Polityka bezpieczeństwa - e

Załącznik nr 1 do Zarządzenia Dyrektora OSiR nr 38 z dnia 29 marca 2011 r.
Polityka bezpieczeństwa ochrony danych osobowych w Ośrodku
Sportu i Rekreacji w Olsztynie
I.
Wstęp
Administrator Danych Osobowych zwany dalej ADO, świadomy wagi zagrożeń prywatności,
w tym zwłaszcza zagrożeń danych osobowych przetwarzanych w związku z prowadzeniem
statutowej działalności ośrodka, deklaruje podejmowanie wszelkich możliwych działań
koniecznych do zapobiegania zagrożeniom, m.in. takim jak:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na
zasoby systemu, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad,
kradzież, włamanie, działania terrorystyczne, niepożądana ingerencja ekipy
remontowej;
2) niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych
(nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola
elektromagnetycznego i inne);
3) awarie sprzętu lub oprogramowania, , niewłaściwe działanie serwisantów, w tym
pozostawienie serwisantów bez nadzoru, a także przyzwolenie na naprawę sprzętu
zawierającego dane poza siedzibą ADO;
4) podejmowanie pracy w systemie z łamaniem lub zaniechaniem stosowania procedur
ochrony danych, np. praca osoby, która nie jest upoważniona do przetwarzania, próby
stosowania nie swojego hasła i identyfikatora przez osoby upoważnione;
5) celowe lub przypadkowe rozproszenie danych w Internecie z ominięciem
zabezpieczeń systemu lub wykorzystaniem błędów systemu informatycznego ADO;
6) ataki z Internetu;
7) naruszenia zasad i procedur określonych w dokumentacji z zakresu ochrony danych
osobowych przez osoby upoważnione do przetwarzania danych osobowych, związane
z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza:
- niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy
(nieprawidłowe wyłączenie komputera, niezablokowanie wyświetlenia treści pracy
na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy,
pozostawienie po zakończeniu pracy nie schowanych do zamykanych na klucz szaf
dokumentów zawierających dane osobowe, niezamknięcie na klucz pokoju po jego
opuszczeniu, nieoddanie klucza na portiernię),
- naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie,
- ujawnienie osobom nieupoważnionym procedur ochrony danych stosowanych u ADO,
- ujawnienie osobom nieupoważnionym danych przetwarzanych przez ADO, w tym
również nieumyślne ujawnienie danych osobom postronnym, przebywającym bez
nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach ADO,
- niewykonywanie stosownych kopii zapasowych,
- przetwarzanie danych osobowych w celach prywatnych,
- wprowadzanie zmian do systemu informatycznego ADO i instalowanie programów
bez zgody Administratora Systemu Informatycznego (ASI) lub Administratora
Bezpieczeństwa Informacji (ABI).
II.
1.
Postanowienia ogólne
Definicje
Ilekroć w instrukcji jest mowa o:
1) ABI – rozumie się przez to osobę, której ADO powierzył pełnienie obowiązków
Administratora Bezpieczeństwa Informacji,
2) ADO – rozumie się przez to Administratora Danych Osobowych, reprezentowanego
przez dyrektora OSiR,
3) ASI – rozumie się przez to Administratora Systemu Informatycznego - firmę
obsługującą zasoby informatyczne,
4) danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (nie uważa się
za dane osobowe dane osób fizycznych, zarejestrowane z uwagi na prowadzoną przez
nie działalność gospodarczą),
5) GIODO – rozumie się przez to Głównego Inspektora Ochrony Danych Osobowych,
6) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany
jedynie użytkownikowi,
7) identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych,
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym,
8) MAS – rozumie się przez to Merytorycznego Administratora Systemu,
9) naruszeniu ochrony danych osobowych – rozumie się przez to zdarzenie lub
działanie, które stanowi lub może stanowić przyczynę utraty poufności lub
integralności danych osobowych oraz zmniejszenie dostępności lub niezawodności
systemów, a także odstępstwo od obowiązujących procedur postępowania, nawet,
jeżeli nie prowadzi do wyżej wymienionych skutków,
10) obszarze przetwarzania – rozumie się przez to strefę lub pomieszczenie, w którym
dokonuje się przetwarzania danych,
11) ochronie danych (które należy utożsamiać z pojęciem bezpieczeństwa informacji) –
rozumie się przez to zachowanie poufności, integralności, dostępności, rozliczalności,
autentyczności, niezaprzeczalności i niezawodności; wymienione właściwości
polegają odpowiednio na:
- poufność
- zapewnieniu, że informacja nie jest udostępniana lub
ujawniana nieautoryzowanym osobom, podmiotom lub
procesom,
- integralność
- zapewnieniu, że dane nie zostały zmienione lub zniszczone
w sposób nieautoryzowany,
- dostępność
- zapewnieniu bycia osiągalnymi możliwym do wykorzystania
na żądanie, w założonym czasie, przez autoryzowany podmiot,
- rozliczalność
- zapewnieniu, że działania podmiotu mogą być przypisane
w sposób jednoznaczny tylko temu podmiotowi,
- autentyczność
- zapewnieniu, że tożsamość podmiotu lub zasobu jest taka,
jak deklarowana (autentyczność dotyczy użytkowników,
procesów, systemów i informacji),
- niezaprzeczalność - braku możliwości wyparcia się swego uczestnictwa w całości
lub w części wymiany danych przez jeden z podmiotów
uczestniczących w tej wymianie,
- niezawodność
- zapewnieniu spójności oraz zamierzonych zachowań
2
i skutków,
12) osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę,
która upoważniona została do przetwarzania danych osobowych przez ADO na piśmie,
13) ośrodku – rozumie się przez to Ośrodek Sportu i Rekreacji w Olsztynie
14) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych,
15) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (DzU nr 100, poz. 1024),
16) sieci publicznej – rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 28
ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU nr 171, poz. 1800 ze
zm.),
17) sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu
art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU nr 171,
poz. 1800 ze zm.),
18) serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się
sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego,
19) systemie – rozumie się przez to system informatyczny lub system nieinformatyczny,
20) systemie informatycznym – rozumie się przez to system przetwarzania danych
osobowych w postaci elektronicznej,
21) systemie nieinformatycznym – rozumie się przez to kartoteki, skorowidze, księgi,
wykazy, zbiory ewidencyjne, itp. zawierające dane osobowe,
22) teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci
telekomunikacyjnej,
23) udostępnianiu danych – należy przez to rozumieć przekazywanie danych odbiorcy
w rozumieniu art. 7 pkt 6 uodo,
24) uodo – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm.),
25) uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja
deklarowanej tożsamości podmiotu,
26) użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym, której nadano identyfikator i przyznano
hasło,
27) WS – rozumie się przez to właściciela systemu.
