Polityka Bezpieczeństwa

Spis treści

  • Podstawowe informacje.
  • Polityka bezpieczeństwa.
  • Wykaz budynków i pomieszczeń przetwarzania danych osobowych.
  • Wykaz zbiorów danych osobowych.
  • Określenie środków niezbędnych do zachowania bezpieczeństwa danych.
  • Postanowienia końcowe.

I. Podstawowe informacje

1.Podstawa prawna

Polityka Bezpieczeństwa integralnie z Instrukcją Zarządzania Systemem Informatycznym przedstawia działania organizacyjne i techniczne wdrożone przez Administratora danych Róża – Kwiaciarnia Kwiatowo Prezentowa z siedzibą w 44-100 Gliwice, przy ulicy Tarnogórskiej 14, prowadzącej działalność gospodarczą w ramach firmy KKM System Good Luck. Naszym zadaniem jest działanie mające na celu ochronę przetwarzanych danych osobowych oraz edukacja pracowników w zakresie ochrony tych danychi informacji. W tym  celu Administrator zamierza wdrożyć system ochrony danych osobowych, który ochroni przed ewentualnymi zagrożeniami wewnętrznymi i zewnętrznymi. Polityka Bezpieczeństwa to dokument mający zastosowanie wewnętrzne, udostępnianie go osobom trzecim może nastąpić tylko za zgodą Administratora. Kluczowymi przepisami prawnymi, realizowanymi przez Politykę Bezpieczeństwa są:

  • Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), zwana dalej UODO,
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. określające przetwarzanie danych osobowych oraz warunki techniczne i organizacyjne systemów informatycznych i urządzeń służących do wykorzystania danych osobowych (Dz. U. z 2004 r., nr 100, poz. 1024), zwane dalej Rozporządzeniem;
  • Rozporządzenie z dnia 27.04.2016 roku Parlamentu Europejskiego i Rady (EU) 2016/679 dotyczące ochrony osób fizycznych podczas przetwarzania danych osobowych i w związku z naturalnym przepływem tych danych a także w związku z uchyleniem dyrektywy 95/46/WE (Dziennik Urzędowy UE L 119 z dnia 04.05.2016 roku), zwane dalej RODO.

Począwszy od dnia 25.05.2018 r. Polityka Bezpieczeństwa realizuje zasady RODO, w szczególności Polityka Bezpieczeństwa stanowi tym samym strategię ochrony danych zgodnie z art. 24 ust. 2 ROD

