POLITYKA BEZPIECZEŃSTWA

CIGEN SP. Z O. O.

  1. Definicje zastosowanych pojęć oraz wykaz użytych skrótów
  2. Założenia oraz zakres zastosowania polityki
  3. Wykaz budynków i pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  4. Wykaz zbiorów danych osobowych wraz ze wskazaniem programu do przetwarzania tych danych
  1. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi
  1. Sposób przepływu danych pomiędzy poszczególnymi systemami

Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności danych

  • Definicje zastosowanych pojęć oraz wykaz użytych skrótów.
  1. Administrator Danych Osobowych (ADO) – CIGEN Spółka z ograniczoną odpowiedzialnością, ul. Wrocławska 25A, 63-400 Ostrów Wielkopolski, zwana dalej ADO;
  2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane przez ADO zarówno w systemach informatycznych jak i tradycyjnie (wersja papierowa);
  3. Działania profilaktyczne – to czynności, które należy przedsięwziąć w celu wyeliminowania przyczyny zagrożenia lub innej sytuacji niepożądanej;
  4. Integralność danych osobowych - właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  5. Klient - osoba fizyczna oraz wszelkie inne podmioty nazwane i wymienione w kodeksie cywilnym i innych ustawach regulujących status organizacyjny lub prawny;
  6. Nośniki danych - wszelkie nośniki, na których dane osobowe zapisane są w postaci elektronicznej, w szczególności dyski, dyskietki, dyski CD-ROM, karty magnetyczne lub pamięci przenośne. Na potrzeby niniejszej Polityki Bezpieczeństwa za nośnik danych uważa się również nośniki w formie papierowej zawierające dane osobowe, w tym dokumenty;
  7. Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, w szczególności w systemach informatycznych;
  8. Podmiot zewnętrzny – podmiot, któremu ADO powierzył przetwarzanie danych osobowych, zgodnie z treścią art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2015 r. poz. 2135, 2281, z 2016 r. poz. 195, ze zm.) i z którym zawarł stosowną umowę;
  9. Rozliczalność - jedna z podstawowych funkcji bezpieczeństwa zapewniająca, że określone działanie dowolnego podmiotu może być jednoznacznie przypisane temu podmiotowi;
  10. Rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024).
  11. Strona Usługodawcy - adres internetowy www.cigen.pl;
  12. Spam - pojęcie w myśl ustawy z dnia 10 marca 2003r. (Dz.U. Nr. 144,poz 1204, ze zm.) obejmujące również ustawę z dnia 2 marca 2000r.(Dz.U. Nr 22,poz 271 ze zm.) oraz ustawę z dnia 16 kwietnia 1993 r. (Dz. U. Nr 47, poz. 211 z dnia 8 czerwca 1993 r.; zmiany: z 1996 r. Nr 106, poz. 496, z 1997 r. Nr 88, poz. 554, z 1998 r. Nr 106, poz. 668, z 2000 r. Nr 29, poz. 356 i Nr 93, poz. 1027);
  13. System informatyczny – zespół urządzeń, sprzętu komputerowego, oprogramowania oraz baz danych służący do przetwarzania danych osobowych;
  14. Transfer- wyznaczony przez Usługodawcę i zawarty w załączniku do umowy;
  15. Usługodawca – CIGEN Sp. z o. o., ul. Wrocławska 25A, 63-400 Ostrów Wielkopolski;
  16. Ustawa – ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2015 r. poz. 2135, 2281, z 2016 r. poz. 195, ze zm.);
  17. Załącznik do rozporządzenia – załącznik do rozporządzenia rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024).