2.
Cel
Wdrożenie polityki bezpieczeństwa u ADO ma na celu zabezpieczenie danych osobowych
przetwarzanych w ośrodku, w tym danych przetwarzanych w systemie informatycznym ADO
i poza nim, poprzez wykonanie obowiązków wynikających z uodo i rozporządzenia.
W związku z tym, że w zbiorach ADO przetwarzane są między innymi dane wrażliwe,
a system informatyczny ADO posiada szerokopasmowe połączenie z Internetem , niniejsza
polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa danych
osobowych w rozumieniu § 6 rozporządzenia. Dokument ten opisuje niezbędny do uzyskania
tego bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych
oraz ich zabezpieczenia.
3
3.
Zakres stosowania
Dokument określa:
1) ogólne zasady ochrony:
- danych osobowych (przetwarzanych w formie papierowej i elektronicznej),
- systemów do przetwarzania danych osobowych,
- obszarów przetwarzania,
2) procedury i zasady ochrony danych osobowych stosuje się do wszystkich osób
upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych jak
i innych, np. wolontariuszy, praktykantów.
III. Organizacja przetwarzania danych osobowych
1.
Administrator Danych Osobowych (ADO)
W Ośrodku Sportu i Rekreacji Administratorem Danych Osobowych jest Dyrektor OSiR.
ADO w zakresie ochrony danych osobowych realizuje następujące zadania, w tym zwłaszcza:
1) podejmuje decyzje o celach i środkach przetwarzania danych z uwzględnieniem
przede wszystkim zmian w obowiązującym prawie, organizacji ADO oraz technik
zabezpieczenia danych osobowych;
2) upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym
indywidualnie zakresie, odpowiadającym zakresowi jej obowiązków;
3) wyznacza i odwołuje oraz określa zakres ich zadań i czynności:
- Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad
ochrony przetwarzanych danych osobowych,
- Właścicieli Systemów (WS) - Merytorycznych Administratorów Systemów (MAS)
bezpośrednio zapewniających prawidłową eksploatację systemów informatycznych
oraz odpowiedzialnych za użytkowanie systemów zgodnie z celami przetwarzania
danych osobowych,
- Administratorów Systemów Informatycznych dla zapewnienia technicznego
wsparcia i obsługi systemów informatycznych służących do przetwarzania danych
osobowych.
4) wyznacza pracownika właściwego do prowadzenia ewidencji osób upoważnionych
do przetwarzania danych osobowych oraz pozostałej dokumentacji z zakresu ochrony
danych,
5) zleca kierownikowi działu Administracyjno-Gospodarczego, by we współpracy z ASI
oraz ABI zapewnił użytkownikom odpowiednie stanowiska pracy umożliwiające
bezpieczne przetwarzanie danych
6) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia
procedur bezpiecznego przetwarzania danych osobowych.
2.
Administrator Bezpieczeństwa Informacji (ABI)
ABI realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych
osobowych, w tym zwłaszcza:
1) sprawuje nadzór nad wdrożeniem środków fizycznych, organizacyjnych i technicznych
4
w celu zapewnienia bezpieczeństwa danych,
2) sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad
prowadzeniem ewidencji z zakresu ochrony danych osobowych,
3) prowadzi rejestr upoważnień zawierający informacje o upoważnionych pracownikach
oraz okresie ważności upoważnienia do przetwarzania danych osobowych,
4) przeprowadza raz w roku przegląd przetwarzanych danych osobowych pod kątem
celowości ich dalszego przetwarzania i sporządza protokół z przeglądu podpisywany
przez siebie i przez kierownika
5) wskazuje w dokumencie przekazania komputera przenośnego osobie upoważnionej
do przetwarzania danych osobowych konieczność i częstotliwość sporządzania kopii
zapasowych danych przetwarzanych na komputerze przenośnym (patrz pkt 9)
6) koordynuje wewnętrzne audyty przestrzegania przepisów o ochronie danych
osobowych,
7) nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom,
w tym przydziela w porozumieniu z ASI pracownikowi upoważnionemu do
przetwarzania danych konto w systemie informatycznym, dostępne po wprowadzeniu
prawidłowego identyfikatora i uwierzytelnienia hasłem.
8) przygotuje wykaz zbiorów danych (ewidencyjnych), w którym poszczególnym
kategoriom danych osobowych przypisane zostaną okresy ich przechowywania.
Wykaz ten zostanie sporządzony po przeanalizowaniu przepisów wyznaczających
m.in. obowiązek przechowywania dokumentacji i okresów przedawnienia roszczeń
udokumentowanych z wykorzystaniem danych osobowych. Przed sporządzeniem
takiego wykazu przygotowany zostanie wykaz przepisów, na mocy których
przetwarzane są dane osobowe, na podstawie wykazów cząstkowych, sporządzonych
przez poszczególne komórki organizacyjne.
9) przygotowuje wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych
oraz prowadzi inną korespondencję z GIODO.
10) zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczących
ochrony danych osobowych, przygotowywane przez komórki organizacyjne ośrodka,
11) nadzoruje i prowadzi ewidencję dokumentacji z zakresu ochrony danych osobowych,
12) prowadzi oraz aktualizuje dokumentację opisującą sposób przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych,
13) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia
systemu informatycznego,
14) przygotowuje wyciągi z polityki bezpieczeństwa, dostosowane do zakresów
obowiązków osób upoważnianych do przetwarzania danych osobowych,
15) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych oraz
prowadzi szkolenia osób upoważnianych do przetwarzania danych osobowych,
16) w porozumieniu z ADO na czas nieobecności (urlop, choroba) wyznacza swojego
zastępcę.
17) prowadzi przechowywaną w kasie pancernej ewidencję komputerów przenośnych,
nośników przenośnych oraz kluczy kryptograficznych,
18) sporządza protokoły z awarii, konserwacji i napraw systemu informatycznego.
