POLITYKA BEZPIECZEŃSTWA INFORMACJI
POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH
Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak
ul. Lotnicza 18III/1
82-300 Elbląg
SPIS TREŚCI
I. POSTANOWIENIA OGÓLNE
§1.
Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania grupy informacji zawierającej dane osobowe. Dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) ; Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [rozporządzenie ogólne o ochronie danych]; Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (U. 2004 nr 100 poz. 1024),
§2.
Określenia użyte w Polityce Bezpieczeństwa oznaczają:
I.DEFINICJA BEZPIECZEŃSTWA INFORMACJI
§3.
Utrzymanie bezpieczeństwa przetwarzanych przez Jednostkę informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki.
§4.
Politykę Bezpieczeństwa stosuje się do:
§6.
§7.
Informacje niejawne nie są objęte zakresem niniejszej Polityki.
III. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI
§8.
III. DOSTĘP DO INFORMACJI
§9.
Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Jednostce zasad ochrony danych osobowych.
§10.
Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.
§11.
Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, mogą być udostępnione jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
§12.
Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
§13.
Dane osobowe udostępnia się na pisemny, umotywowany wniosek, który powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać zakres i przeznaczenie.
IV. ZARZĄDZANIE DANYMI OSOBOWYMI
§14.
Administratorem danych osobowych jest Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
§15.
1. Zapoznanie się z dokumentami określonymi w §8 pkt 2 pracownicy Jednostki potwierdzają podpisem na „Indywidualnym zakresie czynności osoby zatrudnionej przy przetwarzaniu danych osobowych” (wzór w załączniku nr 3) i przekazują Administratorowi Bezpieczeństwa Informacji.
§17.
Ochrona zasobów danych osobowych Jednostki jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników Jednostki.
V. ZAKRESY ODPOWIEDZIALNOŚCI
§18.
Za bezpieczeństwo informacji odpowiedzialny jest każdy właściciel Jednostki.
§19.
Administrator bezpieczeństwa informacji w Jednostce:
§20.
Administrator danych osobowych zobowiązany jest do przestrzegania wszystkich przepisów ustawy o ochronie danych, w szczególności poprzez:
§21.
Administrator Systemu Informatycznego odpowiedzialny jest za:
VI.PRZETWARZANIE DANYCH OSOBOWYCH
§22.
§23.
W Jednostce rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych:
VII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE
§25.
Archiwizacja informacji zawierających dane osobowe odbywa w formie elektronicznej oraz papierowej. Nośniki danych przechowywane są w wydzielonych pomieszczeniach, które są zabezpieczone przed dostępem osób nieupoważnionych (wykaz pomieszczeń załącznik nr 4)
Załącznik nr 2 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1.
INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCHw
Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
§1
Instrukcja jest przeznaczona dla osób zatrudnionych przy przetwarzaniu danych osobowych.
§2
Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy:
§3
Każdy pracownik Jednostki, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób) zobowiązany jest do niezwłocznego poinformowania o tym administratora tego systemu informatycznego lub w przypadku jego nieobecności administratora bezpieczeństwa informacji Jednostki.
§4
§5
§6
Załącznik nr 4 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
WYKAZ POMIESZCZEŃ, W KTÓRYCH SĄ PRZETWARZANE, PRZECHOWYWANE, NISZCZONE DANE OSOBOWE Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1:
a/ pomieszczenia znajdujące się w budynku przy ul. Rzeźnickiej 12-13c 82-300 Elbląg
b/ pomieszczenia znajdujące się w budynku 82-300 Elbląg, Lotnicza 18III/1
Załącznik nr 1 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH
w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
I.ZAKRES STOSOWANIA
Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenie pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu.
II.OBSZAR PRZETWARZANIA DANYCH
III.REJESTROWANIE I WYREJESTROWANIE UŻYTKOWNIKA
IV.SPOSÓB PRZYDZIAŁU HASEŁ I ZASADY KORZYSTANIA Z NICH
V. ROZPOCZĘCIE I ZAKOŃCZENIE PRACY
VI. SPRAWDZANIE OBECNOŚCI WIRUSÓW KOMPUTEROWYCH
VII.SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJI, W TYM KOPII INFORMATYCZNYCH I WYDRUKÓW
IX.ZASADY PRZEGLĄDANIA I KONSERWACJI SYSTEMU
X.KOMUNIKACJA W SIECI KOMPUTEROWEJ
XI.OBOWIĄZKI I ODPOWIEDZILANOŚĆ UŻYTKOWNIKA ZWIĄZANE Z OBOWIĄZYWANIEM INSTRUKCJI
Załącznik nr 5 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
Elbląg, dnia ................