  1. Założenia oraz zakres zastosowania polityki bezpieczeństwa.

Stosownie do treści ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych  oraz wydanym w oparciu o jej przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r., ustanawia się zbiór reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej, które umożliwią zapewnienie ochrony danych osobowych. Polityka bezpieczeństwa jest dokumentem, który charakteryzuje całokształt czynności zmierzających do uzyskania i utrzymania wymaganego poziomu bezpieczeństwa danych osobowych, na każdym etapie ich przetwarzania

Założeniami polityki bezpieczeństwa są zapewnienie ochrony danych osobowych przed wszelkiego rodzaju zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi, nieświadomymi, bądź świadomymi, a w szczególności:

- dopełnienie wymogów wynikających z powszechnie obowiązujących przepisów w zakresie ochrony danych osobowych,

- zabezpieczenie zasobów systemów informatycznych, infrastruktury technicznej, sprzętu oraz osprzętu przed kradzieżą, zniszczeniem lub uszkodzeniem,

- uniemożliwienie dostępu do informacji stanowiących dane osobowe, ulokowanych w systemach informatycznych zarządzanych przez ADO, osobom do tego nieuprawnionym,

- zapobieżenie zniszczeniu, uszkodzeniu, bądź nieuprawnionej zmianie danych osobowych przetwarzanych w sposób tradycyjny (papierowy) oraz elektroniczny,

- zabezpieczenie dokumentacji tradycyjnej, zawierającej dane osobowe przed ich kradzieżą lub kopiowaniem,

- zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych przez Usługodawcę.

            Polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny, jak również w systemach informatycznych. Procedury i reguły wskazane w polityce bezpieczeństwa stosowane są przez wszystkie osoby upoważnione do przetwarzania danych osobowych, zarówno zatrudnionych na podstawie umowy o pracę, jak i innego tytułu (np. osób świadczących pracę na podstawie umowy cywilnoprawnej, stażystów, praktykantów).

            Założenia ochrony danych osobowych są realizowane w szczególności przez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe oraz aplikacje.

Zgodnie z przepisami regulującymi ochronę danych osobowych, przetwarzanie danych osobowych może mieć miejsce, gdy:

  1. a) osoba, której dane dotyczą, wyrazi zgodę na ich przetwarzanie (nie dotyczy usunięcia danych),
  2. b) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa,
  3. c) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  1. d) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  2. e) jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora Danych Osobowych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W sytuacji, gdy przesłanką legalnego przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą warunkiem jej skuteczności jest dobrowolność oraz świadomość jej złożenia. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być ona w każdym czasie odwołana. Wzór zgody przedstawia załącznik nr 1 do Polityki bezpieczeństwa.

W przypadku zaistnienia przesłanek wskazanych w pkt. 1) pkt b – e  Usługodawca nie musi występować o zgodę na przetwarzanie danych osobowych.

Szczegółowe zasady dotyczące warunków legalnego przetwarzania danych osobowych oraz praw i obowiązków związanych z ich przetwarzaniem zarówno administratora danych, jak i osoby, której dane dotyczą, w szczególności prawa do dobrowolnego podania danych osobowych, ich modyfikacji oraz sprzeciwu wobec ich przetwarzania określa ustawa z dnia 29 sierpnia 1997 roku. .

Administrator Danych Osobowych zobowiązany jest stosować się do unormowań prawnych w przedmiotowym obszarze.

Usługodawca zbiera dane osobowe od osoby, której dane dotyczą.

 Przystępując do zbierania danych osobowych Usługodawca jest zobowiązany poinformować osobę od której dane pochodzą o:

  1. a) pełnej nazwie i adresie swojej siedziby,
  2. b) celu zbierania danych, w szczególności o znanych mu, w czasie udzielania informacji, odbiorcach lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
  3. c) prawie dostępu do treści swoich danych oraz ich poprawiania,
  4. d) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje – o jego podstawę prawną. Wzór informacji dla osoby, której dane dotyczą zawiera załącznik nr 2 do polityki bezpieczeństwa.

Obowiązek informacyjny wypełniany jest w chwili zbierania danych. Nie ma znaczenia sposób zbierania danych: za pomocą platformy rekrutacyjnej, pisemny, telefoniczny, czy też w kontaktach bezpośrednich.

