POLITYKA BEZPIECZEŃSTWA INFORMACJI „1

Warszawa 2015-07-14
POLITYKA BEZPIECZEŃSTWA INFORMACJI
Zgodnie z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182)
„1-2” SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z
SIEDZIBĄ W WARSZAWIE
Spis treści:
1. Wstęp .............................................................................................................................................4
2. Definicje..........................................................................................................................................4
3. Zadania Administratora Bezpieczeństwa Informacji.........................................................................7
4. Szczególne wymogi przetwarzania danych osobowych ....................................................................8
5. Środki techniczne i organizacyjne zapewniające poufność, integralność i rozliczalność
przetwarzanych danych .................................................................................................................... 10
6. Postanowienia końcowe ............................................................................................................... 10
1. Wstęp
Polityka Bezpieczeństwa jest zbiorem uprawnień, obowiązków i procedur regulujących
sposób zarządzania, ochrony i dystrybucji danych przetwarzanych w „1-2” Spółka z
ograniczoną odpowiedzialnością z siedzibą w Warszawie oraz w zależnych jednostkach.
Celem Polityki Bezpieczeństwa jest wyeliminowanie lub znaczne ograniczenie
incydentów: wewnętrznych, zewnętrznych, świadomych, nieświadomych; bezprawnego
użycia danych osobowych przetwarzanych w „1-2” Spółka z ograniczoną odpowiedzialnością
z siedzibą w Warszawie oraz w zależnych jednostkach.
Załącznikiem do niniejszej polityki jest Instrukcja zarządzania systemem
informatycznym, zwana dalej Instrukcją. Załącznik określa sposób zarządzania systemem
informatycznym, służącym do przetwarzania danych osobowych, podkreślając istotę
zapewnienia ich bezpieczeństwa.
Środkami użytymi do realizacji celu Polityki Bezpieczeństwa są: zapewnienie
bezpieczeństwa fizycznego systemów przetwarzania danych i nośników informacji,
tworzenie adekwatnych procedur organizacyjnych, użycie właściwego oprogramowania
systemowego, budowanie i utrzymywanie świadomości użytkowników danych oraz
egzekwowanie stosowania Instrukcji.
Polityka Bezpieczeństwa wraz z towarzyszącymi dokumentami ma w szczególności
zapewnić: poufność danych, integralność danych, rozliczalność danych, integralność systemu
przetwarzania danych.
Niniejszy dokument jest zgodny z Ustawą o ochronie danych osobowych (Dz.U. 2014
poz. 1182) i Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz 1024) i innymi
aktami wykonawczymi wydanymi do powołanej ustawy.
2. Definicje
§1
1. „1-2” Spółka z Ograniczoną Odpowiedzialnością z siedzibą w Warszawie w niniejszym
dokumencie jest zwana dalej SPÓŁKĄ.
2. Polityka Bezpieczeństwa informacji w SPÓŁCE, zwana dalej POLITYKĄ, obejmuje
wszystkie zbiory danych osobowych administrowanych przez SPÓŁKĘ, zwanych dalej ZBIORAMI.
3. Wszelkie czynności wykonywane na ZBIORACH przez SPÓŁKĘ są możliwe do
przeprowadzenia wyłącznie pod warunkiem przestrzegania Ustawy o ochronie danych osobowych z
dnia 29 sierpnia 1997 roku wraz z późniejszymi modyfikacjami (Dz. U. 2014 poz. 1182), zwanej dalej
USTAWĄ, oraz wydanych na jej podstawie przepisów wykonawczych, a także przepisów
wewnętrznych wdrożonych w tej materii przez SPÓŁKĘ.
4. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby
to nadmiernych kosztów, czasu lub działań.
5. Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie.
6. Administrator danych osobowych (ADO) to organ, jednostka organizacyjna, podmiot lub
osoba, które decydują o celach i środkach przetwarzania danych osobowych. Administratorem
danych osobowych jest SPÓŁKA. ADO decyduje o celach i środkach przetwarzania danych
osobowych;
7. Administrator Bezpieczeństwa Informacji (ABI) – osoba wyznaczona przez ADO,
odpowiedzialna za organizację i bezpieczeństwo danych osobowych. Jeżeli SPÓŁKA nie powołała ADI
wszystki jego obowiązki wykonuje samodzielnie.
§2
Przetwarzanie danych osobowych.
1. Przetwarzanie danych osobowych stanowi wszelkie operacje wykonywane na danych
osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie, usuwanie; ze szczególnym uwzględnieniem operacji w systemach informatycznych.
2. Do szczególnych operacji należy Usuwanie danych osobowych, które jest zniszczenie
danych osobowych lub taką ich modyfikacją, która nie pozwoli na ustalenie tożsamości osoby, której
dane dotyczą.
3. Większość operacji przetwarzania danych osobowych wykonywana jest w systemie
informatycznym, zwanym dalej systemem. System jest zespołem współpracujących ze sobą:
urządzeń, programów, procedur przetwarzania informacji, narzędzi programowych; zastosowanych
w celu przetwarzania danych.
§3
W obsłudze i administracji systemu spotyka się szereg określeń.
1. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej
do pracy w systemie informatycznym;
2. Osoba upoważniona – osoba posiadająca upoważnienie wydane przez Administratora
Danych Osobowych (lub osobę uprawnioną przez niego) i dopuszczona do przetwarzania danych w
systemie, zbiorach papierowych i/lub elektronicznych w zakresie wskazanym w upoważnieniu;
3. Osoba uprawniona – osoba posiadająca upoważnienie wydane przez Administratora
Danych Osobowych do wykonywania określonych czynności;
4. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych
jednoznacznie identyfikujących osobę upoważnioną w systemie; Jeżeli osoba upoważniona jest
również osobą uprawnioną z identyfikatorem użytkownika kojarzone są odpowiednie uprawnienia
w systemie.
5. Użytkownik - osoba używająca określonego identyfikatora użytkownika, której operacje
rejestrowane są przez system.
6. Naruszenie bezpieczeństwa systemu – jakiekolwiek naruszenie poufności, integralności,
systemu lub dostępności do systemu, włącznie z jego zniszczeniem, spowodowane przez ludzi, jak też
naruszenia powstałe na skutek oddziaływania sił przyrody, katastrof cywilizacyjnych itp.;
7. Stacja robocza – stacjonarne lub przenośne urządzenie wchodzące w skład systemu i
umożliwiające użytkownikom dostęp do danych osobowych znajdujących się w systemie;
8. Zabezpieczenie systemu – środki: administracyjne, techniczne, fizyczne; stosowane w
celu zabezpieczenia przed naruszeniem bezpieczeństwa systemu;
9. Nośnik komputerowy (wymienny) – nośnik służący do zapisu i przechowywania
informacji np. taśmy, dyski twarde, płyty CD, pendrive itp.;
10. Bezpieczeństwo systemu informatycznego – wdrożenie przez ABI zabezpieczenia
systemu;
11. Użytkownik uprzywilejowany – specjalny status użytkownika tworzony podczas
instalacji danego systemu posiadający nadrzędne nad użytkownikiem systemu uprawnienia.
12. Obszar przetwarzania danych – obiekty, pomieszczenia jednostek organizacyjnych
SPÓŁKI, w których odbywa się przetwarzanie danych w systemie, w tym również w postaci
papierowej np. kartoteki lub pomieszczenia gdzie znajdują się urządzenia, elementy techniczne, z
których charakteru pracy wynika wydawanie informacji na zewnątrz tzn. monitory, skanery, drukarki
itp.;
13. Odbiorca danych – każdy, komu udostępnia się dane, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31 a ustawy,
d) podmiotu, o którym mowa w art. 31 ustawy,
e) organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem i na podstawie przepisów
prawa;
14. Zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego
treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie (zgoda nie
może być domniemana lub dorozumiana z oświadczenia woli o innej treści);
15. Państwo trzecie – państwo nie należące do Europejskiego Obszaru Gospodarczego;
16. Pracownik – osoba pozostająca w stosunku pracy z pracodawcą;
3. Zadania Administratora Bezpieczeństwa Informacji
§4
Do najważniejszych obowiązków Administratora Bezpieczeństwa Informacji należą:
1. Ochrona danych osobowych i organizacja bezpieczeństwa zgodnie z wymogami
USTAWY;
2. Gwarancja przetwarzania informacji zgodnie z regulacjami zawartymi w Polityce
Bezpieczeństwa Ochrony Danych Osobowych;
3. Zarządzanie upoważnieniami użytkowników do przetwarzania danych osobowych;
4. Prowadzenie ewidencji upoważnień;
5. Prowadzenie postępowania wyjaśniającego w przypadku naruszenia danych osobowych;
6.
Prowadzenie
zapobiegawczych;
ewidencji
zdarzeń i problemów
oraz działań korygujących i
7. Nadzór nad stosowanymi metodami, środkami technicznymi i organizacyjnymi
niezbędnymi dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych;
8. Nadzór nad sposobem zabezpieczenia systemu Informatycznego przed działalnością
oprogramowania, którego celem
jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego i utratą danych;
9. Nadzorowanie prac komisyjnego niszczenia kopii bezpieczeństwa i nośników danych;
10. Kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania
danych z przepisami prawa;
11. Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych.
§5
Administrator Bezpieczeństwa Informacji ma prawo:
1. Wyznaczania, rekomendowania i egzekwowania wykonania zadań związanych z ochroną
danych osobowych w całej organizacji;
2. Wstępu do pomieszczeń, w których zlokalizowane są zbiory danych i przeprowadzenia
niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z
ustawą;
3. Żądać złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia
stanu faktycznego;
4. Żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z
problematyką kontroli;
5. Żądać udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych.
4. Szczególne wymogi przetwarzania danych osobowych
§6
Obszary przetwarzania danych w obiektach i pomieszczeniach w SPÓŁCE nie mogą być
dostępne dla osób nieuprawnionych. Dopuszcza się odstępstwo od tej reguły wyłącznie dla
pomieszczeń przeznaczonych do obsługi klientów. W takim przypadku należy stosować szczególne
reguły postępowania, w tym:
1. Pracownicy mają obowiązek chronienia swoich stanowisk pracy przed dostępem
klientów lub innych osób postronnych poprzez blokowanie ich hasłem;
2. Klienci i osoby postronne powinni pozostawać w pomieszczeniu tylko w obecności
pracownika SPÓŁKI;
3. Kartoteki tradycyjne należy zabezpieczyć przed dostępem osób nieuprawnionych;
4. Nie należy pozostawiać dokumentów papierowych i nośników elektronicznych
niezabezpieczonych przed dostępem osób nieuprawnionych;
5. Monitory należy usytuować tak, aby ekran był niewidoczny dla osób nieuprawnionych;
6. Drukarki i urządzenia peryferyjne mają być usytuowane tak, aby znajdowały się pod
kontrolą pracowników SPÓŁKI;
7. ABI określa szczegółowe zasady ogłoszenia alarmu i wezwania pomocy przez pracownika
SPÓŁKI w przypadku zauważenia próby nieautoryzowanego pozyskania danych;
8. W przypadkach podyktowanych wyższą koniecznością lub pracami niezbędnymi do
wykonania, a przede wszystkim uzasadnionych potrzebami służbowymi wypadkach, dopuszcza się
przebywanie w obszarze przetwarzania danych osób nieuprawnionych;
9. Obszar przetwarzania danych powinien być wyposażony w atestowane zamki i drzwi.
Dostęp do niego powinien być utrudniony osobom nieuprawnionym;
§7
ABI wraz z ADO odpowiadają za zastosowanie odpowiednich środków technicznych i
organizacyjnych zapewniających ochronę przetwarzanych danych w jednostkach dbając by:
1. Zastosowane środki techniczne były adekwatne do warunków użytkowania obiektów z
określonymi obszarami przetwarzania danych;
2. Prowadzona była ewidencja osób upoważnionych do przetwarzania danych;
3. Ewidencja osób upoważnionych do przetwarzania danych w SPÓŁCE i jednostkach
organizacyjnych podlega ciągłej aktualizacji;
4. Był prowadzony nadzór nad przestrzeganiem zasad ochrony w obszarach przetwarzania
danych.
5. Była prowadzona ewidencja zbiorów danych osobowych i zbiorów dokumentacji
papierowej zawierającej dane osobowe wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych i znajdowała się w bezpośredniej gestii ABI.
5. Środki techniczne i organizacyjne zapewniające
integralność i rozliczalność przetwarzanych danych
poufność,
§8
W celu zapewnienia właściwego działania systemu i zgodności z przepisami przedsięwzięto
następujące kroki:
1. Opracowano i wdrożono Politykę Bezpieczeństwa;
2. Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym;
3. Dopuszczono do przetwarzania danych wyłącznie osoby upoważnione;
4. Prowadzona jest bieżąca ewidencja osób upoważnionych i osób uprawnionych;
5. Osoby upoważnione podlegają obowiązkowi przeszkolenia w zakresie przepisów prawa i
uregulowań wewnętrznych dotyczących ochrony danych w SPÓŁCE, po którym zobowiązane są
podpisać oświadczenie o zachowaniu poufności;
6. Zabezpieczenie systemu gwarantuje brak dostępu osobom nieupoważnionych;
7. Osoby nieuprawnione mogą przebywać w pomieszczeniach tylko w obecności osoby
uprawnionej oraz w warunkach zapewniających bezpieczeństwo danych;
8. Stosowane są pisemne umowy powierzenia i umowy o poufności przetwarzania danych
dla współpracy z podwykonawcami przetwarzającymi dane osobowe.
6. Postanowienia końcowe
§9
1. „Polityka Bezpieczeństwa” jest dokumentem jawnym.
2. ABI ma obowiązek zapoznania z Polityką każdego pracownika i współpracownika.
3. Wszystkie regulacje dotyczą systemów informatycznych, określone w Polityce dotyczą
również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek formie.
§ 10
Regulacje dotyczące pracowników SPÓŁKI i ich odpowiedzialność.
1. Pracownicy SPÓŁKI zobowiązani są do stosowania postanowień zawartych w Polityce.
2. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego
dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych.
3. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub
uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym
dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi
zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek,
można wszcząć postępowanie dyscyplinarne.
4. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie
wyklucza
odpowiedzialności
karnej
tej
osoby,
zgodnie
z
ustawą
z
29
sierpnia
1997 r. o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883 ze zm.) oraz możliwości
wniesienia
wobec
niej
sprawy
z
powództwa
cywilnego
przez
pracodawcę
o zrekompensowanie poniesionych strat.
W sprawach nieuregulowanych w niniejszej „Polityce Bezpieczeństwa” mają zastosowanie
przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883
ze zm.) oraz wydane na jej podstawie akty wykonawcze.