Polityka Bezpieczeństwa jest zestawem reguł i praw regulujących sposób zarządzania, przetwarzania, przechowywania i dystrybucji danych osobowych we wszystkich zbiorach zarówno elektronicznych jak i tradycyjnych (papierowych)  administrowanych przez

Właściciel firmy / Prezes Zarządu   Jacek  Czekaj      

Podstawą do opracowania i wdrożenia dokumentu są:

• Konstytucja Rzeczpospolitej Polskiej,
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o Ochronie Danych Osobowych).

3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 9 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych.

 

Zgodnie z ww. Rozporządzeniem, Polityka Bezpieczeństwa zawiera w szczególności:

1. a) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (Załącznik nr 2 do Polityki Bezpieczeństwa);
2. b) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowania do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami (Załącznik nr 5 do Polityki Bezpieczeństwa);
3. c) określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych: Systemy alarmowe, zabezpieczenia komputerowe, szyfry, hasła, szafy pancerne, zabezpieczenie kluczy, okratowanie okien itp. realizując strategię bezpieczeństwa informacji utrzymuje zabezpieczenia odpowiednie do zapewnienia bezpieczeństwa własnych jak i powierzonych przez klientów informacji poprzez:

• przydzielanie dostępu do informacji tylko osobom upoważnionym,
• podnoszenie świadomości użytkowników w zakresie bezpiecznego korzystania z zasobów informatycznych,

• zapewnienie zgodności działania z wymaganiami prawnymi, regulacjami wewnętrznymi oraz zapisami umownymi.

Postanowienia wynikające z polityki oraz dokumentacji systemu zarządzania bezpieczeństwem informacji są znane i respektowane przez wszystkich pracowników Firmy.

Pracodawca, nadzorując realizację postanowień wynikających z polityki bezpieczeństwa, zobowiązuje się do spełnienia wymagań i podejmowania wszelkich niezbędnych działań wynikających z ich naruszenia, a tym samym do ciągłego doskonalenia skuteczności Systemu Zarządzania Bezpieczeństwem Informacji.

 

Rozdział I

• Podstawa prawna przetwarzania danych osobowych.

Przetwarzanie danych osobowych w  Przedsiębiorstwie MARLIBO     z siedzibą 32-300 Olkusz  ul. Pakuska 64 dopuszczalne jest wyłącznie na zasadach określonych ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. oraz po 25.05.2018r.  Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o Ochronie Danych Osobowych) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

• 2
• Pojęcia i zwroty występujące w niniejszym zarządzeniu:

Do 25.05.2018 roku

Dane osobowe – w rozumieniu ustawy o ochronie danych osobowych – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych.

Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Administrator Danych Osobowych – Prezes Zarządu   Mariola  Czekaj

 

Po 25.05.2018 roku – obowiązują definicje wynikające z art. 4 RODO

 

 

 

1.2 Skróty stosowane w Polityce Bezpieczeństwa.

 

Użyte w treści Polityki Bezpieczeństwa skróty oznaczają:

• Ustawa – ustawa z dnia 29 sierpnia 1997 r.  o ochronie danych osobowych

– po 25.05.2018r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o Ochronie Danych Osobowych).

• Rozporządzenie – Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
  i systemy informatyczne służące do przetwarzania danych osobowych.
• ADO – Administrator Danych Osobowych,
• ABI – Administrator Bezpieczeństwa Informacji,
• PUODO – Prezes Urzędu Ochrony Danych Osobowych,

 

Rozdział II

2.1 Zarządzanie przetwarzaniem danych osobowych.

• Właściciel Prezes Zarządu Jacek  Czekaj  jest Administratorem Danych Osobowych
  w rozumieniu przepisów ustawy o ochronie danych osobowych
  i posiada zakres uprawnień w rozumieniu ww. ustawy.
• Do zadań Administratora Danych Osobowych należy zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
• sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych, zgodnie z art. 36c ustawy.
• opracowanie i aktualizowanie dokumentacjiopisującej sposób przetwarzania danych  oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
• prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych oraz przygotowywanie upoważnień do przetwarzania danych osobowych,
• prowadzenie rejestru zbiorów danychprzetwarzanych przez administratora danych

2.3. Zakres przetwarzania danych osobowych.

Polityka Bezpieczeństwa Informacji ma zastosowanie do:

1) Danych osobowych przetwarzanych w systemach informatycznych oraz w tradycyjnej – papierowej formie oraz przechowywanych na wszelkich nośnikach magnetycznych, optycznych, elektronicznych takich jak: dysk twardy, dyskietka, CD/DVD, pamięć masowa typu flash, a także w książkach i kartotekach ewidencyjnych;

2) Danych osobowych przetwarzanych zarówno w zbiorach danych, zestawach oraz pojedynczych informacjach osobowych;

3) Informacji dotyczących bezpieczeństwa danych osobowych, w szczególności informacji służących do uwierzytelnienia się w systemach informatycznych, w których mogą występować dane osobowe.