2. Sformułowania

  • Administrator – podmiot zarządzający, w tym przypadku to Róża – Kwiaciarnia Kwiatowo Prezentowa z siedzibą w 44-100 Gliwice, ul. Tarnogórska 14, prowadząca działalność gospodarczą pod firmą KKM System Good Luck,
  • Osoba upoważniona – pracownik posiadający pisemne pełnomocnictwo do wykorzystywania danych osobowych wydane przez Administratora,
  • Użytkownik systemu – osoba, mająca upoważnienie do wykorzystywania danych osobowych podpisane przez Administratora a widniejąca w systemie /korzystająca z unikalnego identyfikatora i hasła/ przetwarzająca dane osobowe,
  • Odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu udostępnia się dane osobowe, bez względu na to, czy jest stroną trzecią,
  • Dane osobowe – wszelkie informacje umożliwiające zidentyfikowanie osoby fizycznej. Osobą możliwą do rozpoznania jest osoba, której tożsamość można ustalić bezpośrednio lub pośrednio,
  • Szczególne kategorie danych osobowych – personalia wskazujące pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przekonania światopoglądowe, przynależność do związków zawodowych także przetwarzania danych genetycznych, danych biometrycznych mających jednoznacznie zidentyfikować osoby fizyczne lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, oraz dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa,
  • Zbiór danych – logiczny zestaw informacji personalnych dostępnych według określonych zasad, zestaw ten może być scentralizowany, zdecentralizowany albo też rozproszony funkcjonalnie lub geograficznie,
  • Przetwarzanie danych – działania lub zestaw działań wykonywanych na danych osobowych lub zestawach danych osobowych w sposób automatyczny lub tradycyjny, takie jak: pobieranie, wykorzystywanie, zbieranie, adaptowanie, modyfikowanie utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, udostępnianie poprzez przesłanie, rozpowszechnianie, udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • Usuwanie danych – usuwanie danych osobowych lub taką ich zmianę, która uniemożliwi ustalenie osoby, której informacje dotyczą,
  • Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych wyraziście identyfikujący osobę mającą autoryzację do przetwarzania danych osobowych w systemie informatycznym,
  • Hasło – szereg znaków literowych, cyfrowych lub szczególnych, wiadomy jedynie osobie mającej autoryzację do pracy w systemie informatycznym,
  • Uwierzytelnianie – to czynność, której celem jest weryfikacja podanej tożsamości jednostki,
  • Bezpieczeństwo informacji – zachowanie poufności, jedności, łatwości oceny informacji,
  • Poufność – zespół działań mających na celu nie udostępnianie informacji nieupoważnionym osobom i podmiotom,
  • Dostępność – jest to działanie umożliwiające wgląd lub dostęp na żądanie do informacji upoważnionym podmiotom lub osobom,
  • Integralność – właściwość gwarantująca, że informacje identyfikujące osobę nie uległy zmianie, zniszczeniu w sposób nieformalny,
  • Rozliczalność – cecha gwarantująca, że działania podmiotu są przypisane w jednoznaczny sposób tylko temu podmiotowi,
  • Naruszenie ochrony danych osobowych – zakłócenie bezpieczeństwa mogące prowadzić do przypadkowego lub nieprawnego zniszczenia, utracenia, zmodyfikowania, bezprawnego ujawnienia lub bezprawnego dostępu do danych personalnych przesyłanych, przechowywanych lub przetwarzanych,
  • System informatyczny – grupa współpracujących ze sobą urządzeń, programów, systemów przetwarzania informacji i narzędzi programowych zastosowanych w celu obróbki danych,
  • Zabezpieczanie danych w systemie informatycznym – wprowadzenie i zastosowanie odpowiednich metod technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

3. Zdefiniowanie odpowiedzialności

Celem Polityki Bezpieczeństwa jest określić działania, które należy wykonać oraz zdefiniowanie zasad i reguł postępowania, które należy wykorzystywać, aby poprawnie wykonać obowiązki Administratora w kontekście zabezpieczenia danych osobowych.Zakres zagadnienia Polityki Bezpieczeństwa uwzględnia wszystkie zbiory danych personalnych zdefiniowane w  załączniku nr 4 – Wykaz zbiorów danych.Polityka Bezpieczeństwa obowiązuje wszystkich pracowników Administratora oraz osoby pracujące dla Administratora na podstawie umów cywilnoprawnych oraz na podstawie prowadzonej działalności gospodarczej.Dane osobowe objęte Polityką oraz metody ich zabezpieczania objęte są tajemnicą nieograniczoną w czasie.

II. Polityka bezpieczeństwa

1.Podstawowe zasady Polityki

 W celu zapewnienia ochrony danych personalnych użytkowanych przez Administratora wprowadza się następujące zasady:

  • Minimum przywilejów – przyznawanie praw dostępu tylko w obszarze niezbędnym do wykonywania czynności służbowych,
  • Separacja obowiązków – zadania krytyczne z punktu widzenia bezpieczeństwa informacji wymagają działania co najmniej dwóch osób,
  • Domniemana odmowa – przyjęcia podstawowych najbardziej rygorystycznych ustawień, od których można odstąpić jedynie w określonych sytuacjach.