W przypadku zbierania danych nie od osoby, której one dotyczą administrator danych obowiązany jest poinformować tę osobę dodatkowo o źródle, z którego pozyskane są dane oraz prawie do wniesienia żądania zaprzestania przetwarzania danych, sprzeciwu wobec ich przetwarzania lub przekazywania ich innemu administratorowi.

Obowiązku informacyjnego nie wypełnia się jeśli:

  1. a) przepis innej ustawy zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania,
  2. b) osoba, której dane dotyczą, posiada przedmiotowe informacje.

Informacje stanowiące dane osobowe mogą być przekazywane przez ADO, ewentualnie przez umocowanych do tego typu czynności pracowników, wyłącznie w oparciu o przepisy prawa powszechnego i osobom, których te dane dotyczą, chyba że osoby te wyrażą zgodę na przekazywanie danych ich dotyczących wskazanym przez siebie osobom lub podmiotom.

Usługodawca, jako Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej w oparciu o art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

 Do umów zawieranych z podmiotami zewnętrznymi, przy realizacji których istnieje prawdopodobieństwo dostępu do pomieszczeń lub informacji i danych podlegających ochronie powinny zostać włączone klauzule: 

  1. a) dotyczące obowiązku ochrony tych informacji przez strony umowy zarówno w trakcie trwania umowy, jak i po jej ustaniu,
  2. b) ograniczenia dostępu do informacji wyłącznie do osób związanych z realizacją umowy,
  3. c) zakazu ujawniania danych,
  4. d) odpowiedzialności w przypadku naruszenia bezpieczeństwa danych zarówno przez podmiot jak i zatrudnionych pracowników, a w przypadku umów powierzenia przetwarzania danych osobowych również klauzule określające:
  • cel, zakres powierzenia przetwarzania danych osobowych,
  • zasady przetwarzania i ochrony danych przez Zleceniobiorcę zgodnie z ustawą o ochronie danych osobowych,
  • spełnienie wymogów wynikających z Ustawy o ochronie danych osobowych oraz przepisów wykonawczych do niej,
  • prawo kontroli spełnienia wymogów podmiotu, któremu powierzono dane zarówno przed zawarciem umowy, jak i w trakcie jej trwania,
  • odpowiedzialność podmiotu i jego pracowników z tytułu powierzenia przetwarzania powierzonych danych osobowych,
  • obowiązek poinformowania o wszelkich naruszeniach w zakresie przetwarzania danych osobowych oraz kontrolach uprawnionych instytucji zewnętrznych,
  • skutki naruszenia zasad przetwarzania danych osobowych,
  • obowiązek podjęcia działań mających na celu zapobiegnięcie wyciekowi danych oraz wdrożenie środków zapobiegawczych mających na celu brak możliwości wystąpienia naruszeń w przyszłości,
  • prawo do natychmiastowego rozwiązania umowy w przypadku braku przestrzegania jej postanowień.

ADO  zobowiązany są do prowadzenia rejestru umów powierzenia. Podmiot, któremu powierzono przetwarzanie danych osobowych może przetwarzać te dane wyłącznie w zakresie i celu przewidzianym w umowie, ponosi również odpowiedzialność za zachowanie wszelkich wymogów wynikających z przepisów prawa w zakresie ochrony danych osobowych, w szczególności zastosowanie wymogów technicznych i organizacyjnych do zabezpieczenia przedmiotowych danych.

Każdej osobie, której dane są przetwarzane, przysługuje prawo do kontroli przetwarzania tych danych, a w szczególności prawo wglądu do treści danych osobowych oraz:

  1. informacji o:
  • fakcie przetwarzania danych jej dotyczących,
  • pełnej nazwie i adresie siedziby Administratora Danych Osobowych,
  • celu przetwarzania danych,
  • zakresie wykorzystywanych danych (kategoriach przetwarzanych informacji),
  • sposobie przetwarzania danych (środkach, przy pomocy których dane są przetwarzane),
  • dacie, od kiedy dane są przetwarzane przez Administratora Danych Osobowych (dacie włączenia do zbioru),
  • źródle danych, chyba że Administrator Danych Osobowych zobowiązany jest do zachowania w tym zakresie tajemnicy,
  • sposobie udostępniania danych oraz odbiorcach lub kategoriach odbiorców, którym dane są udostępniane,
  • przesłankach podjęcia rozstrzygnięcia, podczas zawierania lub wykonywania umowy uwzględniającego wniosek osoby, której dane dotyczą;
  1. b) żądania uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia;
  2. c) wniesienia - w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy o ochronie danych osobowych - pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz sprzeciwu wobec przetwarzania danych, gdy ADO zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,
  3. d) wniesienia żądania ponownego, indywidualnego rozpatrzenia sprawy, jeżeli treść rozstrzygnięcia, w tej sprawie, jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym;

Udostępnienie informacji, o których mowa powyżej odbywa się na wniosek zainteresowanej osoby, nie częściej niż raz na 6 miesięcy. Fakt udostępnienia informacji należy odnotować w systemie, w którym przetwarzane są dane podlegające udostępnieniu, a w przypadku braku takiej możliwości w ewidencji udostępniania danych osobowych, której wzór wprowadza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych.

Administrator Danych Osobowych, na zgłoszony wniosek zainteresowanego, zobowiązany jest, w terminie 30 dni, poinformować zainteresowaną osobę o przysługujących jej prawach oraz udzielić informacji, o których udostępnienie zainteresowana osoba wnioskuje.

Uzupełnienie, uaktualnienie, sprostowanie, czasowe lub stałe wstrzymanie przetwarzania danych osobowych następuje, na wniosek zainteresowanej osoby, gdy dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane niezgodnie z obowiązującymi przepisami. Do celów dowodowych wymagana jest pisemna forma wniosku. 

Po złożeniu przez zainteresowaną osobę wniosku, o którym mowa w pkt 4), Administrator Danych Osobowych zobowiązany jest bezzwłocznie do dokonania stosownych czynności w celu uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania jej danych, chyba że do odmiennego postępowania uprawniają go obowiązujące przepisy prawa.

Osoba, której dane są przetwarzane, ma prawo do wniesienia pisemnego sprzeciwu wobec przetwarzania jej danych dla celów marketingowych lub przekazania ich innemu administratorowi, w przypadkach przewidzianych przepisami Ustawy o ochronie danych osobowych.

W przypadku wniesienia sprzeciwu, należy bezzwłocznie zaprzestać przetwarzania kwestionowanych danych. W celu uniknięcia ponownego wykorzystania danych osobowych osoby,, w celach objętych sprzeciwem w zbiorze pozostawia się jej imię i nazwisko, numer PESEL lub adres, chyba że system informatyczny wykorzystywany przez Usługodawcę nie zezwala na pozostawienie tych danych.

W przypadku przesyłania przez Usługodawcę dokumentów elektronicznych z danymi osobowymi przy użyciu sieci Internet, należy stosować systemy informatyczne gwarantujące bezpieczeństwo przesyłanych danych, tj. strony szyfrowane, indywidualne katalogi wymiany.

Systemy informatyczne służące do przesyłania danych oraz generowania plików przeznaczonych do wysłania powinny posiadać uaktywnione mechanizmy kontroli dostępu w postaci loginu i hasła.

Dane osobowe należy przesyłać w formie niejawnej i umożliwiającej ich uwierzytelnienie, np. poprzez spakowanie z hasłem lub szyfrowane kanały. W przypadku, gdy elektroniczne przesyłanie danych osobowych, do podmiotów zewnętrznych uprawnionych do ich otrzymania na mocy przepisów prawa, stanowi udostępnianie tych danych, należy przedmiotowy fakt odnotować w systemie lub zaewidencjonować w Ewidencji udostępniania danych osobowych. 