Upoważnienie imienne do przetwarzania danych osobowych
Na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniam Panią / Pana:
..............................................................................................................................................
(imię i nazwisko osoby upoważnionej)
zatrudnioną (ego) w
..............................................................................................................................................
(nazwa jednostki i komórki organizacyjnej)
na stanowisku:
........................................................................................................................................
do przetwarzania od dnia.......................................... r. danych osobowych w zakresie :
........................................................................................................................................
i nadaję identyfikator:
..................................................................................................................
......................................................................
(podpis administratora danych )
Załącznik nr 6 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
Elblag, dnia ................
OŚWIADCZENIE
Oświadczam, że przed przystąpieniem do pracy przy przetwarzaniu danych osobowych zostałam/em zaznajomiona/ny z przepisami dotyczącymi ochrony danych osobowych, w tym z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z poźn. zm.) oraz rozporządzeniami wykonawczymi wydanymi na jej podstawie.
Zapoznałam/em się i rozumiem zasady dotyczące ochrony danych osobowych opisane w:
......................................................
podpis pracownika
Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak
ul. Lotnicza 18III/1
82-300 Elbląg
SPIS TREŚCI
- POSTANOWIENIA OGÓLNE............................................................................... 3
- DEFINICJA BEZPIECZEŃSTWA INFORMACJI................................................. 4
- ZAKRES................................................................................................................ 5
- STRUKTURA DOKUMENTÓW POLITYKI
- DOSTĘP DO INFORMACJI................................................................................. 8
- ZARZĄDZANIE DANYMI OSOBOWYMI............................................................ 9
- ZAKRESY ODPOWIEDZIALNOŚCI.................................................................. 10
- PRZETWARZANIE DANYCH OSOBOWYCH.................................................. 13
- ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH
I. POSTANOWIENIA OGÓLNE
§1.
Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania grupy informacji zawierającej dane osobowe. Dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) ; Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [rozporządzenie ogólne o ochronie danych]; Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (U. 2004 nr 100 poz. 1024),
§2.
Określenia użyte w Polityce Bezpieczeństwa oznaczają:
- Jednostka – Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
- przetwarzanie danych osobowych – gromadzenie, utrwalanie przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych,
- użytkownik – osoba upoważniona do przetwarzania danych osobowych,
- administrator systemu – osoba upoważniona do zarządzania systemem informatycznym,
- system informatyczny – system przetwarzania danych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1 wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje,
- zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą.
I.DEFINICJA BEZPIECZEŃSTWA INFORMACJI
§3.
Utrzymanie bezpieczeństwa przetwarzanych przez Jednostkę informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki.
- Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji:
- Poufność informacji – rozumiana jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji,
- Integralność informacji – rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania,
- Dostępność informacji – rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,
- Zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych.
- Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem:
- Niezaprzeczalności odbioru – rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie,
- Niezaprzeczalności nadania – rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie,
- Rozliczalności działań – rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał.
- ZAKRES
§4.
- W systemie informacyjnym Jednostki przetwarzane są informacje służące do wykonywania zadań niezbędnych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa.
- Informacje te są przetwarzane i składowane zarówno w postaci manualnej jak i elektronicznej.
Politykę Bezpieczeństwa stosuje się do:
- danych osobowych przetwarzanych w systemie informatycznym,
- wszystkich informacji dotyczących danych pracowników Jednostki, w tym danych osobowych personelu i treści zawieranych umów o pracę,
- wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji,
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- rejestru osób dopuszczonych do przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe.
§6.
- Zakresy określone przez dokumenty Polityki Bezpieczeństwa Informacji mają zastosowanie do całego systemu informacyjnego Jednostki w szczególności do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są informacje podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie.
§7.
Informacje niejawne nie są objęte zakresem niniejszej Polityki.
III. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI
§8.
- Dokumenty Polityki Bezpieczeństwa Informacji ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji.