5
Protokół podpisywany jest przez osoby w tych działaniach uczestniczące, a także
przez ABI,
19) monitoruje dostęp do systemu informatycznego w tym do poszczególnych stacji
roboczych,
20) przygotuje wzór dokumentów przewidujących powiadomienie, o którym mowa w art.
24 lub 25 ustawy.
3.
Administrator Systemu Informatycznego (ASI)
ASI realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem
informatycznym ADO, w tym zwłaszcza:
1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe,
2) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w
którym przetwarzane są dane osobowe,
3) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli
dostępu do danych osobowych,
4) podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do
systemu informatycznego,
5) w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje
ABI o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia,
6) sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń
komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii
zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich
dalszej przydatności do odtwarzania danych w przypadku awarii systemu
informatycznego,
7) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów,
innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz
zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej
teletransmisji,
8) współpracuje i jeśli zajdzie konieczność udziela pomocy dla ABI
4.
Pracownik działu kadr
Pracownik działu kadr realizuje przede wszystkim następujące zadania w zakresie ochrony
danych osobowych:
1) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych oraz
rejestr udostępnień,
2) występuje z wnioskiem do administratora danych ADO o nadanie upoważnienia do
przetwarzania danych osobowych,
3) występuje z wnioskiem do ABI o nadanie identyfikatora i przyznanie hasła osobie
upoważnionej do przetwarzania danych osobowych w systemie informatycznym,
4) występuje z wnioskiem o odwołanie upoważnienia do przetwarzania danych
6
osobowych i/lub wyrejestrowania użytkownika z systemu informatycznego.
5.
Osoba upoważniona do przetwarzania danych osobowych
Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać
następujących zasad:
1) może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie
przez ADO w upoważnieniu i tylko w celu wykonywania nałożonych na nią
obowiązków (rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje
wygaśnięcie upoważnienia do przetwarzania danych osobowych),
2) musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich
bezpiecznego przetwarzania,
3) przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres
zatrudnienia u ADO, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej
funkcji,
4) zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz
postanowieniami polityki bezpieczeństwa i instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych,
5) stosuje określone przez ADO oraz ABI procedury oraz wytyczne mające na celu
zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych,
6) korzysta z systemu informatycznego ADO w sposób zgodny ze wskazówkami
zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu
informatycznego, oprogramowania i nośników,
7) zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.
IV. Wykaz budynków, pomieszczeń i części pomieszczeń tworzących
obszar, w którym przetwarzane są dane osobowe
Obszar przetwarzania danych osobowych Ośrodka Sportu i Rekreacji w Olsztynie obejmuje
następujące budynki, pomieszczenia i części pomieszczeń:
- obszarami, w których dane osobowe są przetwarzane z użyciem sprzętu
komputerowego są: Ośrodek Sportu i Rekreacji w Olsztynie i wyodrębnione
organizacyjnie obiekty OSiR.
1.
Lp.
1.
Zbiory danych
Nazwa jednostki
organizacyjnej
Ośrodek Sportu i
Rekreacji w Olsztynie
Adres
Olsztyn ul.
Żołnierska 13a
Obszar przetwarzania danych
Dokumentacja dot. usług w
szczególności: wystawianie pokwitowań,
dowodów finansowo – księgowych,
wezwań do zapłaty, korespondencja, akta
7
osobowe itp. Dokumentacja dotycząca
kar ograniczenia wolności
Pomieszczenia nr 1, 3, 7
Dział finansowy i kadry
Programy
zastosowane do
przetwarzania /
Nazwa zasobu*
Lokalizacja
zbioru/zasobu
Miejsce
przetwarzania
danych
parter- pokój 1i 3
parter- pokój 1
1.
„Kadry i Fk”
Płace, gospodarka
magazynowa,
Softar System
Firma,
2.
„Kadry i Fk”
Edytor tekstu
parter- pokój 1i 3
parter- pokój 1i 3
3.
Kadry i Fk””
Gospodarka
magazynowa
parter- pokój 1
parter- pokój 1
4.
Kadry i Fk”
Kadry
parter- pokój 3,
piwnica - archiwum
parter- pokój 3,
piwnica - archiwum
5.
Kadry i Fk”
Rejestr faktur,
finansowoksięgowy,
Pokój 7
Pokój 7
Samodzielne stanowiska
1.
stanowiska techniczne
Norma Ekspert,
Przegląd i kontrola
Budynku, Do
kosztorysowania
2.
Radca prawny
3.
Zamówienia publiczne
Parter-pokój 2
Parter-pokój 2
Edytor tekstu
1 piętro pokój 9
1 piętro pokój 9
Edytor tekstu
Piwnica
piwnica
Obiekty
1.
Hotel Relaks Olsztyn ul.
Żołnierska 13a
Program Rechot,
edytor tekstu
2.
Zespół Krytych Obiektów
Sportowych I Olsztyn ul.
Głowackiego 27
Czarodziej faktur
edytor tekstu
3.
Zespół Krytych Obiektów
Sportowych II Olsztyn,
ul. Lengowskiego
Czarodziej faktur
edytor tekstu
4.
Lodowisko-Boisko
Olsztyn,
ul. Jeziołowicza 4
Dokumentacja dot. usług w szczególności:
Meldowanie osób – gości hotelowych,
korespondencja z klientami, faktury.
Dokumenty związane ze stosunkiem pracy
Dokumentacja dot. usług w szczególności:
Listy klientów, korespondencja, faktury,
umowy
Dokumentacja dot. usług w szczególności:
Listy klientów, korespondencja, faktury,
umowy
Dokumenty związane ze stosunkiem pracy
Dokumentacja dot. usług w szczególności:
Listy klientów, korespondencja. Dokumenty
związane ze stosunkiem pracy
8
Czarodziej faktur,
Subiekt, edytor
tekstu
5.
Ośrodek Wypoczynkowy
„Kłobuk” Nowa Kaletka
6.
ZOWR Plaża Olsztyn ul.
Jeziorna 8
edytor tekstu
7.
Przystań Olsztyn ul.
Jodłowa 9a
edytor tekstu
8.
Przystań Słoneczna
Polana (BSW) Olsztyn ul.
Sielska 38
edytor tekstu
9.
ZOOS „STADION”
Olsztyn, ul. Piłsudskiego
69a
edytor tekstu
10.
HWS „URANIA”
Olsztyn ul. Piłsudskiego
44
Czarodziej faktur
edytor tekstu
11.
Dział Sportu Olsztyn, ul.
Żołnierska 13a
edytor tekstu
2.