  1. Wykaz budynków i pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

WZÓR:

Administrator danych osobowych jest jedyną osobą upoważnioną do przetwarzania wszystkich danych zawartych w systemie informatycznym oraz danych w formie papierowej. Dostęp do danych w systemie informatycznym odbywa się poprzez (np.  Internet oraz przenośny komputer)

Powyższa zasada wyłączności osoby ADO znajduje odstępstwo w przypadku przedłużającej się nieobecności ADO, co szerzej zostało opisane i przedstawione w Instrukcji zarządzania systemem informatycznym.

ADO wykonuje swoje czynności w wyznaczonym do tego lokalu, znajdującym się przy ul. Wrocławska 25A, 63-400 Ostrów Wielkopolski. W powołanym lokalu zastosowano następujące sposoby zabezpieczenia: (np. wejście do lokalu zabezpieczone jest drzwiami zamykanymi na klucz, jednym zamkiem patentowymi, alarmem i umową z agencją ochroniarską, nieruchomość jest stróżowana 24h na dobę. gdzie ADO oraz osoby wskazane w załączniku nr …. do Instrukcji zarządzania systemem informatycznym  są jedynymi osobami posiadającymi dostęp do tego pomieszczenia.). Lokal wyposażony jest w gaśnicę. W pomieszczeniu tym znajdują się dokumenty zawierające dane osobowe, w formie papierowej. W tym pomieszczeniu ADO i osoby przez niego upoważnione, wskazane w załączniku nr ……… do instrukcji zarządzania systemem informatycznym, korzystając z komputera przenośnego i stacjonarnego łączą się z systemem informatycznym i wykonują swoje czynności, co składa się na przetwarzanie danych osobowych. Nie dokonuje się przetwarzania danych osobowych w jakimkolwiek zakresie, poza wskazanym pomieszczeniem. Sprzęt przy pomocy, którego przetwarzane są dane nie opuszcza tego pomieszczenia, po zakończeniu pracy chowany jest w zamykanej na klucz szafie.

Jeżeli występują inne miejsca należy je wskazać wraz ze wskazaniem zakresu przetwarzania danych osobowych i podstawy stosunku, z którego powierzenie przetwarzania wynika i miejsce (dokładny adres).

W ramach działalności systemu, będzie wykonywany jeden rodzaj kopii zapasowej danych w postaci wirtualnej, tj. w postaci plików na serwerze. Postępowanie w tym zakresie szczegółowo opisano w Instrukcji Zarządzania Systemem Informatycznym.

  1. Wykaz zbiorów danych osobowych wraz ze wskazaniem programu do przetwarzania tych danych.

WZÓR:

W ramach prowadzonej przez Usługodawcę działalności gospodarczej, Usługodawca świadczy na rzecz Klientów usługę polegającą na

  1. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności danych.

7.1. Zabezpieczenie danych osobowych przed osobami nieupoważnionymi.

  1) Przetwarzania danych osobowych należy dokonywać w warunkach zabezpieczających te dane przed osobami nieupoważnionymi;

 2) Pomieszczenia, w których przetwarzane są dane osobowe tworzące obszar szczególnie chroniony zabezpieczone są na czas nieobecności osób zatrudnionych przy przetwarzaniu danych osobowych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych, tj. poprzez zabezpieczenia techniczne, fizyczne i ochronę fizyczną;

 3) Uzasadnione względami służbowymi przebywanie w tych pomieszczeniach osób nieuprawnionych do dostępu do danych jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

4) Pracownicy przetwarzający dane osobowe obowiązani są do prawidłowego zabezpieczania urządzeń i danych na swoich stanowiskach pracy;

5) Dostęp do kluczy do pomieszczeń stanowiących obszar przetwarzania danych osobowych posiadają wyłącznie osoby uprawnione przez ADO do wstępu do tych pomieszczeń. Osoby uprawnione posiadają klucze do tych pomieszczeń;

6) Wszelkie urządzenia i nośniki zawierające dane osobowe, takie jak serwery, komputery główne, urządzenia teletransmisyjne, szafy z nośnikami magnetycznymi zawierające kopie danych powinny być usytuowane w pomieszczeniach uniemożliwiających dostęp do nich osób nieupoważnionych;