- Zestaw dokumentów Polityki Bezpieczeństwa Informacji składa się z:
- Niniejszego dokumentu Polityki Bezpieczeństwa Informacji,
- Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania systemami przetwarzania danych osobowych w Jednostce - załącznik nr 1,
- Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, opisującej tryb postępowania w sytuacjach naruszenia zabezpieczenia zasobów danych osobowych, zaobserwowanych prób naruszenia tego zabezpieczenia, a także uzasadnionego podejrzenia o przygotowywanej próbie naruszenia- załącznik nr 2.
III. DOSTĘP DO INFORMACJI
§9.
Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Jednostce zasad ochrony danych osobowych.
§10.
Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.
§11.
Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, mogą być udostępnione jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
§12.
Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
§13.
Dane osobowe udostępnia się na pisemny, umotywowany wniosek, który powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać zakres i przeznaczenie.
IV. ZARZĄDZANIE DANYMI OSOBOWYMI
§14.
Administratorem danych osobowych jest Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
§15.
- Za bezpieczeństwo danych osobowych Jednostki, odpowiadają:
- Administrator danych osobowych - właściciel
- Administrator Bezpieczeństwa Informacji Jednostki realizując politykę bezpieczeństwa informacji ma prawo wydawać instrukcje regulujące kwestie związane z ochroną danych w strukturach Jednostki.
- W umowach zawieranych przez Jednostkę winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych udostępnionych przez Jednostkę.
1. Zapoznanie się z dokumentami określonymi w §8 pkt 2 pracownicy Jednostki potwierdzają podpisem na „Indywidualnym zakresie czynności osoby zatrudnionej przy przetwarzaniu danych osobowych” (wzór w załączniku nr 3) i przekazują Administratorowi Bezpieczeństwa Informacji.
§17.
Ochrona zasobów danych osobowych Jednostki jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników Jednostki.
V. ZAKRESY ODPOWIEDZIALNOŚCI
§18.
Za bezpieczeństwo informacji odpowiedzialny jest każdy właściciel Jednostki.
§19.
Administrator bezpieczeństwa informacji w Jednostce:
- odpowiada za realizację ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora Bezpieczeństwa Informacji,
- sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób,
- określa strategię zabezpieczania systemów informatycznych Jednostki,
- sprawuje nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
- sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe,
- identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych Jednostki,
- określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe,
- sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, palmtopach, w których przetwarzane są dane osobowe,
- sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe,
- monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych,
- sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych,
- zatwierdza wnioski o przyznaniu danemu użytkownikowi identyfikatora oraz praw dostępu do informacji chronionych w danym systemie przetwarzania,
- powiadamia administratora systemu o konieczności utworzenia identyfikatora użytkownika w systemie oraz zmianie/nadaniu uprawnień dostępu użytkownika do systemu,
- prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe,
- prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych,
- prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych,
- prowadzi rejestr zbiorów danych osobowych Jednostki (przetwarzanych metodą tradycyjną lub w systemach informatycznych).
§20.
Administrator danych osobowych zobowiązany jest do przestrzegania wszystkich przepisów ustawy o ochronie danych, w szczególności poprzez:
- określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych,
- określenie budynków, pomieszczeń lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego,
- zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie,
- wykonywania zaleceń Administratora Bezpieczeństwa Informacji Jednostki w zakresie ochrony danych osobowych,
- wdrażanie i nadzorowanie przestrzegania Polityki bezpieczeństwa informacji,
- wdrażanie i nadzorowanie przestrzegania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
- działanie zgodnie z instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych,
- stwarzanie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych,
- odpowiedzialność za poprawność merytoryczną danych gromadzonych w systemach informacyjnych,
- określanie, które osoby i na jakich prawach mają dostęp do danych informacji,
§21.
Administrator Systemu Informatycznego odpowiedzialny jest za:
- bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
- optymalizację wydajności systemu informatycznego, baz danych,
- instalacje i konfiguracje sprzętu sieciowego i serwerowego,
- instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego,
- konfigurację i administrację oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem,
- współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
- zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
- zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
- przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
- przyznawanie na wniosek Administratora Danych, za zgodą Administratora Bezpieczeństwa Informacji ściśle określonych praw dostępu do informacji w danym systemie,
- wnioskowanie do Administratora Bezpieczeństwa Informacji w sprawie procedur bezpieczeństwa i standardów zabezpieczeń,
- zarządzanie licencjami, procedurami ich dotyczącymi,
- prowadzenie profilaktyki antywirusowej.
