Administratora Bezpieczeństwa Informacji...7 4. Szczególne wymogi przetwarzania danych osobowych...8 5. Środki techniczne i organizacyjne zapewniające poufność, integralność i rozliczalność przetwarzanych danych... 10 6. Postanowienia końcowe... 10
1. Wstęp Polityka Bezpieczeństwa jest zbiorem uprawnień, obowiązków i procedur regulujących sposób zarządzania, ochrony i dystrybucji danych przetwarzanych w 1-2 Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie oraz w zależnych jednostkach. Celem Polityki Bezpieczeństwa jest wyeliminowanie lub znaczne ograniczenie incydentów: wewnętrznych, zewnętrznych, świadomych, nieświadomych; bezprawnego użycia danych osobowych przetwarzanych w 1-2 Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie oraz w zależnych jednostkach. Załącznikiem do niniejszej polityki jest Instrukcja zarządzania systemem informatycznym, zwana dalej Instrukcją. Załącznik określa sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, podkreślając istotę zapewnienia ich bezpieczeństwa. Środkami użytymi do realizacji celu Polityki Bezpieczeństwa są: zapewnienie bezpieczeństwa fizycznego systemów przetwarzania danych i nośników informacji, tworzenie adekwatnych procedur organizacyjnych, użycie właściwego oprogramowania systemowego, budowanie i utrzymywanie świadomości użytkowników danych oraz egzekwowanie stosowania Instrukcji. Polityka Bezpieczeństwa wraz z towarzyszącymi dokumentami ma w szczególności zapewnić: poufność danych, integralność danych, rozliczalność danych, integralność systemu przetwarzania danych. Niniejszy dokument jest zgodny z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182) i Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz 1024) i innymi aktami wykonawczymi wydanymi do powołanej ustawy. 2. Definicje 1 1. 1-2 Spółka z Ograniczoną Odpowiedzialnością z siedzibą w Warszawie w niniejszym dokumencie jest zwana dalej SPÓŁKĄ. 2. Polityka Bezpieczeństwa informacji w SPÓŁCE, zwana dalej POLITYKĄ, obejmuje wszystkie zbiory danych osobowych administrowanych przez SPÓŁKĘ, zwanych dalej ZBIORAMI. 3. Wszelkie czynności wykonywane na ZBIORACH przez SPÓŁKĘ są możliwe do przeprowadzenia wyłącznie pod warunkiem przestrzegania Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku wraz z późniejszymi modyfikacjami (Dz. U. 2014 poz. 1182), zwanej dalej
USTAWĄ, oraz wydanych na jej podstawie przepisów wykonawczych, a także przepisów wewnętrznych wdrożonych w tej materii przez SPÓŁKĘ. 4. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 5. Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 6. Administrator danych osobowych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba, które decydują o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest SPÓŁKA. ADO decyduje o celach i środkach przetwarzania danych osobowych; 7. Administrator Bezpieczeństwa Informacji (ABI) osoba wyznaczona przez ADO, odpowiedzialna za organizację i bezpieczeństwo danych osobowych. Jeżeli SPÓŁKA nie powołała ADI wszystki jego obowiązki wykonuje samodzielnie. Przetwarzanie danych osobowych. 2 1. Przetwarzanie danych osobowych stanowi wszelkie operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie; ze szczególnym uwzględnieniem operacji w systemach informatycznych. 2. Do szczególnych operacji należy Usuwanie danych osobowych, które jest zniszczenie danych osobowych lub taką ich modyfikacją, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. 3. Większość operacji przetwarzania danych osobowych wykonywana jest w systemie informatycznym, zwanym dalej systemem. System jest zespołem współpracujących ze sobą: urządzeń, programów, procedur przetwarzania informacji, narzędzi programowych; zastosowanych w celu przetwarzania danych. W obsłudze i administracji systemu spotyka się szereg określeń. 3