Rozdział III

3.1 Ogólne zasady przetwarzania danych osobowych.

• Dane osobowe są przetwarzane w Przedsiębiorstwie MARLIBO     w celu realizacji zadań

• Każdy pracownik Przedsiębiorstwa MARLIBO    ma prawo do ochrony danych osobowych, które go dotyczą.

 

Rozdział IV

4.1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Środki techniczne i organizacyjne zostały określone w „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w firmie.

4.2. Analiza zagrożeń dla przetwarzanych i gromadzonych danych osobowych.

Zagrożeniem dla przetwarzanych danych osobowych są:

1) Połączenie z siecią Internet;

2) Pożary, włamania, kradzieże;

3) Błędy ludzkie;

1. a) świadome:

• ujawnienie loginu i hasła do systemu informatycznego współpracownikom i osobom
  z zewnątrz,
• udostępnianie stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,
• udostępnianie osobom nieuprawnionym programów komputerowych zainstalowanych w systemie,
• używanie oprogramowania w innym zakresie niż pozwala na to umowa licencyjna,
• przenoszenie programów komputerowych, dysków twardych z jednego stanowiska na inne,
• kopiowanie danych na nośniki informacji, kopiowanie na inne systemy celem wyniesienia ich poza obszar przetwarzania danych osobowych,
• samowolne instalowanie i używanie jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego,
• używanie nośników danych udostępnionych przez osoby postronne,
• otwieranie załączników i wiadomości poczty elektronicznej od nieznanych „niezaufanych” nadawców,
• używanie nośników danych niesprawdzonych niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą,
• wykorzystywanie sieci komputerowej w celach innych, niż zgodnie z przeznaczeniem,
• tworzenie kopii zapasowych nie chronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania,
• wyrzucanie dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia uniemożliwiającego ich odtworzenie,
• pozostawianie dokumentów na biurku po zakończonej pracy, pozostawianie otwartych dokumentów na ekranie monitora bez blokady konsoli,
• ignorowanie nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych,

1. b) nieświadome:

• zapominanie o wylogowaniu się z systemu komputerowego przed opuszczeniem pomieszczenia,
• złe ustawienie monitora komputerowego, które umożliwia wgląd osobom postronnym,
• pozostawianie bez nadzoru osób trzecich przebywających w pomieszczeniach Szkoły, w których przetwarzane są dane osobowe,
• pozostawienie zewnętrznych nośników informacji podłączonych do komputera np. pamięć flash, dyskietki i płyty w napędzie,
• zapisywanie na kartkach i pozostawianie haseł w miejscach widocznych dla innych osób,
• pozostawianie dokumentów, kopii dokumentów zawierające dane osobowe
  w drukarkach, kserokopiarkach lub w centrach wydruku,
• pozostawianie kluczy w drzwiach, szafach, biurkach, zostawianie otwartych pomieszczeń, w których przetwarza się dane osobowe.

4.3. Ochrona danych osobowych przetwarzanych w formie elektronicznej.

Uwzględniając kategorie przetwarzanych danych wprowadza się w firmie wysoki poziom bezpieczeństwa ochrony danych osobowych. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, połączone jest z siecią publiczną.

1) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, obejmują one kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych;

2) Stosuje się mechanizmy kontroli dostępu do danych osobowych, wprowadzając w tym systemie, rejestrowany dla każdego użytkownika odrębny identyfikator. Dostęp do danych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia przez wprowadzenie hasła;

3) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przed utratą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Usuwa się niezwłocznie po ustaniu ich użyteczności;

4) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji należy wcześniej pozbawić zapisów tych danych. W przypadku, gdy nie jest to możliwe, uszkodzić w sposób uniemożliwiający ich odczytanie;

5) Pracownik Firmy użytkujący komputer przenośny zawierający dane osobowe powinien zachować szczególną ostrożność podczas jego transportu i przechowywania poza obszarem przetwarzania danych osobowych po odpowiednio uzyskanej zgodzie.

 

4.4. Ochrona danych osobowych przetwarzanych w formie papierowej.

 

Dane osobowe przetwarzane i gromadzone przy użyciu tradycyjnych środków pisarskich gromadzone są w rejestrach, księgach, dziennikach, zeszytach papierowych oraz segregatorach. Dane te należy przechowywać w szafach zamykanych na zamek patentowy oraz w sejfach
i kasetkach.

Obszar przetwarzania i gromadzenia danych osobowych zabezpiecza się przed dostępem osób nieuprawnionych. Przebywanie osób nieupoważnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą administratora danych w obecności osób upoważnionych do przetwarzania danych osobowych.

Sposób postępowania z kluczami do pomieszczeń i szaf został opisany w punkcie poświęconym ochronie fizycznej pomieszczeń, w których przetwarza się dane osobowe.

 

4.5. Procedury nadawania uprawnień do przetwarzania danych osobowych.

Do przetwarzania danych, zgodnie z art. 37 ustawy mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:

• Imię i nazwisko osoby upoważnionej;
• Datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
• Identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik Nr 1 do niniejszej Polityki.