VI.PRZETWARZANIE DANYCH OSOBOWYCH
§22.
- Przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach zamykanych na klucz przez wyznaczone do tego celu osoby.
- Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
§23.
- Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia należy niszczyć w stopniu uniemożliwiającym ich odczytanie.
- Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
W Jednostce rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych:
- Zabezpieczenia fizyczne:
- pomieszczenia zamykane na klucz, urządzenia do przetwarzania zabezpieczone hasłem dostępu,
- Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:
- przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach,
- przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby.
- Zabezpieczenia organizacyjne:
- osobą odpowiedzialną za bezpieczeństwo danych jest Administrator Bezpieczeństwa Informacji (ABI),
- Administrator Bezpieczeństwa Informacji i wszyscy powołani przez niego administratorzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami,
VII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE
§25.
Archiwizacja informacji zawierających dane osobowe odbywa w formie elektronicznej oraz papierowej. Nośniki danych przechowywane są w wydzielonych pomieszczeniach, które są zabezpieczone przed dostępem osób nieupoważnionych (wykaz pomieszczeń załącznik nr 4)
Załącznik nr 2 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1.
INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCHw
Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
§1
Instrukcja jest przeznaczona dla osób zatrudnionych przy przetwarzaniu danych osobowych.
§2
Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy:
- stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie,
- stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.
§3
Każdy pracownik Jednostki, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób) zobowiązany jest do niezwłocznego poinformowania o tym administratora tego systemu informatycznego lub w przypadku jego nieobecności administratora bezpieczeństwa informacji Jednostki.
§4
- Dane osobowe zostają ujawnione, gdy stają się znane w całości lub części pozwalającej na określenie osobom nieuprawnionym tożsamości osoby, której dane dotyczą.
- W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpieczeństwa należy przeprowadzić postępowanie wyjaśniające, czy dane osobowe należy uznać za ujawnione.
§5
- Administrator bazy danych osobowych, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego:
- zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu,
- jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania,
- przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp.
- podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in.
- fizycznego odłączenia urządzeń i segmentów sieci które mogły umożliwić dostęp do bazy danych osobie niepowołanej,
- wylogowania użytkownika podejrzanego o naruszenie ochrony danych,
- zmianę hasła na konto administratora i użytkownika poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu.
- szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych,
- przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą.
- Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
- Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych.
- Jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości.
- Jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych.
§6
- Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 3 dni od daty jego zaistnienia przekazuje i administratorowi bezpieczeństwa informacji Jednostce.
- Administrator bezpieczeństwa informacji w Jednostce przeprowadza analizę raportów i uwzględnia je w opracowywaniu corocznego raportu dla administratora danych Jednostce (właściciela Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1)
Załącznik nr 4 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
WYKAZ POMIESZCZEŃ, W KTÓRYCH SĄ PRZETWARZANE, PRZECHOWYWANE, NISZCZONE DANE OSOBOWE Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1:
a/ pomieszczenia znajdujące się w budynku przy ul. Rzeźnickiej 12-13c 82-300 Elbląg
b/ pomieszczenia znajdujące się w budynku 82-300 Elbląg, Lotnicza 18III/1
Załącznik nr 1 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH
w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
I.ZAKRES STOSOWANIA
Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenie pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu.
II.OBSZAR PRZETWARZANIA DANYCH
- Obszar przetwarzania danych osobowych z użyciem stacjonarnego sprzętu komputerowego stanowią pomieszczenia wykazane w załączniku nr 4.
- Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych, wyposażone są w zamknięcia. W czasie, gdy nie znajdują się w nich osoby upoważnione, pomieszczenia są zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym. Osoby nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą Administratora Danych lub w obecności osób upoważnionych.
III.REJESTROWANIE I WYREJESTROWANIE UŻYTKOWNIKA
- Użytkownikiem systemu informatycznego (osobą upoważnioną) może być:
- osoba zatrudniona przy przetwarzaniu danych osobowych w Jednostce, która posiada upoważnienie do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład,
- pracownik innego podmiotu lub przedsiębiorca będący osobą fizyczną prowadzi działalność na podstawie wpisu do ewidencji działalności gospodarczej, którzy świadczą na podstawie stosowanych umów usługi związane z ich pracą w systemie informatycznym (serwis, zlecenie przetwarzania danych osobowych itp.).
