Skrót | Opis |
u.o.d.o. | Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015 r. poz. 2135) |
rozp. MSWIA | Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych |
GIODO | Generalny Inspektor Ochrony Danych Osobowych |
ADO | Administrator Danych Osobowych |
ABI | Administrator Bezpieczeństwa Informacji |
ASI | Administrator Systemów Informatycznych |
SI | System Informatyczny |
SZBDO | System Zarządzania Bezpieczeństwem Danych Osobowych |
PBDO | Polityka Bezpieczeństwa Danych Osobowych |
IZSI | Instrukcja Zarządzania Systemami Informatycznymi |
2. Wykaz podstawowych definicji
Ilekroć w niniejszej Polityce Bezpieczeństwa mowa o:
- Administratorze Danych Osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych;
- Administratorze Bezpieczeństwa Informacji – rozumie się przez to osobę wyznaczoną przez Administratora Danych Osobowych, nadzorującą przestrzeganie zasad, o których mowa w art. 36a ust. 2 u.o.d.o.;
- Administratorze Systemów Informatycznych – rozumie się przez to wyznaczoną przez Administratora Danych Osobowych osobę lub podmiot zewnętrzny, odpowiedzialny za funkcjonowanie systemów i sieci teleinformatycznych oraz za przestrzeganie zasad i wymogów bezpieczeństwa systemów i sieci teleinformatycznych;
- Osobie upoważnionej – rozumie się przez to osobę upoważnioną przez Administratora Danych Osobowych do przetwarzania danych osobowych. Użytkownikiem może być pracownik firmy, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, a także osoba odbywająca wolontariat, praktykę lub staż.
- Danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
- Zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
- Przetwarzaniu danych osobowych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
- Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
- Zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przed ich nieuprawnionym przetwarzaniem;
- Bezpieczeństwie informacji – rozumie się przez to zespół zasad, jakimi należy się kierować projektując oraz wykorzystując systemy i aplikacje służące do przetwarzania informacji by w każdych okolicznościach dostęp do nich był zgodny z założeniami;
- Usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
- Zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może być odwołana w każdym czasie;
- Odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe za wyjątkiem:
- osoby, której dane dotyczą,
- osoby upoważnionej do przetwarzania danych osobowych,
- przedstawiciela, o którym mowa w art. 31a u.o.d.o.,
- podmiotu, o którym mowa w art. 31 u.o.d.o.,
- organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
- Państwie trzecim – rozumie się przez to państwo należące do Europejskiego Obszaru Gospodarczego;
- Haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi uprawnionemu do pracy w systemie informatycznym;
- Identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych w wyznaczonych obszarach systemu informatycznego firmy;
- Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom lub podmiotom;
- Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
- Rozliczalności danych – rozumie się przez to właściwość zapewniającą, że działania osoby lub podmiotu mogą być przypisane w sposób jednoznaczny tylko tej osobie lub podmiotowi;
- Użytkowniku systemu informatycznego – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych w systemach informatycznych, której nadano unikalny identyfikator i hasło;
- Uwierzytelnieniu – rozumie się przez to proces poprawnej identyfikacji użytkownika systemu informatycznego w stopniu umożliwiającym przyznanie odpowiednich uprawnień lub przywilejów w systemie informatycznym firmy;
- Incydencie – rozumie się przez to naruszenie bezpieczeństwa danych osobowych ze względu na poufność, dostępność i integralność;
- Zagrożeniu - rozumie się przez to potencjalną możliwość wystąpienia incydentu;
- Działaniu korygującym – rozumie się przez to działanie przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji;
- Działaniu zapobiegawczym – rozumie się przez to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej.
3. Wprowadzenie
Polityka Bezpieczeństwa Danych Osobowych określa reguły przetwarzania danych osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad i zaleceń regulujących sposób ich zarządzania,
ochrony i dystrybucji w firmie KOTT Sp. z o.o. Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń techniczno-organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych. Niniejszy dokument jest zgodny z obowiązującymi przepisami prawa, a w szczególności z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z późniejszymi zmianami oraz wydanymi na jej podstawie aktami wykonawczymi.
4. Cele Polityki Bezpieczeństwa Danych Osobowych
Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w firmie KOTT Sp. z o.o. , a w
szczególności:
- zapewnienie spełnienia wymagań prawnych;
- zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych w firmie;
- podnoszenie świadomości osób przetwarzających dane osobowe;
- zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.
5. Administrator Bezpieczeństwa Informacji
- Administrator Danych Osobowych powołuje Administratora Bezpieczeństwa Informacji. Powołanie następuje na podstawie pisemnego powołania (wzór powołania stanowi załącznik Z1-PBDO do niniejszej PBDO).
- Administrator Danych Osobowych może powołać zastępców Administratora Bezpieczeństwa Informacji.
- Administrator Danych Osobowych udziela pełnomocnictwa Administratorowi Bezpieczeństwa Informacji do nadawania uprawnień do przetwarzania danych osobowych.
- Zadaniem Administratora Bezpieczeństwa Informacji jest nadzorowanie przestrzegania zasad oraz stosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w firmie KOTT Sp. z o.o.
- Administratorowi Bezpieczeństwa Informacji przysługują następujące uprawnienia związane z regulowaniem zasad bezpieczeństwa danych osobowych:
- Opracowanie, zatwierdzanie instrukcji wewnętrznych,
- Autoryzowanie umów.
- Administratorowi Bezpieczeństwa Informacji przysługują następujące kompetencje związane z wykonywaniem funkcji nadzoru:
- Prawo do ustanawiania i nadzorowania praw dostępu do oprogramowania
- Prawo do ustanawiania reg. w zakresie ochrony antywirusowej i cyberataków
- Administrator Danych Osobowych może powierzyć Administratorowi Bezpieczeństwa Informacji wykonywanie innych obowiązków, które nie naruszają prawidłowego wykonywania zadań określonych w pkt 5-6.
6. Osoby upoważnione do przetwarzania danych osobowych
Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:
- zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami Polityki Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemami Informatycznymi;
- stosowanie się do zaleceń Administratora Bezpieczeństwa Informacji;
- przetwarzania danych osobowych wyłącznie w zakresie ustalonym indywidualnie przez Administratora Danych Osobowych w pisemnym upoważnieniu i tylko w celu wykonywania nałożonych obowiązków służbowych;
- niezwłoczne informowanie Administratora Bezpieczeństwa Informacji o wszelkich nieprawidłowościach dotyczących bezpieczeństwa danych osobowych przetwarzanych w firmie;
- ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
- korzystanie z systemów informatycznych firmy w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemów informatycznych;
- bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- zachowanie szczególnej staranności w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których dane dotyczą.
7. Podstawowe zasady ochrony danych osobowych
- Wszystkie dane osobowe w firmie należy przetwarzać zgodnie z obowiązującymi przepisami prawa.
- W stosunku do osób, których dane osobowe są przetwarzane należy spełnić obowiązek informacyjny wynikający z przepisów u.o.d.o..
- Zebrane dane osobowe należy przetwarzać dla oznaczonych i zgodnych z prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.
- Należy zadbać, aby przetwarzanie danych osobowych odbywało się zgodnie z zasadami dotyczącej merytorycznej poprawności oraz adekwatnie do celów w jakich zostały zebrane.
- Dane osobowe w firmie można przetwarzać nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.
- Należy zapewnić poufność, integralność oraz rozliczalność danych osobowych przetwarzanych w firmie.
- Przetwarzane dane osobowe nie mogą być udostępniane bez zgody osób, których dane dotyczą, chyba że udostępnia się te dane osobom, których dane dotyczą, osobom upoważnionym do przetwarzania danych osobowych, podmiotom którym przekazano dane na podstawie umowy powierzenia oraz organom państwowym lub organom samorządu terytorialnego w związku z prowadzonym postępowaniem.
- Przetwarzanie danych osobowych w firmie może odbywać się zarówno w systemach informatycznych, jak i w formie tradycyjnej: kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
- W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne, obowiązują nadal dotychczasowe przepisy o tajemnicy służbowej, obiegu i zabezpieczaniu dokumentów służbowych.
- Wszystkim osobom, których dane są przetwarzane przysługuje prawo do ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz do ich uaktualniania, usunięcia jak również do uzyskiwania wszystkich informacji o przysługujących im prawach.
8. Upoważnienie do przetwarzania danych osobowych
- Do przetwarzania danych osobowych i obsługi zbiorów informatycznych zawierających te dane mogą być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych (wzór upoważnienia stanowi załącznik Z2-PBDO) wydane przez Administratora Danych Osobowych oraz złożyły stosowne oświadczenie dot. właściwej realizacji przepisów u.o.d.o. (wzór oświadczenia stanowi załącznik Z3-PBDO).
- Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych (wzór ewidencji stanowi załącznik Z4-PBDO).
9. Powierzenie przetwarzania danych osobowych
- Administrator Danych Osobowych może zlecić innemu podmiotowi przetwarzanie danych osobowych w celu realizacji określonego zadania.
- W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim cel i zakres przetwarzania danych osobowych.
10. Udostępnianie danych osobowych
Udostępnienie danych osobowych w firmie dopuszcza się na podstawie jednej z podstaw prawnych określonych w u.o.d.o. (art. 23.1 oraz art. 27.2) lub na podstawie przepisów innych ustaw.
Administrator Bezpieczeństwa Informacji prowadzi ewidencję udostępniania danych osobowych instytucjom i osobom spoza firmy (wzór ewidencji stanowi załącznik Z5-PBDO).
11. Przekazywanie danych osobowych poza Polskę
- Administrator Danych Osobowych może przekazywać dane osobowe do:
- państw Europejskiego Obszaru Gospodarczego;
- pozostałych państw (państwa trzecie).
- Przekazywanie danych osobowych w ramach EOG traktuje się tak, jakby były przetwarzane na terenie Polski.
- W przypadku przekazywania danych osobowych do państwa trzeciego, należy spełnić jeden z warunków:
- państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązuje na terytorium Rzeczypospolitej Polskiej;
- gdy przesyłanie danych osobowych wynika z obowiązku nałożonego przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej;
- spełniona zostanie co najmniej jedna z przesłanek określonych w art. 47 ust. 3 u.o.d.o.;
- na przekazanie danych osobowych wyrazi zgodę GIODO.
Administrator Bezpieczeństwa Informacji odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej wykaz budynków, pomieszczeń lub części pomieszczeń tworzący obszar, w którym przetwarzane są dane osobowe zarówno w formie papierowej jak i elektronicznej. Aktualny wykaz obszarów przetwarzania danych osobowych zawarto w załączniku Z6-PBDO.
13. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
Administrator Bezpieczeństwa Informacji odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej wykaz wszystkich zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Aktualny wykaz zbiorów danych osobowych zawarto w załączniku Z7-PBDO.
14. Opis struktury zbiorów danych osobowych
Administrator Bezpieczeństwa Informacji odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej opis struktury zbiorów danych osobowych przetwarzanych w firmie. Aktualny opis struktury zbiorów danych osobowych zawarto w załączniku Z8-PBDO.
15. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami
Administrator Bezpieczeństwa Informacji odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej opis sposobu przepływu danych pomiędzy poszczególnymi systemami. Aktualny opis sposobu przepływu danych zawarto w załączniku Z9-PBDO.
16. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Administrator Bezpieczeństwa Informacji odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej określone środki techniczne i organizacyjne niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Aktualny opis stosowanych środków technicznych i organizacyjnych zawarto w załączniku Z10-PBDO.
17. Przepisy karne i porządkowe
Przepisy karne i porządkowe reguluje:
- ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135) - art. 49-54;
- ustawa z dnia 6 czerwca 1997 r. Kodeks Karny (Dz. U. z 1997 r., Nr 88, poz. 553, z późn. zm.) - art. 266;
- ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy (Dz. U. z 1998 r., Nr 21, poz. 94, z późn. zm.) - art. 52 oraz art. 108.
18. Postanowienia końcowe
W sprawach nieuregulowanych w niniejszej Polityce Bezpieczeństwa Danych Osobowych mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r., o ochronie danych osobowych (t.j. Dz.U. z 2015 r., poz. 2135) oraz przepisy wykonawcze do tej Ustawy.
19. Załączniki
Z1-PBDO – Powołanie na stanowisko Administratora Bezpieczeństwa Informacji;
Z2-PBDO – Upoważnienie do przetwarzania danych osobowych;
Z3-PBDO – Oświadczenie dot. właściwej realizacji przepisów u.o.d.o.;
Z4-PBDO – Ewidencja osób upoważnionych do przetwarzania danych osobowych;
Z5-PBDO – Ewidencja udostępniania danych osobowych;
Z6-PBDO – Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
Z7-PBDO – Wykaz zbiorów danych osobowych wraz ze skazaniem programów zastosowanych do przetwarzania tych danych;
Z8-PBDO – Opis struktury zbiorów danych osobowych;
Z9-PBDO – Opis sposobu przepływu danych pomiędzy poszczególnymi systemami;
Z10-PBDO – Opis stosowanych środków technicznych i organizacyjnych;
Z11-PBDO – Rejestr incydentów i zdarzeń.
Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie zasad
bezpieczeństwa i ochrony danych osobowych przetwarzanych w firmie KOTT Sp. z o.o. , a w
szczególności:
1) zapewnienie spełnienia wymagań prawnych;
2) zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych w
firmie;
3) podnoszenie świadomości osób przetwarzających dane osobowe;
4) zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.
bezpieczeństwa i ochrony danych osobowych przetwarzanych w firmie KOTT Sp. z o.o. , a w
szczególności:
1) zapewnienie spełnienia wymagań prawnych;
2) zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych w
firmie;
3) podnoszenie świadomości osób przetwarzających dane osobowe;
4) zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.