Dopuszcza się możliwość upoważniania do przetwarzania danych osobowych osób będących pracownikami firm zewnętrznych, które wykonują zadania na rzecz firmy w obszarze, gdzie przetwarza się dane osobowe, wynikające z zawartej umowy – wzór umowy stanowi Załącznik nr 6 do niniejszej Polityki. (Umowa powierzenia przetwarzania danych osobowych.)

 

4.6. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

 

Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe oraz sposób zabezpieczeń poszczególnych budynków, pomieszczeń lub ich części obejmuje dokumentacja prowadzona przez Administratora Danych Osobowych, zgodnie z wzorem stanowiącym odpowiednio Załącznik Nr 2 i 3 do niniejszej Polityki.

 

4.7. Ochrona fizyczna pomieszczeń, w których przetwarzane są dane osobowe.

• Budynki i pomieszczenia, w których przetwarzane są dane osobowe, powinny być zabezpieczone w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, na czas nieobecności osób upoważnionych;
• Pomieszczenia i budynki, lub ich części, o których mowa w ust. 1 muszą mieć, co najmniej

następujące zabezpieczenia:

1. a) drzwi do pomieszczeń, w których przetwarzane są dane osobowe winny być zamykane na klucz,
2. b) dokumenty z danymi osobowymi powinny być zamykane na klucz w szafach lub sejfach,
3. d) budynek objęty jest alarmem.

 

Klucze do sejfów lub szaf na dokumenty, należy przechowywać w danym pomieszczeniu
w zamkniętej szufladzie na zamek patentowy lub kasetce. Klucz do tej szuflady lub kasetki przechowują pracownicy tego pomieszczenia w znanym tylko sobie miejscu.

Po zakończeniu pracy osoby odpowiedzialne za pomieszczenia, w których są przetwarzane dane osobowe są obowiązane sprawdzić zamknięcie szaf i pomieszczeń.

Administrator Danych Osobowych, zobowiązany jest do prowadzania bieżącej aktualizacji dokumentacji związanej z ochroną danych osobowych zgodnie z wzorem aktualizacji stanowiącym Załącznik Nr 4 do niniejszej Polityki.

Bieżącą aktualizację należy przeprowadzać nie rzadziej niż raz w roku.

 

Rozdział V

5.1. Udostępnianie danych osobowych.

Udostępnianie danych osobowych instytucjom, osobom spoza firmy może odbywać się wyłącznie za pośrednictwem i zgodą Administratora Danych Osobowych, zgodnie z przepisami ustawy. Dane osobowe udostępnia się na pisemnie umotywowany wniosek lub w przypadku udostępniania danych podmiotom instytucjonalnych – na podstawie umowy o powierzenie danych osobowych. Rejestr przedmiotowych wniosków i umów prowadzi Administrator Danych Osobowych.

 

Rozdział VI

6.1 Rejestr zbiorów przetwarzanych przez Administratora Danych Osobowych.

 

1. Rejestr zbiorów danych składa się z wykazu zbiorów danych osobowych przetwarzanych przez firmie, zawierającego odrębnie dla każdego zbioru danych informacje określone w załączniku.
2. Rejestr prowadzony jest w postaci papierowej lub elektronicznej.
3. Za prowadzenie rejestru zgodnie z obowiązującymi przepisami i jego aktualizację odpowiada Administratora Danych Osobowych.
4. ADO w ramach prowadzenia rejestru dokonuje:

• wpisania zbioru danych w przypadku rozpoczęcia przetwarzania w nim danych

osobowych;

• aktualizacji informacji dotyczących zbioru danych w przypadku zmiany informacji objętych wpisem;
• wykreślenia zbioru danych w przypadku zaprzestania przetwarzania w nim danych

osobowych.

5. Wpisu do rejestru dokonuje się niezwłocznie po zaistnieniu zdarzenia, o którym mowa w ust. 4 pkt.1, powodującego obowiązek dokonania wpisu.
6. W rejestrze prowadzi się wykaz zmian, który zawiera:

1) wskazanie rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);

2) datę dokonania zmiany;

3) zakres zmiany.

 

 

Rozdział VII

 

7.1. Odpowiedzialność karna i dyscyplinarna.

 

• Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi określonymi w art. 49 – 54 ustawy oraz w art. 130, 266 – 269, 287 Kodeksu Karnego;

2) Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych obowiązujących w firmie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną

 

Załączniki:

 

Załącznik nr 1 – wzór upoważnienia do przetwarzania danych osobowych.

Załącznik nr 2 – wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe.

Załącznik nr 3 – wzór sposobu zabezpieczenia poszczególnych budynków, pomieszczeń lub
ich części.

Załącznik nr 4 – arkusz aktualizacji.

Załącznik nr 5 – wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

do przetwarzania tych danych. Opis struktury zbiorów danych wskazujący zawartość

poszczególnych pól informacyjnych i powiązania między nimi. Sposób przepływu

danych pomiędzy poszczególnymi systemami.

Załącznik nr 6 – wzór umowy powierzenia przetwarzania danych osobowych.