- Uzyskanie uprawnień następuje na dwóch poziomach:
- zarejestrowania w sieci komputerowej (założenie konta),
- nadanie określonych uprawnień do korzystania z systemu komputerowego.
- Pisemny wniosek o zarejestrowanie użytkownika składa bezpośredni przełożony pracownika. Wniosek zostaje przekazany do Administratora Bezpieczeństwa Informacji, który może zgłosić sprzeciw wobec przyznania uprawnień, ze względu na zagrożenie naruszenia bezpieczeństwa danych osobowych.
- W przypadku zakończenia pracy w Jednostce, stosuje się następująca procedurę wyrejestrowania użytkownika:
- na karcie obiegowej, na której osoba odchodząca zbiera podpisy potwierdzenia rozliczenia się z pracodawcą, znajduje się pozycja stwierdzająca fakt usunięcia lub zablokowania profilu użytkownika,
- Administrator Bezpieczeństwa Informacji jako osoba upoważniona do podpisania obiegówki przed podpisaniem pozycji stwierdzającej fakt usunięcia lub zablokowania profilu użytkownika wydaje polecenie administratorowi systemu o natychmiastowym wykonaniu tej czynności,
- po wykonaniu tej czynności następuje podpisanie przez Administratora Bezpieczeństwa Informacji obiegówki potwierdzającej usunięcie lub zablokowanie profilu użytkownika,
- wykonanie tej operacji jest jednoznaczne z uniemożliwieniem dostępu do systemu dla pracownika, z którym rozwiązano umowę o pracę w Jednostce,
IV.SPOSÓB PRZYDZIAŁU HASEŁ I ZASADY KORZYSTANIA Z NICH
- Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu loginu i hasła.
- Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego login w systemie.
- W Jednostce obowiązują następujące zasady korzystania z haseł:
- zabrania się ujawniania haseł jakimkolwiek osobom trzecim,
- zabrania się zapisywania haseł lub takiego z nimi postępowania, które umożliwia lub ułatwia dostęp do haseł osobom trzecim.
- Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników z haseł nadzoruje Administrator Bezpieczeństwa Informacji. Nadzór ten w szczególności polega na obserwacji (monitorowaniu) funkcjonowania mechanizmu uwierzytelniania i przywracania stanu prawidłowego w przypadku nieprawidłowości.
V. ROZPOCZĘCIE I ZAKOŃCZENIE PRACY
- Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powiadamia Administratora Bezpieczeństwa Informacji.
- Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności:
- włączenia komputera,
- uwierzytelnienia się („zalogowania” w systemie) za pomocą loginu i hasła.
- Niedopuszczalne jest uwierzytelnianie się na hasło i login innego użytkownika lub praca w systemie informatycznym na koncie innego użytkownika.
- Zakończenie pracy użytkownika w systemie następuje po „wylogowaniu się” z systemu. Po zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy, w szczególności dyskietki, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób nieupoważnionych.
- W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest „wylogować się” lub zaktywizować wygaszacz ekranu z opcją ponownego „logowania” się do systemu.
- W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania („logowaniu się” w systemie), użytkownik niezwłocznie powiadamia o nich administratora.
VI. SPRAWDZANIE OBECNOŚCI WIRUSÓW KOMPUTEROWYCH
- Sprawdzanie obecności wirusów komputerowych dokonywane jest poprzez zainstalowanie programu, który skanuje automatycznie, bez udziału użytkownika, na obecność wirusów wszystkie pliki. Program jest zainstalowany na wszystkich stacjach roboczych.
- Po każdej naprawie i konserwacji komputera należy dokonać sprawdzenia pod kątem występowania wirusów i ponownie zainstalować program antywirusowy.
- Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu programem antywirusowym przed rozpoczęciem korzystania z nich. Dane uzyskiwane drogą teletransmisji należy umieszczać – przed otwarciem – w katalogu przejściowym, który podlega sprawdzeniu.
VII.SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJI, W TYM KOPII INFORMATYCZNYCH I WYDRUKÓW
- Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w odrębnych zamykanych szafach.
- Osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w wykonywanej pracy, a w przypadku jego nieprzydatności – niezwłocznie wydruk zniszczyć.