Realizacja Polityki Bezpieczeństwa odbywa się według wymienionych poniżej założeń:

  • Każda osoba biorąca udział w przetwarzaniu danych personalnych otrzyma od Administratora pisemne, imienne pełnomocnictwo do ich przetwarzania stanowiące jednocześnie polecenie Administratora w rozumieniu art. 29 RODO oraz 32 ust. 4 RODO wyjaśnione w załączniku nr 1,
  • Pełnomocnictwo to stanowi integralną część wraz z deklaracją pracownika o dotrzymaniu w tajemnicy danych personalnych, metoda ich ochrony jak również zapoznania się z treścią Polityki – sposób nadawania upoważnień jest opisany w punkcie 2.1.

Wzór ewidencji osób, którym udzielono pełnomocnictwo stanowi załącznik nr 3.

Administrator wprowadził wymagane zasady organizacyjne i techniczne mające właściwe zabezpieczenie danych osobowych.

Administrator zabezpiecza możliwość ciągłego zapewnienia poufności, dostępności,  integralności i odporności systemów i usług przetwarzania poprzez wdrożenie następujących zasad:

1. Administrator zabezpiecza system informatyczny przed nieupoważnionym dostępem, utratą, możliwością zmiany lub zniszczeniem danych osobowych poprzez logowanie się pracowników hasłem oraz stosowanie programu antywirusowego. Sieć wewnętrzna jest chroniona odpowiednimi zabezpieczeniami przed nieupoważnionym dostępem z zewnątrz.

2. Każdemu pracownikowi Administrator przypisał indywidualny identyfikator, za pośrednictwem którego może korzystać z udostępnianych baz i usług. Włączone w systemie informatycznym mechanizmy oraz procedury umożliwiają rozliczanie pracowników zarejestrowanych w systemie.

3. Administrator poinformował swoich pracowników w zakresie przyjętej Polityki Bezpieczeństwa.

4. Administrator pouczył swoich pracowników o obowiązku informowania o wystąpieniu zdarzenia związanego z bezpieczeństwem informacji.

5. W przypadku naruszenia ochrony danych osobowych, pracownik zobowiązany jest niezwłocznie powiadomić Administratora w następujący sposób:

 

  • przedstawić charakter naruszenia ochrony danych personalnych, z wskazaniem kategorii i liczby osób, których dane dotyczą, oraz kategorie i liczbę wpisów danych personalnych, których dotyczy naruszenie,
  • zgłoszenie powinno zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • zgłoszenie powinno zawierać opis ewentualnych konsekwencji naruszenia ochrony danych osobowych,
  • należy opisać użyte lub sugerowane przez administratora działania, które mają na celu zaradzenie naruszeniu ochrony danych personalnych, w tym w określonych przypadkach zasady mające na celu zminimalizowanie jego ewentualnych negatywnych skutków.

6. Administrator prowadzi rejestr wszystkich naruszeń ochrony danych osobowych, w tym sytuacje, w których doszło do naruszenia ochrony danych personalnych, jego skutki a także podjęte działania mające zapobiec takim sytuacjom w przyszłości.

7. Administratorowi nie jest znany wynik oceny skutków przetwarzania dla ochrony danych, gdyż charakter, zakres, okoliczności i cele przetwarzania danych personalnych nie wskazują na szansę wysokiego ryzyka naruszenia praw lub wolności osób fizycznych,

8. Administrator raz do roku ma obowiązek przeprowadzenia audytu sprawdzającego w celu sprawdzenia i oceny efektywności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.

9. Administrator ma obowiązek tworzyć kopie zapasowe danych personalnych archiwizowanych i przetwarzanych w systemie w razie wystąpienia zdarzenia fizycznego lub technicznego. Kopie tworzone są raz dziennie na dysku wewnętrznym i przechowywane w siedzibie Administratora.