7) Wyłączniki oraz zabezpieczenia zasilania elektrycznego, w już użytkowanych obiektach, powinny być zabezpieczone przed dostępem osób nieupoważnionych;

8) Dostęp do pomieszczeń, w których odbywa się przetwarzanie danych osobowych  winien być ściśle kontrolowany poprzez stosowane zabezpieczenia organizacyjne i mechaniczne oraz zainstalowane systemy alarmowe;

9) System informatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;

10) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem;

11) W przypadku zastosowania zabezpieczeń logicznych obejmują one:

  • kontrolę przepływu informacji pomiędzy systemem informatycznym wykorzystywanym przez Usługodawcę, a siecią publiczną,
  • kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego u Usługodawcy,

12) Administrator danych obowiązany jest do zabezpieczenia wykorzystywanych do przetwarzania danych osobowych urządzeń, dysków lub innych elektronicznych nośników informacji. Uregulowania określające rodzaj zastosowanych zabezpieczeń nośników znajdują się w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych.  13) System informatyczny służący do przetwarzania danych osobowych – z wyjątkiem systemu służącego do przetwarzania danych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – powinien zapewniać, aby możliwe było w tym systemie odnotowanie:

  • daty pierwszego wprowadzenia danych osobowych do systemu oraz odnotowanie identyfikatora użytkownika wprowadzającego dane do systemu – powyższy obowiązek nie dotyczy systemu informatycznego, do którego dostęp posiada wyłącznie jedna osoba. W/w odnotowania następują automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych,
  • źródła danych w przypadku zbierania danych nie od osoby, której dane dotyczą,
  • informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie ich udostępnienia,
  • wniesienia sprzeciwu osoby wobec przetwarzania jej danych osobowych: w celach marketingowych lub przekazywania danych innemu administratorowi danych,
  • sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa powyżej.

14) W przypadku wykorzystywania do przetwarzania danych osobowych komputerów przenośnych jego użytkownik zobowiązany jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i używania poza wyznaczonym przez ADO obszarem przetwarzania danych osobowych, w tym stosowania środków ochrony kryptograficznej wobec przetwarzanych danych. Użytkownik komputera przenośnego odpowiada za powierzone mu urządzenie oraz wszelkie operacje wykonywane przy jego użyciu;

15) Komputery przenośne, wykorzystywane do przetwarzania danych osobowych, po zakończonej pracy, winny być przechowywane w warunkach zapewniających ich bezpieczeństwo. Za właściwe zabezpieczenie przedmiotowych urządzeń odpowiedzialni są ich użytkownicy;

16) Lokalizacja urządzeń komputerowych (komputerów typu PC, terminali, drukarek) powinna uniemożliwiać dostęp do nich osób nieuprawnionych oraz wgląd do danych wyświetlanych na monitorach komputerowych;

17) W przypadku oddalenia się pracownika od stanowiska pracy należy pozostawić system w takim stanie, aby osoby nieupoważnione nie miały do niego dostępu. W tym celu konieczne jest zablokowanie komputera (jeżeli istnieją takie możliwości techniczne) oraz stosowanie chronionych hasłem wygaszaczy ekranu z odpowiednim (tj. nie dłuższym niż 10 minut) czasem nieaktywności do ich uruchomienia;

18) Wszystkie prace remontowe, konserwacyjne, naprawcze, a także porządkowe odbywają się w oparciu o zawarte umowy oraz są nadzorowane przez ADO, który uczestniczy podczas ich przeprowadzania;

19) W przypadku naprawy sprzętu komputerowego dane należy zabezpieczyć, natomiast w przypadku naprawy sprzętu poza obszarem przetwarzania danych osobowych, po zabezpieczeniu danych – należy je trwale usunąć z dysku. Gdy nie ma możliwości usunięcia danych naprawa powinna być nadzorowana przez ADO i dokonywana w jego obecności;