- Elektroniczne nośniki informacji z danymi osobowymi są oznaczane i przechowywane w zamykanych szafach lub sejfach znajdujących się w specjalnym pomieszczeniu, do którego dostęp mają wyłącznie odrębnie upoważnieni pracownicy.
- Fizyczna likwidacja zniszczonych lub niepotrzebnych elektronicznych nośników informacji z danymi osobowymi odbywa się w sposób uniemożliwiający odczyt danych osobowych.
- Dopuszczalne jest zlecenie/powierzenie niszczenia wszelkich nośników danych osobowych wyspecjalizowanym podmiotom zewnętrznym. Podstawą przekazania danych do zniszczenia innemu podmiotowi powinna być w każdym przypadku umowa zawarta na piśmie.
IX.ZASADY PRZEGLĄDANIA I KONSERWACJI SYSTEMU
- Przegląd i konserwacja zbiorów danych dokonywane są poprzez:
- badanie spójności bazy danych,
- uruchamianie zapytań do bazy danych w celu analizy danych,
- przegląd wydruków po wyznaczonych procesach,
- sprawdzanie zgodności danych z dokumentami,
- analiza zgłaszanych uwag użytkowników.
- Przeglądu i konserwacji dokonują osoby uprawnione przez właściciela Jednostki z Administratorem Bezpieczeństwa Informacji.
- W przypadku zlecenia wykonywania czynności, o których mowa wyżej, podmiotowi zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem Administratora Bezpieczeństwa Informacji.
X.KOMUNIKACJA W SIECI KOMPUTEROWEJ
- W zakresie korzystania z sieci komputerowej w Jednostce obowiązują następujące zasady:
- pracownicy nie są uprawnieni do instalacji jakiegokolwiek prywatnego oprogramowania. W przypadku zainstalowania takiego oprogramowania bez odpowiedniej akceptacji pracownik ponosi odpowiedzialność porządkową i prawną,
- oprogramowanie na komputerach może być zainstalowane wyłącznie za zgodą właściciela Jednostki,
- pracownicy nie mają prawa przekazywać za pośrednictwem sieci komputerowej do stron trzecich jakichkolwiek danych stanowiących własność Jednostki,
- pracownicy nie mogą ściągać za pośrednictwem sieci komputerowej żadnego oprogramowania,
XI.OBOWIĄZKI I ODPOWIEDZILANOŚĆ UŻYTKOWNIKA ZWIĄZANE Z OBOWIĄZYWANIEM INSTRUKCJI
- Użytkownik systemu jest zobowiązany zapoznać się z treścią niniejszej Instrukcji i potwierdzić to stosownym oświadczeniem.
- Naruszenie przez pracownika niniejszej Instrukcji może zostać potraktowane jako naruszenie obowiązków pracowniczych i powodować określoną przepisami Kodeksu pracy odpowiedzialność pracownika.
- Treść niniejszej Instrukcji ma charakter poufny, chroniony tajemnicą pracodawcy na zasadzie art. 100 § 2 pkt 4 Kodeksu pracy.
Załącznik nr 5 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
Elbląg, dnia ................
Upoważnienie imienne do przetwarzania danych osobowych
Na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniam Panią / Pana:
..............................................................................................................................................
(imię i nazwisko osoby upoważnionej)
zatrudnioną (ego) w
..............................................................................................................................................
(nazwa jednostki i komórki organizacyjnej)
na stanowisku:
........................................................................................................................................
do przetwarzania od dnia.......................................... r. danych osobowych w zakresie :
........................................................................................................................................
i nadaję identyfikator:
..................................................................................................................
......................................................................
(podpis administratora danych )
Załącznik nr 6 do Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
Elblag, dnia ................
OŚWIADCZENIE
Oświadczam, że przed przystąpieniem do pracy przy przetwarzaniu danych osobowych zostałam/em zaznajomiona/ny z przepisami dotyczącymi ochrony danych osobowych, w tym z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z poźn. zm.) oraz rozporządzeniami wykonawczymi wydanymi na jej podstawie.
Zapoznałam/em się i rozumiem zasady dotyczące ochrony danych osobowych opisane w:
- Polityce bezpieczeństwa przetwarzania danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
- Instrukcji zarządzania systemem informatycznym w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
- Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych w Fizjopasja Rehabilitacja i Pilates Elżbieta Serniak, 82-300 Elbląg, Lotnicza 18III/1
......................................................
podpis pracownika