1. Hasło ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; 2. Osoba upoważniona osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych (lub osobę uprawnioną przez niego) i dopuszczona do przetwarzania danych w systemie, zbiorach papierowych i/lub elektronicznych w zakresie wskazanym w upoważnieniu; 3. Osoba uprawniona osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych do wykonywania określonych czynności; 4. Identyfikator użytkownika ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną w systemie; Jeżeli osoba upoważniona jest również osobą uprawnioną z identyfikatorem użytkownika kojarzone są odpowiednie uprawnienia w systemie. 5. Użytkownik - osoba używająca określonego identyfikatora użytkownika, której operacje rejestrowane są przez system. 6. Naruszenie bezpieczeństwa systemu jakiekolwiek naruszenie poufności, integralności, systemu lub dostępności do systemu, włącznie z jego zniszczeniem, spowodowane przez ludzi, jak też naruszenia powstałe na skutek oddziaływania sił przyrody, katastrof cywilizacyjnych itp.; 7. Stacja robocza stacjonarne lub przenośne urządzenie wchodzące w skład systemu i umożliwiające użytkownikom dostęp do danych osobowych znajdujących się w systemie; 8. Zabezpieczenie systemu środki: administracyjne, techniczne, fizyczne; stosowane w celu zabezpieczenia przed naruszeniem bezpieczeństwa systemu; 9. Nośnik komputerowy (wymienny) nośnik służący do zapisu i przechowywania informacji np. taśmy, dyski twarde, płyty CD, pendrive itp.; systemu; 10. Bezpieczeństwo systemu informatycznego wdrożenie przez ABI zabezpieczenia 11. Użytkownik uprzywilejowany specjalny status użytkownika tworzony podczas instalacji danego systemu posiadający nadrzędne nad użytkownikiem systemu uprawnienia. 12. Obszar przetwarzania danych obiekty, pomieszczenia jednostek organizacyjnych SPÓŁKI, w których odbywa się przetwarzanie danych w systemie, w tym również w postaci papierowej np. kartoteki lub pomieszczenia gdzie znajdują się urządzenia, elementy techniczne, z
których charakteru pracy wynika wydawanie informacji na zewnątrz tzn. monitory, skanery, drukarki itp.; 13. Odbiorca danych każdy, komu udostępnia się dane, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31 a ustawy, d) podmiotu, o którym mowa w art. 31 ustawy, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem i na podstawie przepisów prawa; 14. Zgoda osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie (zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści); 15. Państwo trzecie państwo nie należące do Europejskiego Obszaru Gospodarczego; 16. Pracownik osoba pozostająca w stosunku pracy z pracodawcą; 3. Zadania Administratora Bezpieczeństwa Informacji 4 Do najważniejszych obowiązków Administratora Bezpieczeństwa Informacji należą: 1. Ochrona danych osobowych i organizacja bezpieczeństwa zgodnie z wymogami USTAWY; 2. Gwarancja przetwarzania informacji zgodnie z regulacjami zawartymi w Polityce Bezpieczeństwa Ochrony Danych Osobowych; 3. Zarządzanie upoważnieniami użytkowników do przetwarzania danych osobowych; 4. Prowadzenie ewidencji upoważnień; 5. Prowadzenie postępowania wyjaśniającego w przypadku naruszenia danych osobowych; zapobiegawczych; 6. Prowadzenie ewidencji zdarzeń i problemów oraz działań korygujących i
7. Nadzór nad stosowanymi metodami, środkami technicznymi i organizacyjnymi niezbędnymi dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych; 8. Nadzór nad sposobem zabezpieczenia systemu Informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego i utratą danych; 9. Nadzorowanie prac komisyjnego niszczenia kopii bezpieczeństwa i nośników danych; 10. Kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami prawa; 11. Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych. 5 Administrator Bezpieczeństwa Informacji ma prawo: 1. Wyznaczania, rekomendowania i egzekwowania wykonania zadań związanych z ochroną danych osobowych w całej organizacji; 2. Wstępu do pomieszczeń, w których zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą; 3. Żądać złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego; 4. Żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli; 5. Żądać udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. 4. Szczególne wymogi przetwarzania danych osobowych 6 Obszary przetwarzania danych w obiektach i pomieszczeniach w SPÓŁCE nie mogą być dostępne dla osób nieuprawnionych. Dopuszcza się odstępstwo od tej reguły wyłącznie dla