Dokumentacja dot. usług w szczególności:
Meldowanie osób – gości hotelowych,
korespondencja z klientami, faktury, umowy.
Dokumenty związane ze stosunkiem pracy
Dokumentacja dot. usług w szczególności:
Wystawianie pokwitowań, dowodów
finansowo-księgowych – faktur, umowy.
Dokumenty związane ze stosunkiem pracy.
Dokumentacja dot. usług w szczególności:
Wystawianie pokwitowań, dowodów
finansowo-księgowych – faktur. Dokumenty
związane ze stosunkiem pracy.
Dokumentacja dot. usług w szczególności:
Wystawianie pokwitowań, dowodów
finansowo-księgowych – faktur, umowy.
Dokumenty związane ze stosunkiem pracy.
Dokumentacja dot. usług w szczególności:
Wystawianie pokwitowań, dowodów
finansowo-księgowych – faktur, umowy.
Dokumenty związane ze stosunkiem pracy.
Dokumentacja dot. usług w szczególności:
Wystawianie pokwitowań, dowodów
finansowo-księgowych – faktur, umowy
Listy uczestników, listy kontrahentów.
Dokumenty związane ze stosunkiem pracy.
Dokumentacja dot. usług w szczególności:
Wystawianie pokwitowań, dowodów
finansowo-księgowych – faktur, umowy
Dokumenty związane ze stosunkiem pracy,
deklaracji udziału w zawodach.
Ewidencje wykonania kar
System informatyczny1
System informatyczny ADO obsługiwany jest przez serwery zlokalizowane w pok. nr 010.
System ten ma bezpieczne połączenie z Internetem. W systemie informatycznym
przetwarzane są dane ze zbiorów danych ADO, tj. „Kadr i wynagrodzeń” oraz „Obiekty”.
Stacje robocze są zlokalizowane w siedzibie zarządu OSiR i podległych obiektach.
1
Zgodnie z art. 7 pkt 2a ustawy system informatyczny to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych. Pojęcie „system informatyczny” obejmuje elementy zaliczone do czterech kategorii.
Są to:
1) urządzenia,
2) programy,
3) procedury przetwarzania informacji,
4) narzędzia programowe.
Urządzenie to „rodzaj mechanizmu lub zespół elementów, przyrządów służących do wykonania określonej
czynności, ułatwiający pracę”. Program – według znaczenia przyjmowanego w informatyce – to
odpowiednio uporządkowana sekwencja instrukcji, mająca na celu wykonanie określonych zadań. Procedury
przetwarzania informacji mogłyby być utożsamiane z programem, lecz wobec ich odrębnego wskazania w
analizowanej definicji należy przyjąć, że są to procedury inne niż przyjęte w stosowanych w konkretnym
przypadku programach. Narzędzia programowe także mieszczą się w kategorii oprogramowania.
9
V.
1.
Struktura zbiorów danych, sposób przepływu danych w systemie
i zakres przetwarzania danych
Zbiór danych „Kadry i wynagrodzenia”
Zbiór ten obejmuje dane byłych i obecnych pracowników oraz osób świadczących usługi na
rzecz ADO na innej podstawie niż stosunek pracy.
1) Zakres pierwszy danych tego zbioru, tzn. imię i nazwisko osoby oraz jej numer
telefonu służbowego, dostępny jest wszystkim pracownikom ADO, a także niektórym
osobom świadczącym usługi na rzecz ADO na innej podstawie niż stosunek pracy.
Zakres drugi danych tego zbioru, tzn. imię i nazwisko osoby, jej adres, numer
telefonu, wysokość wynagrodzenia, podstawowe, niezbędne do ustalenia wysokości
wynagrodzenia, dane dotyczące stażu pracy, wykształcenia, urlopów i zwolnień,
numer dowodu osobistego, numer konta bankowego, numer NIP i PESEL, imiona
rodziców, datę i miejsce urodzenia, dostępny jest pracownikom działu kadr
i księgowości. Dane tego zakresu są udostępniane przez upoważnionych
pracowników księgowości ZUS-owi i urzędom skarbowym.
2) Zakres trzeci danych tego zbioru obejmuje dane kadrowe (w tym dane wrażliwe),
takie jak informacje o odbytych szkoleniach, urlopach, dane dotyczące wykształcenia,
zainteresowań i hobby, informacje o posiadanych dzieciach, zawartych związkach
małżeńskich, a także dane o stanie zdrowia, wynikające z zaświadczeń lekarskich,
wydawanych zwłaszcza w wyniku badań profilaktycznych (wstępnych, okresowych,
kontrolnych). Dostęp do tych danych posiadają wyłącznie dyrektor oraz pracownicy
działu kadr. Dane z tego zakresu mogą być udostępniane organom prowadzącym
kontrolę, w tym zwłaszcza Państwowej Inspekcji Pracy i sądom powszechnym
w związku z prowadzonym postępowaniem.
3) W systemie informatycznym ADO dane zbioru „Kadry i wynagrodzenia” są
przetwarzane tylko w pierwszym i drugim zakresie. Na polecenie wyznaczonego
pracownika działu kadr pracownicy tego działu przygotowują w programie „Edytor
tekstu” teksty umów o pracę, porozumień i wypowiedzeń zmieniających, informacje
o warunkach zatrudnienia, przekazywane zgodnie z art. 29 kp, zakresy obowiązków,
korespondencję w sprawie zatrudnienia i wysokości zarobków. Dostęp do nich jest
możliwy po wprowadzeniu odpowiedniego identyfikatora użytkownika (pracownika
księgowości, kadr lub ADO).
4) Dane pierwszego i drugiego zakresu przetwarzane są za pomocą programu
„SOFTAR-Płace”, z którego niezbędne dane są importowane półautomatycznie do
programu „Płatnik”, służącego do korespondencji z zakładem ZUS. Kontakt z ZUSem odbywa się elektronicznie i jest uwierzytelniany zmienianym certyfikatem
dostępu z przypisanym mu hasłem.
5) Na tym samym komputerze przetwarzane są dane (imię i nazwisko, adres, numer
rachunku) w systemie bankowości elektronicznej za pomocą programu „PekaoBIZNES24”, dostępnym po połączeniu z siecią Internet (on-line), w którym tworzy
się przelewy wynagrodzeń. Każdorazowy przelew opatrzony jest bezpiecznym
podpisem elektronicznym, składanym przez pracownika księgowości upoważnionego
przez dyrektora.
10
2.
Zbiór danych „Baza danych klientów”
1) Baza danych klientów hotelu Relaks i ośrodka wypoczynkowego Kłobuk w Nowej
Kaletce podlegających obowiązkowi meldunkowemu, zgodnie z ustawą z dnia
10.04.1974r. o ewidencji ludności i dowodach osobistych, tworzona jest w związku
z wypełnieniem obowiązku wynikającego z przepisu prawa, w szczególności poprzez
rejestrację danych w miejscach pobytu.
2) W celu wypełnienia obowiązku meldunkowego zbierane są dane w następującym
zakresie:
a) w stosunku do obywateli naszego kraju przetwarzane są następujące dane:
- imię, nazwisko i adres zamieszkania (miejscowość, kod, ulica, nr domu i lokalu),
- data i miejsce urodzenia,
- kraj urodzenia,
- imiona rodziców,
- rodzaj (dowód osobisty, prawo jazdy, paszport), seria i nr dokumentu tożsamości,
- nr ewidencyjny PESEL
b) w stosunku do obcokrajowców:
- narodowość,
- nr paszportu,
- data urodzenia
c) a w stosunku do obcokrajowców posługujących się dowodem kraju pochodzenia:
- imię, nazwisko i adres zamieszkania (kraj, miejscowość, kod, ulica, nr domu,
nr lokalu),
- data i miejsce urodzenia,
- narodowość,
- rodzaj, seria i nr dokumentu tożsamości dokumentu tożsamości,
- nr ewidencyjny kraju pochodzenia, jeśli jest w dokumencie tożsamości.
3) W stosunku do klientów korzystających z usług ośrodka, w tym z obiektów, urządzeń
sportowo-rekreacyjnych itp., przetwarzanie danych osobowych obejmuje m.in.
sporządzanie list osób uprawnionych do korzystania z ww. usług i obiektów, list
zawodników, wystawianie imiennych pokwitowań, faktur, zawieranie umów,
wystawianie dokumentów rozliczeniowych, wezwań, ponagleń.
4) W stosunku do ukaranych prawomocnym wyrokiem sądu, skierowanych do prac na
rzecz OsiR - na czas wykonywania prac (czas określony decyzją sądu) z sądu do
ośrodka przekazywane są akta ukaranych zawierające ich dane (imię, nazwisko, data
oraz miejsce urodzenia, imię ojca, adres zamieszkania, wymiar kary ograniczenia
wolności, czas i forma odpracowania kary) wraz z kopią wyroku. Akta te opatrzone
są sygnaturą sprawy. Na ich podstawie pracownik działu kadr tworzy listę obecności
zawierającą imię i nazwisko oraz datę i ilość godzin do odpracowania, a także wykaz
skazanych zawierający (imię i nazwisko, sygnatura akt ilość godzin do odpracowania
w danym miesiącu, data zgłoszenia się ukaranego do odbywania kary). Osoba
odpowiedzialna za wykonanie pracy w danym obiekcie sportowym OSiR sporządza
wykaz zawierający dane o przebiegu wykonania kary przez każdą osobę skierowaną
do odbycia kary. Wykaz zawiera informacje: imię i nazwisko, sygnatura akt, data
wykonania pracy, ilość przepracowanych godzin, miejsce wykonywania pracy, rodzaj
pracy, ocena pracy. Akta przechowywane są w zamkniętej na klucz szafie w dziale
kadr; akta nie są kopiowane i nie są sporządzane żadne odpisy. Po zakończeniu
11
okresu wykonywania pracy akta są zwracane do sądu wraz z kopią wykazu
zawierającego dane o przebiegu wykonania kary. Druga kopia zostaje w ośrodku.
VI. Strategia zabezpieczenia danych osobowych (działania niezbędne do
zapewnienia poufności, integralności i rozliczalności przetwarzanych
danych)
1.
Bezpieczeństwo osobowe
Zachowanie poufności
1) ADO przeprowadza nabór na wolne stanowiska w drodze konkursu. Kandydaci na
pracowników są dobierani z uwzględnieniem ich kompetencji merytorycznych,
a także kwalifikacji moralnych. Zwraca się uwagę na takie cechy kandydata, jak
uczciwość, odpowiedzialność, przewidywalność zachowań.
2) Ryzyko utraty bezpieczeństwa danych przetwarzanych przez ADO pojawiające się ze
strony osób trzecich, które mogą mieć dostęp do danych osobowych (np. serwisanci),
jest minimalizowane przez podpisanie umów powierzenia przetwarzania danych
osobowych.
3) Ryzyko ze strony osób, które potencjalnie mogą w łatwiejszy sposób uzyskać dostęp
do danych osobowych (np. osoby sprzątające pomieszczenia), jest minimalizowane
przez zobowiązywanie ich do zachowania tajemnicy na podstawie odrębnych,
pisemnych oświadczeń.
Szkolenia w zakresie ochrony danych osobowych
4) Warunkiem dopuszczenia do przetwarzania danych osobowych jest odbycie szkolenia
z bezpieczeństwa informacji w zakresie zasad ochrony danych osobowych oraz zasad
ich przetwarzania w systemach ADO.
5) Ponadto szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania
danych osobowych przeprowadzane są także w przypadku każdej zmiany zasad lub
procedur ochrony danych osobowych,
6) Plany i programy szkoleń w tym zakresie zatwierdza ADO.
7) Szkolenia przeprowadza ABI.
8) ABI prowadzi ewidencje szkoleń i ich uczestników.
2.
Strefy bezpieczeństwa
1) W siedzibie ADO wydzielono strefę bezpieczeństwa klasy I, w której dostęp do
informacji zabezpieczony jest wewnętrznymi środkami kontroli. W skład tej strefy
wchodzą:
- pomieszczenie księgowości z kasą pancerną (pokój 1), w którym mogą przebywać
pracownicy księgowości, inni użytkownicy danych tylko w towarzystwie
pracowników księgowości, a osoby postronne w ogóle nie mają dostępu; złożony
na portierni hotelu klucz do tego pokoju jest przechowywany w woreczku
zalakowanym referentką,
- pomieszczenie serwerowni (pokój nr 010).
2) W strefie bezpieczeństwa klasy II do danych osobowych mają dostęp wszystkie
osoby upoważnione do przetwarzania danych osobowych zgodnie z zakresami
upoważnień do ich przetwarzania, a osoby postronne mogą w niej przebywać tylko
12
w obecności pracownika upoważnionego do przetwarzania danych osobowych. Strefa
ta obejmuje wszystkie pozostałe pomieszczenia zaliczone do obszaru przetwarzania
danych w siedzibie ADO.
3.
Zabezpieczenie sprzętu
1) Serwer jest zlokalizowany w wentylowanej szafie w odrębnym pomieszczeniu,
zamykanym wzmocnionymi drzwiami (pokój nr 010). Okno tego pomieszczenia
zabezpieczone jest kratą antywłamaniową. W pomieszczeniu serwerowni mogą
przebywać wyłącznie ASI, ABI lub ich zastępcy, inne osoby upoważnione do
przetwarzania tylko w ich towarzystwie, a osoby postronne w ogóle nie mają dostępu.
2) Wszystkie urządzenia księgowości i kadr są zasilane za pośrednictwem zasilaczy
awaryjnych (UPS).
3) Bieżąca konserwacja sprzętu wykorzystywanego przez ADO do przetwarzania
danych prowadzona jest tylko przez ASI na zasadach określonych w instrukcji
zarządzania systemem informatycznym.
4) Zabezpieczenie i przechowywanie elektronicznych nośników informacji odbywa się
na zasadach określonych w instrukcji zarządzania systemem informatycznym.
4.
Zabezpieczenia we własnym zakresie
Niezwykle ważne dla bezpieczeństwa danych jest wyrobienie przez każdą osobę
upoważnioną do przetwarzania danych lub użytkownika nawyku:
1) ustawiania ekranów komputerowych tak, by osoby niepowołane nie mogły oglądać
ich zawartości, a zwłaszcza nie naprzeciwko wejścia do pomieszczenia;
2) niepozostawiania bez kontroli dokumentów, nośników danych i sprzętu w hotelach
i innych miejscach publicznych oraz w samochodach;
3) dbania o prawidłową wentylację komputerów (nie zasłaniać kratek wentylatorów, nie
stawiać komputerów w sposób utrudniający ich właściwą wentylację);
4) niepodłączania do listew podtrzymujących napięcie przeznaczonych dla sprzętu
komputerowego innych urządzeń (np. grzejniki, czajniki, wentylatory);
5) pilnego strzeżenia akt, dyskietek, pamięci przenośnych i komputerów przenośnych;
6) kasowania po wykorzystaniu danych na dyskach przenośnych;
7) nieużywania powtórnie dokumentów zadrukowanych jednostronnie;
8) niezapisywania hasła wymaganego do uwierzytelnienia się w systemie na papierze
lub innym nośniku;
9) powstrzymywania się od samodzielnej ingerencji w oprogramowanie i konfigurację
powierzonego sprzętu (szczególnie komputerów przenośnych), nawet gdy z pozoru
mogłoby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych;
10) właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła
stosownie do otrzymanych uprawnień w systemie i stosowania się do zaleceń ABI;
11) opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po
zablokowaniu stacji roboczej w inny sposób;
12) kopiowania tylko jednostkowych danych (pojedynczych plików). Obowiązuje zakaz
robienia kopii całych zbiorów danych lub takich ich części, które nie są konieczne do
13
wykonywania obowiązków przez pracownika. Jednostkowe dane mogą być
kopiowane na nośniki elektroniczne po ich zaszyfrowaniu oraz przechowywane
w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii dane należy
trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane;
13) przesyłania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej;
14) niewynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich
z nich wypisów, nawet w postaci zaszyfrowanej;
15) wykonywania kopii roboczych danych, na których się właśnie pracuje, tak często, aby
zapobiec ich utracie;
16) kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego
dnia w odpowiednie obszary serwera, a następnie prawidłowym wylogowaniu się
użytkownika i wyłączeniu komputera oraz odcięciu napięcia w UPS i listwie;
17) niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszelkich
wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy, po
zakończeniu dnia pracy;
18) chowania do zamykanych na klucz szaf wszelkich akt zawierających dane osobowe
przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy;
19) niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są
dane osobowe, bez obecności osoby upoważnionej do przetwarzania danych
osobowych;
20) zachowania tajemnicy danych, w tym także wobec najbliższych;
21) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po
zakończeniu dnia pracy;
22) zamykania okien w razie opadów czy innych zjawisk atmosferycznych, które mogą
zagrozić bezpieczeństwu danych osobowych;
23) zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po
zakończeniu dnia pracy;
24) zamykania drzwi na klucz po zakończeniu pracy w danym dniu i złożenia klucza na
portierni. Jeśli niemożliwe jest umieszczenie wszystkich dokumentów zawierających
dane osobowe w zamykanych szafach, należy powiadomić o tym kierownika
budynku, który zgłasza firmie sprzątającej jednorazową rezygnację z wykonania
usługi sprzątania. W takim przypadku także należy zostawić klucz na portierni.
5.
Wymiana danych i ich bezpieczeństwo
1) Bezpieczeństwo danych osobowych, a w szczególności ich integralność i dostępność,
w dużym stopniu zależy od zdyscyplinowanego, codziennego umieszczania danych
w wyznaczonych zasobach serwera. Pozwala to (przynajmniej w pewnym stopniu)
uniknąć wielokrotnego wprowadzania tych samych danych do systemu.
2) Sporządzanie i przechowywanie kopii zapasowych następuje na zasadach opisanych
w instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych.
3) Inne wymogi bezpieczeństwa systemowego są określane w instrukcjach obsługi
producentów sprzętu i używanych programów, wskazówkach ABI oraz w instrukcji
zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych.
14
4) Pocztą elektroniczną można przesyłać tylko jednostkowe dane, a nie całe bazy lub
szerokie z nich wypisy i tylko w postaci zaszyfrowanej. Chroni to przesyłane dane
przed „przesłuchami” na liniach teletransmisyjnych oraz przed przypadkowym
rozproszeniem ich w Internecie.
5) Przed atakami z sieci zewnętrznej wszystkie komputery (w tym także przenośne)
chronione są środkami dobranymi przez ASI w porozumieniu z ABI. Ważne jest, aby
użytkownicy zwracali uwagę na to, czy urządzenie, na którym pracują, domaga się
aktualizacji tych zabezpieczeń (w systemach to umożliwiających). O wszystkich
takich przypadkach należy informować ABI i ASI oraz umożliwić im monitorowanie
oraz aktualizację środków bezpieczeństwa (urządzeń, programów).
6) ASI w porozumieniu z ABI dobiera środki ochrony przed atakami z sieci stosownie
do pojawiania się nowych zagrożeń (nowe wirusy, robaki, trojany, inne możliwości
wdarcia się do systemu), a także stosownie do rozbudowy systemu informatycznego
ADO i powiększania bazy danych. Jednocześnie należy zwracać uwagę, czy
rozwijający się system zabezpieczeń sam nie wywołuje nowych zagrożeń.
7) Należy stosować następujące sposoby kryptograficznej ochrony danych:
- przy przesyłaniu danych za pomocą poczty elektronicznej stosuje się POP –
tunelowanie, szyfrowanie połączenia,
- przy przesyłaniu danych pracowników, niezbędnych do wykonania przelewów
wynagrodzeń, używa się bezpiecznych stron https://.
6.
Kontrola dostępu do systemu
1) Poszczególnym osobom upoważnionym do przetwarzania danych osobowych
przydziela się konta opatrzone niepowtarzalnym identyfikatorem, umożliwiające
dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania na
zasadach określonych w instrukcji zarządzania systemem informatycznym.
2) ABI, w razie potrzeby, po uzyskaniu uprzedniej akceptacji ADO, może przydzielić
konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych
osobowych, nieposiadającej statusu pracownika.
7.
Kontrola dostępu do sieci
1) System informatyczny posiada szerokopasmowe połączenie z Internetem. Dostęp do
niego jest monitorowany przez ABI.
2) ADO wykorzystuje centralną zaporę sieciową w celu separacji lokalnej sieci od sieci
publicznej.
3) Korzystanie z zasobów sieci wewnętrznej jest możliwe tylko w zakresie uprawnień
przypisanych do danego konta osoby upoważnionej do przetwarzania danych
osobowych.
4) Wszelkie operacje finansowe za pośrednictwem rachunku bankowego ośrodka może
wykonywać wyłącznie pracownik działu księgowości, upoważniony przez dyrektora,
po uwierzytelnieniu się zgodnie z procedurami określonymi przez bank obsługujący
rachunek.
8.
Komputery przenośne i praca na odległość
1) Urządzenia przenośne oraz nośniki danych wynoszone z siedziby ADO nie powinny
być pozostawiane bez nadzoru w miejscach publicznych. Komputery przenośne
należy przewozić w służbowych torbach, stosowanie własnych charakterystycznych
15
toreb na laptopy nie jest dopuszczalne.
2) Nie należy pozostawiać bez kontroli dokumentów, nośników danych lub sprzętu
w hotelach i innych miejscach publicznych ani też w samochodach.
3) Informacje przechowywane na urządzeniach przenośnych lub komputerowych
nośnikach danych należy chronić przed uszkodzeniami fizycznymi, a ze względu
na działanie silnego pola elektromagnetycznego należy również przestrzegać zaleceń
producentów dotyczących ochrony sprzętu.
4) Wykorzystywanie komputerów przenośnych ADO w miejscach publicznych jest
dozwolone, o ile otoczenie, w którym znajduje się użytkownik, stwarza warunki
minimalizujące ryzyko zapoznania się z danymi przez osoby nieupoważnione.
W konsekwencji korzystanie z komputera przenośnego będzie z reguły niedozwolone
w restauracjach czy środkach komunikacji publicznej.
5) W domu niedozwolone jest udostępnianie domownikom komputera przenośnego
należącego otrzymanego od ADO, a użytkownik powinien zachować w tajemnicy
wobec domowników identyfikator i hasło, których podanie jest konieczne do
rozpoczęcia pracy na powierzonym mu komputerze przenośnym.
6) ABI w razie potrzeby wskazuje użytkownikowi w dokumencie powierzenia
komputera przenośnego konieczność i częstotliwość sporządzania kopii zapasowych
danych przetwarzanych na komputerze przenośnym.
7) Do pracy z wykorzystaniem komputerów przenośnych stosuje się postanowienia
zawarte w polityce bezpieczeństwa, instrukcji zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych, a także inne zalecenia ABI określone
w odrębnych procedurach i instrukcjach.
9.
Monitorowanie dostępu do systemu i jego użycia
1) ABI cyklicznie (nie rzadziej jak raz w miesiącu) kontroluje, jakie programy były
uruchamiane na poszczególnych stacjach roboczych.
2) ASI przeprowadza synchronizację zegarów stacji roboczych z serwerem,
ograniczając dopuszczalność zmian w ustawieniach zegarów. Jakiekolwiek zmiany
ustawień zegarów mogą być dokonywane jedynie przez ASI.
3) System informatyczny ADO umożliwia zapisywanie zdarzeń wyjątkowych na
potrzeby audytu i przechowywanie informacji o nich przez określony czas. Zapisy
takie obejmują:
-
identyfikator użytkownika,
datę i czas zalogowania i wylogowania się z systemu,
tożsamość stacji roboczej,
zapisy udanych i nieudanych prób dostępu do systemu,
zapisy udanych i nieudanych prób dostępu do danych osobowych i innych zasobów
systemowych.
10. Przeglądy okresowe zapobiegające naruszeniom obowiązku szczególnej staranności
ADO (art. 26 ust. 1 ustawy)
1) ABI przeprowadza raz w roku przegląd przetwarzanych danych osobowych pod
kątem celowości ich dalszego przetwarzania. Osoby upoważnione do przetwarzania
danych osobowych, w tym zwłaszcza kierownicy poszczególnych działów, są
obowiązani współpracować z ABI w tym zakresie i wskazywać mu dane osobowe,
które powinny zostać usunięte ze względu na zrealizowanie celu przetwarzania
16
danych osobowych lub brak ich adekwatności do realizowanego celu.
2) ABI może zarządzić przeprowadzenie dodatkowego przeglądu w wyżej określonym
zakresie w razie zmian w obowiązującym prawie, ograniczających dopuszczalny
zakres przetwarzanych danych osobowych. Dodatkowy przegląd jest możliwy także
w sytuacji zmian organizacyjnych OSiR.
3) Z przebiegu usuwania danych osobowych należy sporządzić protokół podpisywany
przez ABI i kierownika komórki organizacyjnej, w której usunięto dane osobowe.
4) Wzory dokumentów przewidujących powiadomienie, o którym mowa w art. 24 lub
25 uodo, mogą być stosowane po zaakceptowaniu przez ADO.
5) ABI przygotuje wykaz zbiorów danych (ewidencyjnych), w którym poszczególnym
kategoriom danych osobowych przypisane zostaną okresy ich przechowywania.
Wykaz ten zostanie sporządzony po przeanalizowaniu przepisów wyznaczających
m.in. obowiązek przechowywania dokumentacji czy też okresy przedawnienia
roszczeń udokumentowanych z wykorzystaniem danych osobowych. Przed
sporządzeniem takiego wykazu przygotowany zostanie wykaz przepisów, na mocy
których przetwarzane są dane osobowe, na podstawie wykazów cząstkowych,
sporządzonych przez poszczególne komórki organizacyjne.
11. Udostępnianie danych osobowych
Na podstawie uodo udostępnianie danych osobowych odbiorcom danych może nastąpić
wyłącznie po złożeniu wypełnionego wniosku, którego wzór został ustalony w załączniku
nr 1 do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r.
w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru
danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura
Generalnego Inspektora Ochrony Danych Osobowych2.
Udostępnianie danych osobowych na podstawie ustaw szczególnych
Udostępnianie informacji Policji3
1) Udostępnianie danych osobowych funkcjonariuszom policji może nastąpić tylko po
przedłożeniu wniosku o przekazanie lub udostępnienie informacji. Wniosek ten
powinien mieć formę pisemną i zawierać:
- oznaczenie wnioskodawcy,
- wskazanie przepisów uprawniających do dostępu do informacji,
- określenie rodzaju i zakresu potrzebnych informacji oraz formy ich przekazania lub
udostępnienia,
- wskazanie imienia, nazwiska i stopnia służbowego policjanta upoważnionego do
pobrania informacji lub zapoznania się z ich treścią.
2) Udostępnianie danych osobowych na podstawie ustnego wniosku zawierającego
wszystkie powyższe cztery elementy wniosku pisemnego może nastąpić tylko wtedy,
gdy zachodzi konieczność niezwłocznego działania, np. w trakcie pościgu za osobą
podejrzaną o popełnienie czynu zabronionego albo podczas wykonywania czynności
2
3
DzU nr 80, poz. 522 ze zm. Rozporządzenie już nie obowiązuje, lecz Generalny Inspektor przyjmuje, że jego
treść odpowiada wymaganiom ustanowionym przez ustawę i dlatego możne być nadal stosowane.
Por. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 5 września 2007 r. w sprawie
przetwarzania przez Policję informacji o osobach (DzU nr 170, poz. 1203).
17
mających na celu ratowanie życia i zdrowia ludzkiego lub mienia.
3) Osoba udostępniająca dane osobowe jest obowiązana zażądać od policjanta
pokwitowania pobrania dokumentów zawierających informacje przekazane na
podstawie pisemnego wniosku albo potwierdzenia faktu uzyskania wglądu w treść
informacji. Policjant jest obowiązany do pokwitowania lub potwierdzenia.
4) Jeśli informacje są przekazywane na podstawie ustnego wniosku, należy stosownie
do okoliczności zwrócić się z prośbą o pokwitowanie albo potwierdzenie. Jeśli
pokwitowanie albo potwierdzenie ze względu na okoliczności udostępniania nie są
możliwe, osoba udostępniająca informacje sporządza na tę okoliczność notatkę
służbową.
5) Jeśli policjant pouczył osobę udostępniającą informacje o konieczności zachowania w
tajemnicy faktu i okoliczności przekazania informacji, to okoliczność ta jest
odnotowywana w rejestrze udostępnień niezależnie od odnotowania faktu
udostępnienia informacji.
12. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych
1) Niezastosowanie się do obowiązującej w ośrodku polityki bezpieczeństwa danych
osobowych wprowadzonej przez ADO, której założenia określa niniejszy dokument
lub naruszenie procedur ochrony danych przez pracowników upoważnionych do
przetwarzania danych może być potraktowane jako ciężkie naruszenie obowiązków
pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na
podstawie art. 52 Kodeksu pracy.
2) Niezależnie od rozwiązania stosunku pracy osoby popełniające przestępstwo będą
pociągane do odpowiedzialności karnej zwłaszcza na podstawie art. 51-52 ustawy
oraz art. 266 Kodeksu Karnego. Przykładowo przestępstwo można popełnić wskutek:
- stworzenia możliwości dostępu do danych osobowych osobom nieupoważnionym
albo osobie nieupoważnionej,
- niezabezpieczenia nośnika lub komputera przenośnego,
- zapoznania się z hasłem innego pracownika wskutek wykonania nieuprawnionych
operacji w systemie informatycznym ADO.
VII. Przeglądy polityki bezpieczeństwa i audyty systemu
1) Polityka bezpieczeństwa powinna być poddawana przeglądowi przynajmniej raz na
rok. W razie istotnych zmian dotyczących przetwarzania danych osobowych ABI
może zarządzić przegląd polityki bezpieczeństwa stosownie do potrzeb.
2) ABI analizuje, czy polityka bezpieczeństwa i pozostała dokumentacja z zakresu
ochrony danych osobowych jest adekwatna do:
- zmian w budowie systemu informatycznego,
- zmian organizacyjnych ADO, w tym również zmian statusu osób upoważnionych
do przetwarzania danych osobowych,
- zmian w obowiązującym prawie.
3) ABI po uzgodnieniu z ADO może, stosownie do potrzeb, przeprowadzić wewnętrzny
audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
Przeprowadzenie audytu wymaga uzgodnienia jego zakresu z ASI. Zakres, przebieg
i rezultaty audytu dokumentowane są na piśmie w protokole podpisywanym zarówno
przez ABI jak i ASI.
18
4) ADO, biorąc pod uwagę wnioski ABI, może zlecić przeprowadzenie audytu
zewnętrznego przez wyspecjalizowany podmiot.
VIII. Postanowienia końcowe
1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest
zapoznać się przed dopuszczeniem do przetwarzania danych z niniejszym dokumentem
oraz złożyć stosowne oświadczenie, potwierdzające znajomość jego treści.
2. Każdej osobie upoważnionej do przetwarzania danych ABI przekazuje wyciąg z polityki
bezpieczeństwa, a użytkownikom dodatkowo z instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych, przygotowany z
uwzględnieniem stanowiska tej osoby (obowiązków).
3. Polityka bezpieczeństwa wchodzi w życie z dniem 29.03.2011 r.
19