10. Administrator rejestruje wszystkie czynności przetwarzania – załącznik nr 4.

2. Realizacja Polityki Bezpieczeństwa

Administrator zwraca szczególna uwagę na elementy zarządzania, które wpływają na ochronę danych mając na uwadze ochronę przed przypadkowym lub nieprawnym zniszczeniem, utratą, modyfikacją, bezzasadnym ujawnieniem lub bezzasadnym dostępem do danych osobowych przesyłanych, przechowywanych lub przetwarzanych. Obejmuje to nie tylko dane osobowe przechowywane w bazach danych czy dokumentacji papierowej ale również te dane, które przesyłane są w systemach komputerowych.W tym ostatnim przypadku chodzi głównie o zabezpieczenie danych podczas ich elektronicznego przesyłu, który występuje podczas transferu danych:

  • W wiadomościach e-mail: dane osobowe (imię, nazwisko, stanowisko, telefon, adres poczty elektronicznej, miejsce pracy) inne aniżeli kontaktowe (dane wykorzystywane wyłącznie w celu skontaktowania się z daną osobą) lub takie, które mogą mieć niewłaściwy wpływ na właściciela danych muszą być przesyłane w zabezpieczonych załącznikach oraz nie mogą być przesyłane jako główna treść wiadomości,
  • Ze zbioru danych do użytkowników. W tym przypadku cały sprzęt komputerowy, komputery przenośne i inne nośniki danych są zabezpieczone kryptograficznie.

Regułę bezpieczeństwa należy traktować w sposób całościowy. Realizacja Polityki Bezpieczeństwa wymaga współdziałania wszystkich osób biorących udział w przetwarzaniu danych. Szczególnie ważna jest znajomość zasad bezpieczeństwa oraz powaga jej znaczenia.Wszyscy pracownicy jednogłośnie zgłaszają wolę ochrony przetwarzanych danych osobowych, której celem jest zapewnienie bezpieczeństwa tych danych a w szczególności dbanie o ich:

  • poufność;
  • integralność;
  • dostępność;
  • rozliczalność.

III. Wykaz budynków i pomieszczeń przetwarzania danych osobowych

Administrator przetwarza dane personalne w siedzibie Róży – Kwiaciarni Kwiatowo Prezentowej w 44-100 Gliwice, przy ulicy Tarnogórskiej 14.Prawo dostępu do danych osobowych przetwarzanych w systemie informatycznym za pośrednictwem sieci telekomunikacyjnej mają wybrane osoby wyłącznie za zgodą Administratora.

 IV. Wykaz zbiorów danych osobowych

Administrator przetwarza dane personalne osób fizycznych w postaci papierowej oraz w systemach informatycznych. Zbiór danych osobowych Administrator przetwarza zgodnie z aktualnymi przepisami prawa.Przeprowadzono dokładną ewidencję przetwarzanych danych osobowych w postaci papierowej i elektronicznej.W załączniku numer 4 znajduje się wzorzec rejestru danych osobowych z ujęciem programów służących do ich przetwarzania oraz ich strukturą

V.Określenie środków niezbędnych do zachowania bezpieczeństwa danych

Administrator stosuje różnorodne środki organizacyjne gwarantujące ochronę przetwarzanych danych osobowych.Odpowiednie środki techniczne i organizacyjne mają na celu zminimalizowanie ryzyka oraz w razie wystąpienia zagrożenia, jego analizę i wybór sposobu postępowania.