pomieszczeń przeznaczonych do obsługi klientów. W takim przypadku należy stosować szczególne reguły postępowania, w tym: 1. Pracownicy mają obowiązek chronienia swoich stanowisk pracy przed dostępem klientów lub innych osób postronnych poprzez blokowanie ich hasłem; 2. Klienci i osoby postronne powinni pozostawać w pomieszczeniu tylko w obecności pracownika SPÓŁKI; 3. Kartoteki tradycyjne należy zabezpieczyć przed dostępem osób nieuprawnionych; 4. Nie należy pozostawiać dokumentów papierowych i nośników elektronicznych niezabezpieczonych przed dostępem osób nieuprawnionych; 5. Monitory należy usytuować tak, aby ekran był niewidoczny dla osób nieuprawnionych; 6. Drukarki i urządzenia peryferyjne mają być usytuowane tak, aby znajdowały się pod kontrolą pracowników SPÓŁKI; 7. ABI określa szczegółowe zasady ogłoszenia alarmu i wezwania pomocy przez pracownika SPÓŁKI w przypadku zauważenia próby nieautoryzowanego pozyskania danych; 8. W przypadkach podyktowanych wyższą koniecznością lub pracami niezbędnymi do wykonania, a przede wszystkim uzasadnionych potrzebami służbowymi wypadkach, dopuszcza się przebywanie w obszarze przetwarzania danych osób nieuprawnionych; 9. Obszar przetwarzania danych powinien być wyposażony w atestowane zamki i drzwi. Dostęp do niego powinien być utrudniony osobom nieuprawnionym; 7 ABI wraz z ADO odpowiadają za zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych w jednostkach dbając by: 1. Zastosowane środki techniczne były adekwatne do warunków użytkowania obiektów z określonymi obszarami przetwarzania danych; 2. Prowadzona była ewidencja osób upoważnionych do przetwarzania danych; 3. Ewidencja osób upoważnionych do przetwarzania danych w SPÓŁCE i jednostkach organizacyjnych podlega ciągłej aktualizacji;
4. Był prowadzony nadzór nad przestrzeganiem zasad ochrony w obszarach przetwarzania danych. 5. Była prowadzona ewidencja zbiorów danych osobowych i zbiorów dokumentacji papierowej zawierającej dane osobowe wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych i znajdowała się w bezpośredniej gestii ABI. 5. Środki techniczne i organizacyjne zapewniające poufność, integralność i rozliczalność przetwarzanych danych 8 W celu zapewnienia właściwego działania systemu i zgodności z przepisami przedsięwzięto następujące kroki: 1. Opracowano i wdrożono Politykę Bezpieczeństwa; 2. Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym; 3. Dopuszczono do przetwarzania danych wyłącznie osoby upoważnione; 4. Prowadzona jest bieżąca ewidencja osób upoważnionych i osób uprawnionych; 5. Osoby upoważnione podlegają obowiązkowi przeszkolenia w zakresie przepisów prawa i uregulowań wewnętrznych dotyczących ochrony danych w SPÓŁCE, po którym zobowiązane są podpisać oświadczenie o zachowaniu poufności; 6. Zabezpieczenie systemu gwarantuje brak dostępu osobom nieupoważnionych; 7. Osoby nieuprawnione mogą przebywać w pomieszczeniach tylko w obecności osoby uprawnionej oraz w warunkach zapewniających bezpieczeństwo danych; 8. Stosowane są pisemne umowy powierzenia i umowy o poufności przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe. 6. Postanowienia końcowe 9 1. Polityka Bezpieczeństwa jest dokumentem jawnym.
2. ABI ma obowiązek zapoznania z Polityką każdego pracownika i współpracownika. 3. Wszystkie regulacje dotyczą systemów informatycznych, określone w Polityce dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek formie. 10 Regulacje dotyczące pracowników SPÓŁKI i ich odpowiedzialność. 1. Pracownicy SPÓŁKI zobowiązani są do stosowania postanowień zawartych w Polityce. 2. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych. 3. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne. 4. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883 ze zm.) oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat. W sprawach nieuregulowanych w niniejszej Polityce Bezpieczeństwa mają zastosowanie przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883 ze zm.) oraz wydane na jej podstawie akty wykonawcze.