20) Szczególnemu nadzorowi podlegają urządzenia umożliwiające tworzenie i przenoszenie dużych ilości danych, w tym nagrywarki DVD oraz nośniki typu pendrive, a także nośniki komputerowe zawierające dane osobowe. Do ich ochrony i zabezpieczenia zobowiązani są wszyscy ich użytkownicy;

21) W przypadku uszkodzenia nośników komputerowych, o których mowa w pkt 20), użytkownicy zobowiązani są do ich trwałego zniszczenia lub przekazania do ADO, w celu zniszczenia; 

22) Uszkodzone nośniki komputerowe (w tym dyski twarde), zawierające dane osobowe, powinny być fizycznie niszczone w sposób uniemożliwiający dostęp do danych osób niepowołanych. Do czasu zniszczenia nośniki komputerowe powinny być zabezpieczone przed dostępem osób nieupoważnionych;

23) Dopuszcza się ponowne wykorzystanie urządzeń i nośników komputerowych zawierających dane osobowe;

24) Urządzenia i nośniki komputerowe zawierające dane osobowe, przeznaczone do ponownego wykorzystania lub przekazania innemu podmiotowi należy - przed ich wykorzystaniem lub przekazaniem - pozbawić zapisu w sposób gwarantujący trwałe usunięcie danych (za pomocą specjalistycznego oprogramowania);

25) Unormowania dotyczące obszaru szczególnie chronionego oraz zasad zabezpieczenia danych osobowych przed osobami nieupoważnionymi stosuje się analogicznie w odniesieniu do informacji podlegających ochronie, za wyjątkiem informacji niejawnych, których zasady ochrony normowane są odrębnie. 

7.2. Kontrola dostępu do danych:

1) System informatyczny przetwarzający dane powinien być wyposażony w mechanizmy uwierzytelniania użytkowników oraz kontroli dostępu do danych;

2) Wszystkie mechanizmy, o których mowa w pkt 1), winny być uaktywnione;

3) Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, a także do obsługi kartotek i dokumentów zawierających dane osobowe przetwarzanych w formie papierowej mogą zostać dopuszczone wyłącznie osoby posiadające upoważnienie ADO;

4) Dostęp do danych przyznaje się w oparciu o rolę jaką dana osoba pełni w związku z realizacją czynności wykonywanych w ramach zakresu obowiązków oraz poleceń przełożonego;

5) Dopuszcza się możliwość dostępu do danych przez podmioty zewnętrzne w przypadku zaistnienia okoliczności wynikających z obowiązujących przepisów prawa oraz zawartych umów. W odniesieniu do osób nie będących pracownikami Usługodawcy zasady ochrony i dostępu do danych są określone w odrębnych umowach, zaś nadzór nad przestrzeganiem wszelkich przepisów prawnych i uregulowań z zakresu ochrony danych spoczywa na właścicielu lub organie decyzyjnym podmiotu współpracującego;

6) Czas dostępu użytkownika do poszczególnych danych określony jest czasem wykonania zadania wynikającego z pełnionej roli;

7) Szczegółowy opis procesu zarządzania uprawnieniami do dostępu do danych osobowych i obsługi systemu informatycznego oraz nadawania, modyfikacji i anulowania uprawnień użytkowników realizowane są według zasad określonych w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych;

8) Usługodawca jako ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych podlegającą aktualizacji w związku z nadawaniem, modyfikowaniem i anulowaniem uprawnień użytkowników. Sposób prowadzenia ewidencji określa Instrukcja, o której mowa w pkt 7);

9) Osoby, które zostały upoważnione do przetwarzania danych osobowych obowiązane są do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia;

10) System informatyczny musi zapewniać autoryzację i rozliczalność operacji. Każde działanie w systemie informatycznym powinno być jednoznacznie przypisane do unikalnego identyfikatora;

11) Dostęp do danych w systemie informatycznym powinien być kontrolowany. Jest on możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Identyfikator przydzielany jest użytkownikowi na stałe. Uwierzytelnienie użytkownika następuje za pomocą indywidualnego hasła. Szczegółowe zasady w zakresie metod i środków uwierzytelniania oraz sposobu zarządzania hasłami do systemów informatycznych i wymagań dotyczących haseł określone są w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych;