1.Bezpieczeństwo fizyczne

  • Kontrola wejścia – osoby odwiedzające Administratora powinny mieć umożliwiony dostęp wyłącznie w ściśle określonych, ustalonych celach. Bez właściwego pozwolenia udzielonego przez Administratora osobom odwiedzającym nie wolno używać w jego siedzibie sprzętu nagrywającego, sprzętu fotograficznego i video.
  • Dostęp do pomieszczeń – wstęp do pomieszczeń Administratora, w których odbywa się przetwarzanie danych personalnych, ogranicza się jedynie do pracowników oraz innych osób upoważnionych przez Administratora. Osoby upoważnione do pozostawania w miejscu przetwarzania danych osobowych mogą przebywać w nim jedynie w zakresie ściśle ustalonym do wykonania czynności opisanych w upoważnieniu. W czasie nieobecności pracownika pomieszczenia muszą być zamykane na klucz, a klucze po otwarciu drzwi nie mogą pozostawać w zamkach, w przypadku gdy w pomieszczeniu przebywają osoby postronne  muszą im towarzyszyć pracownicy upoważnieni lub pracownicy mający zgodę  Administratora danych. W takim przypadku, każdorazowo wyznacza się pracownika do nadzoru personelu zewnętrznego.
  • Izolowane obszary przyjmowania gości – w celu zachowania bezpieczeństwa unika się przyjmowania gości przez pracowników Administratora w swoich biurach przy stanowiskach pracy. Przebywanie osób postronnych może doprowadzić do wycieku informacji poprzez wgląd do leżących na stanowiskach pracy otwartych dokumentów papierowych lub elektronicznych bądź przez podsłuchanie rozmowy pracowników.
  • Urządzenia systemu informatycznego – Administrator posiada własną serwerownię. Administrator wykorzystuje urządzenia stacjonarne: komputery stacjonarne, telefony stacjonarne, kserokopiarki oraz przenośne: komputery przenośne, telefony komórkowe. Są one użytkowane zgodnie z ich przeznaczeniem mając na uwadze obowiązujące zasady Polityki Bezpieczeństwa. W przypadku użytkowania ich poza obszarem przetwarzania danych, aby zniwelować czyhające zagrożenia wprowadza się dodatkowe środki ostrożności:
    • hasła administracyjne dostępu do urządzeń aktywnych, systemów serwerowych, stacji roboczych oraz innych urządzeń wymagających logowania są przechowywane w miejscu bezpiecznym,
    • stosowane są zabezpieczenia kryptograficzne,
    • stosowane są hasła i loginy do systemu informatycznego,
    • zabronione jest pozostawianie urządzeń bez nadzoru,
    • zabronione jest udostępnianie urządzeń do wykorzystywania nieupoważnionym osobom,
    • zabronione jest udostępnianie sieci poprzez Hotspot,
    • tworzenie kopii zapasowych danych w innym pomieszczeniu niż system przetwarzania tych informacji.

2. Ogólne środki bezpieczeństwa

  • Upoważnienia do przetwarzania danych osobowych – każdy przetwarzający dane osobowe pracownik musi posiadać upoważnienie do przetwarzania danych personalnych. W upoważnieniu muszą znajdować sie wszystkie wymagane prawem informacje oraz poziom dostępu do systemu informatycznego Administratora. Na podstawie załącznika nr 1 odbywa się nadawanie upoważnień do przetwarzania danych osobowych.Anulowanie upoważnień następuje najpóźniej w ostatnim dniu pracy poprzez zapisanie tego faktu w Ewidencji osób upoważnionych oraz wpisanie właściwej informacji w dokumencie upoważnienia. Upoważnienia przechowywane są w miejscu, w którym przechowywana jest dokumentacja kadrowa.
  • Zasada czystego biurka i czystego ekranu – pozostawione na biurkach dokumenty zawierające informacje mogą ulec zniszczeniu, uszkodzeniu lub też mogą zostać wyjawione poprzez wgląd osób postronnych, dlatego też wprowadzono zasady:
  • w zamykanych na klucz szafach lub w innych bezpiecznych miejscach, zwłaszcza poza godzinami pracy powinny być przechowywane dokumenty papierowe oraz inne nośniki informacji,
  • do niszczenia dokumentów papierowych stosujemy wyłącznie niszczarki,
  • w szafkach z zamkiem powinny być zamykane dokumenty zawierające wrażliwe lub krytyczne informacje a pieczątki powinny być zamykane w szufladach z zamkiem,
  • zalogowane komputery nie pozostawiamy bez nadzoru,
  • aby nie dopuścić do podglądu informacji na ekranie osobom trzecim musimy ustawić  monitory w sposób uniemożliwiający wgląd,
  • po godzinach pracy urządzenia kopiujące powinny być zabezpieczone tak by uniemożliwić użycie osobom postronnym,
  • poufne lub wrażliwe informacje należy natychmiast po wydrukowaniu wyjąć z drukarki.

3. Powierzenie przetwarzania danych

Administrator może przekazać dane osobowe innym podmiotom, zachodzi wówczas  powierzenie przetwarzania danych osobowych. W celu zabezpieczenia danych osobowych Administrator podejmuje następujące działania:

1 .Powierzenie przetwarzania danych osobowych uwzględnia w rejestrze zbiorów danych – załącznik numer 4,
2. Umieszcza w umowach informacje dotyczące powierzenia przetwarzania danych osobowych.

Zapisy umowne dotyczące powierzenia przetwarzania danych muszą zawierać informacje o podmiocie przetwarzającym:

  • Przetwarza dane osobowe jedynie w ściśle określonym w umowie celu i zakresie i na wyłączne pisemne polecenie administratora.
  • Gwarantuje dochowanie tajemnicy służbowej przez osoby upoważnione do przetwarzania danych osobowych poprzez ich pisemne zobowiązanie się do tego lub dopilnowuje by podlegały właściwemu ustawowemu obowiązkowi zachowania tajemnicy.
  • Jeśli wystąpi potrzeba podejmuje wszelkie niezbędne rozwiązania wymagane w celu zabezpieczenia danych osobowych, takie jak: pseudonimizacja, szyfrowanie danych osobowych, umiejętność ciągłego gwarantowania poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego odzyskania dostępności danych osobowych i dostępu do nich w razie zdarzenia fizycznego lub technicznego oraz cykliczne mierzenie, sprawdzanie i ocenianie wydolności przedsięwziętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  • Wyłącznie po uzyskaniu pisemnej zgody Administratora przekazuje powierzone dane osobowe innym podmiotom do przetwarzania.
  • Wspomaga Administratora za pomocą odpowiednich środków technicznych i organizacyjnych w dopełnieniu obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
  • Wspomaga Administratora w wywiązaniu się z obowiązków dotyczących zawiadamiania o zaistniałych naruszeniach ochrony danych osobowych oraz w kwestii oceny skutków przetwarzania dla  danych osobowych.
  • W zależności od decyzji Administratora, po zakończeniu świadczenia usług związanych z przetwarzaniem, usuwa lub zwraca Administratorowi wszelkie dane osobowe lub ich kopie, chyba że prawo Unii lub prawo państwa członkowskiego zobowiązują do przechowywania danych osobowych.
  • Przekazuje Administratorowi informacje niezbędne do spełnienia obowiązków określonych w niniejszym tekście oraz zezwala Administratorowi lub audytorowi upoważnionemu przez Administratora na przeprowadzanie audytów a także inspekcji.

4. Postępowanie z informacją

  • Kontrola dostępu do informacji – bez upoważnienia Administratora, pracownikom zabrania się udzielać poniższych informacji:
    • o danych osobowych oraz o charakterze poufnym,
    • o zabezpieczeniach, w tym o ochronie systemu informatycznego.
  • Formy wymiany informacji – zabezpieczeniu podlega także informacja głosowa, wizualna a także faksowa. Aby zwiększyć ochronę przekazywanej informacji wdraża się poniższe zalecenia:
    • zachowanie wyjątkowej ostrożności w czasie prowadzenia rozmów telefonicznych, a szczególnie zakaz podawania informacji tajnych i danych osobowych telefonicznie,
    • zakaz prowadzenia poufnych rozmów w miejscach publicznych, takich jak: restauracje, publiczne środki transportu, szeroko dostępne biura lub pomieszczenia o cienkich ścianach,
    • nie nagrywanie informacji poufnych na tak zwanych sekretarkach automatycznych.
  • Bezpieczeństwo teleinformatyczne – stosowanie oprogramowania antywirusowego i programów kontrolujących przepływ informacji pomiędzy systemem informatycznym ADO a siecią publiczną.

VI. Postanowienia końcowe 

Polityka wchodzi w życie z dniem 10.05.2018 r.