12) System informatyczny powinien posiadać możliwość kontroli złożoności i długości haseł; 13) Przed uruchomieniem komputera na stanowisku pracy każdy użytkownik powinien dokonać przeglądu i sprawdzenia urządzeń komputerowych pod kątem ujawnienia okoliczności wskazujących na naruszenie dostępu do tych urządzeń lub danych zawartych na nich;

14) Praca w systemie informatycznym powinna być inicjowana właściwą dla danego systemu procedurą „login”, która wymaga podania identyfikatora i hasła;

15) Jeśli istnieją możliwości techniczne, system informatyczny powinien wymuszać skończoną liczbę prób logowania, nie większą niż trzy;

16) Użytkownik opuszczając stanowisko pracy winien zwrócić szczególną uwagę na uniemożliwienie wykorzystywania systemu komputerowego przez osoby nieupoważnione, w szczególności na włączenie opcji wygaszacza ekranu po upływie ustalonego czasu nieaktywności użytkownika. Zaleca się ręczne blokowanie komputera przez użytkownika;

17) W przypadku zakończenia pracy, każdy użytkownik zobowiązany jest do:

  1. a) wykonania właściwej funkcji „wylogowania”;
  2. b) wyłączenia sprzętu komputerowego;
  3. c) zabezpieczenia stanowiska pracy, w szczególności dokumentacji i wymiennych nośników danych.

7.3. Archiwizacja danych osobowych:

1) Wszystkie bazy danych osobowych przetwarzane przez Usługodawcę podlegają zabezpieczeniu i archiwizowaniu;

2) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych baz danych oraz programów służących do przetwarzania danych;

3) Dostęp do kopii powinien być kontrolowany, przetwarzanie kopii archiwalnych powinno zapewniać ich poufność, integralność (stopień w zależności od krytyczności danych) oraz dostępność (w stopniu zdefiniowanym przez właściciela);

4) Szczegółowe unormowania dotyczące tworzenia, przechowywania i usuwania kopii określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych. 

7.4. Zabezpieczenie danych osobowych zapisanych w formie papierowej:

1) Za bezpieczeństwo danych osobowych zapisanych w formie papierowej odpowiedzialny jest ADO;

2) Wszystkie dane osobowe, o których mowa w pkt 1, powinny być zabezpieczone przed osobami nieupoważnionymi oraz przechowywane w urządzeniach gwarantujących dostęp do nich wyłącznie uprawnionych pracowników, tj. przynajmniej w pomieszczeniach zamykanych na klucz zabezpieczonych monitorowanym systemem alarmowym, z zastosowaniem dodatkowego zabezpieczenia w postaci szafy drewnianej zamykanej na klucz lub szafy metalowej – w odniesieniu do szczególnie istotnych dla działalności Usługodawcy;

3) Wszelkie dokumenty i wydruki zawierające dane osobowe przeznaczone do usunięcia należy niszczyć w stopniu uniemożliwiającym ich odczytanie (przy użyciu niszczarki). Dopuszcza się możliwość niszczenia dokumentów zawierających dane osobowe przez specjalistyczne firmy zewnętrzne. Warunkiem skorzystania z usług tego typu firm jest zawarcie umowy cywilnoprawnej, w której należy zawrzeć klauzule zobowiązujące firmę do zapewnienia stanu poufności informacji uzyskanych w toku realizacji umowy oraz określić kwestie związane z przekazaniem dokumentów do zniszczenia, sposobem zniszczenia oraz potwierdzenia tego faktu w postaci protokołów i certyfikatów. 

7.5. Ochrona systemu przed wirusami

W celu ochrony danych osobowych przetwarzanych w systemach informatycznych  przed szkodliwym oprogramowaniem należy stosować zabezpieczenia techniczne minimalizujące ryzyko utraty lub uszkodzenia danych.

Sposób postępowania i ochrony zasobów informatycznych przed wirusami normuje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych.