RODO
Klub Integracji Twórczych Stowarzyszanie Żywych Poetów- Polityka prywatności
SPIS TREŚCI
Część I | |||
Dokumentacja sposobu przetwarzania danych osobowych | |||
Definicje | |||
Wprowadzenie | |||
Przepisy ogólne | |||
Rozdział 1 | Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów | ||
a) wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe | |||
b) Wskazanie środków zastosowanych do przetwarzania tych danych: | |||
c) określenie środków organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych: | |||
Rozdział 2 | Opis zdarzeń naruszających ochronę danych osobowych | ||
Rozdział 3 | Zabezpieczenie danych osobowych | ||
Rozdział 4 | Postępowanie w przypadku naruszenia ochrony danych osobowych | ||
Rozdział 5 | Postanowienia końcowe | ||
Rozdział 6 | Arkusz zmian | ||
Część II | |||
Instrukcja w sprawie zasad postępowania przy przetwarzaniu danych osobowych | |||
Część III | |||
Instrukcja dla osób upoważnionych do przetwarzania danych osobowych | |||
Część IV | |||
Załączniki | |||
1 „A” | Oświadczenie o zapoznaniu się z treścią „Polityki bezpieczeństwa” | ||
1 „B” | Lista osób, które zapoznały się z „Polityką bezpieczeństwa” | ||
2 „A” | Upoważnienie do przetwarzania danych osobowych dla ABI | ||
2 „B” | Upoważnienie dla ABI do reprezentowania AD i udzielania/odwoływania upoważnienia | ||
3 | Upoważnienie do przetwarzania danych osobowych | ||
4 | Ewidencja osób upoważnionych do przetwarzania danych osobowych | ||
5 „A” | Odwołanie upoważnienia ABI do przetwarzania danych osobowych | ||
5 „B” | Odwołanie upoważnienia ABI do reprezentowania AD i udzielania/odwoływania upoważnienia | ||
6 | Odwołanie upoważnienia do przetwarzania danych osobowych | ||
7 | Rejestr zbiorów danych osobowych przetwarzanych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów | ||
8 | Informacja o planowanym utworzeniu nowego zbioru danych osobowych | ||
9 | Raport z naruszenia ochrony danych osobowych | ||
10 | Analiza naruszenia ochrony danych osobowych | ||
11 | Protokół z naruszenia poufności nośnika danych | ||
12 „A” | Protokół przekazania | ||
12 „B” | Zestawienie przekazywanych danych osobowych | ||
CZĘŚĆ I
Dokumentacja sposobu przetwarzania danych osobowych
Definicje
Ilekroć w niniejszym dokumencie jest mowa o:
1) „Polityce bezpieczeństwa”, „dokumencie” – należy przez to rozumieć „Politykę bezpieczeństwa w zakresie ochrony danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
2) K.I.T. Stowarzyszanie Żywych Poetów – należy przez to rozumieć Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
3) Danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
3a) Osobie możliwej do zidentyfikowania – należy przez to rozumieć osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
4) Zbiorze danych – należy przez to rozumieć każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
5) Administratorze Danych („AD”) – należy przez to rozumieć Zarząd Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
6) Administratorze Bezpieczeństwa Informacji („ABI”) – należy przez to rozumieć osobę wyznaczoną przez Zarząd Klub Integracji Twórczych Stowarzyszanie Żywych Poetów do nadzorowania przestrzegania zasad ochrony w sprawie ustalenia polityki bezpieczeństwa w zakresie ochrony danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów oraz wymagań w zakresie ochrony wynikających
z powszechnie obowiązujących przepisów o ochronie danych osobowych.
7) Osobie upoważnionej – należy przez to rozumieć: pracownika, współpracownika, wolontariusza, praktykanta, stażystę Klub Integracji Twórczych Stowarzyszanie Żywych Poetów posiadającego pisemne upoważnienie do przetwarzania danych osobowych nadane przez AD lub ABI w imieniu AD.
8) Przetwarzaniu danych – należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
8a) Systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
8b) Zabezpieczeniu danych w systemie informatycznym – należy przez to rozumieć wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
9) Usuwaniu danych – należy przez to rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
10) Zgodzie osoby, której dane dotyczą – należy przez to rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli innej treści.
11) Odbiorcy danych – należy przez to rozumieć każdego, komu udostępnia się dane osobowe, z wyłączeniem:
- a) osoby, której dane dotyczą,
- b) osoby upoważnionej do przetwarzania danych,
- c) przedstawiciela, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst pierwotny: Dz. U. z 1997 r. Nr 133, poz. 883; tekst jednolity: Dz. U. z 2002 r., Nr 101, poz. 926),
- d) podmiotu, o którym mowa w art. 31 ww. Ustawy,
- e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
12) „Instrukcji…” – należy przez to rozumieć „Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
Wprowadzenie
Niniejszy dokument opisuje reguły dotyczące procedur zapewnienia bezpieczeństwa danych osobowych zawartych w systemach informatycznych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
Opisane reguły określają granice dopuszczalnego zachowania wszystkich użytkowników systemów informatycznych wspomagających pracę Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
Dokument zwraca uwagę na konsekwencje, jakie mogą ponosić osoby przekraczające określone granice oraz procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń.
Odpowiednie zabezpieczenia, ochrona przetwarzanych danych oraz niezawodność funkcjonowania są podstawowymi wymogami stawianymi współczesnym systemom informatycznym.
Dokument „Polityka bezpieczeństwa w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów – zwany dalej: „Polityką bezpieczeństwa”, „Dokumentem”, wskazuje sposób postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych i jest w szczególności przeznaczony dla osób pracujących przy przetwarzaniu danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
Potrzeba opracowania „Polityki bezpieczeństwa” wynika z przepisów § 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
Przepisy ogólne
- „Polityka bezpieczeństwa” określa tryb postępowania w przypadku, gdy:
1) stan urządzenia, zawartość rejestru danego zbioru danych osobowych, ujawnione metody pracy mogą wskazywać na naruszenie zabezpieczeń tych danych;
2) stwierdzono naruszenie bezpieczeństwa przetwarzanych danych w rejestrze danego zbioru danych.
- „Polityka bezpieczeństwa” obowiązuje wszystkie osoby pracujące przy przetwarzaniu danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
- Wykonywanie postanowień tego dokumentu ma zapewnić właściwą reakcję, ocenę
i udokumentowanie przypadków naruszenia bezpieczeństwa w danym rejestrze zbioru danych Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
4.1.1 Administrator Danych, którym jest Zarząd Klub Integracji Twórczych Stowarzyszanie Żywych Poetów, swoją decyzją wyznacza Administratora Bezpieczeństwa Informacji zawartych w rejestrach zbiorów danych Klub Integracji Twórczych Stowarzyszanie Żywych Poetów, którym jest Radosław Wiśniewski.
4.2 Administrator Danych upoważnia Administratora Bezpieczeństwa Informacji do przetwarzania wszystkich zbiorów danych osobowych zaewidencjonowanych w „Rejestrze zbiorów danych osobowych przetwarzanych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
4.3 Upoważnienie, o którym mowa w pkt. 4.2 ma formę pisemną (załącznik nr 2 „A” do „Polityki bezpieczeństwa”).
4.4. Administrator Danych może w każdym czasie odwołać upoważnienie do przetwarzania danych osobowych udzielone Administratorowi Bezpieczeństwa Informacji.
4.5 Odwołanie upoważnienia, o którym mowa w pkt. 4.4 ma formę pisemną (załącznik nr 5 „A” do „Polityki bezpieczeństwa”).
4.6 Administrator Danych wyznacza Administratora Bezpieczeństwa Informacji do:
- a) udzielania upoważnień do przetwarzania danych osobowych:
- osobom wchodzącym w skład organów organizacji.
- Pracownikom,
- Współpracownikom,
- wolontariuszom, praktykantom i stażystom,
- pracownikom lub współpracownikom Klub Integracji Twórczych Stowarzyszanie Żywych Poetów w związku
z realizacją projektu/zadania, w którym Klub Integracji Twórczych Stowarzyszanie Żywych Poetów jest lub może być partnerem [niezależnie od tego, czy lider projektu/zadania (realizator) udzielił lub udzieli takiego upoważnienia, czy też nie], - pracownikom lub współpracownikom instytucji, którym Klub Integracji Twórczych Stowarzyszanie Żywych Poetów powierzy – na mocy stosownej pisemnej umowy – prowadzenie zadań z zakresu monitoringu i ewaluacji projektu/zadania, którego Klub Integracji Twórczych Stowarzyszanie Żywych Poetów jest realizatorem[1],
- pracownikom Klub Integracji Twórczych Stowarzyszanie Żywych Poetów w związku z pozostałymi przypadkami przetwarzania danych osobowych[2] w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów,
- b) nadawania upoważnienia dla Administratora Systemu Informatycznego[3],
- c) odwoływania upoważnienia dla Administratora Systemu Informatycznego[4].
4.7 Upoważnienia o których mowa w pkt. 4.6 mają formę pisemną[5] [odpowiednio załącznik nr 3 do „Polityki bezpieczeństwa” 4.8 Administrator Bezpieczeństwa Informacji może w każdym czasie odwołać upoważnienie do przetwarzania danych osobowych udzielone osobom wymienionym w pkt. 4.6 „a”.
4.9 Odwołanie upoważnień, o których mowa w pkt. 4.8 ma formę pisemną (załącznik nr 6 do „Polityki bezpieczeństwa”).
4.10 Administrator Danych wyznacza Administratora Bezpieczeństwa Informacji do reprezentowania Administratora Danych.
4.11 Do wykonywania czynności określonych w pkt. 4.2, 4.6, 4.8 i 4.10 Administrator Danych wyda Administratorowi Bezpieczeństwa Informacji stosowne upoważnienia.
4.12 Upoważnienia, o których mowa w pkt. 4.11 mają formę pisemną (załącznik nr 2 „A”
i załącznik nr 2 „B” do „Polityki bezpieczeństwa”).
4.13 Odwołanie upoważnień, o których mowa w pkt. 4.12 może nastąpić w każdym czasie.
4.14 Odwołanie upoważnień, o których mowa w pkt. 4.12 ma formę pisemną (załącznik nr 5 „A” i załącznik nr 5 „B” do „Polityki bezpieczeństwa”).
- Administrator Bezpieczeństwa Informacji wykonuje czynności określone w pkt. 4.2, 4.6, 4.8 i 4.10 oraz realizuje zadania w zakresie ochrony danych osobowych, a w szczególności
w zakresie:
1) ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach danych Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
2) sprawowania kontroli nad wprowadzaniem i udostępnianiem danych osobowych;
3) podejmowania stosownych działań zgodnie z niniejszą „Polityką bezpieczeństwa”
w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym[6] lub każdym innym;
4) niezwłocznego informowania Administratora Danych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych;
5) nadzoru i kontroli – wraz z Administratorem Systemu Informatycznego (ASI) – systemów informatycznych[7] służących do przetwarzania danych osobowych i osób przy nim zatrudnionych.
- Osobę upoważnioną do zastępowania Administratora Bezpieczeństwa Informacji wyznacza Administrator Bezpieczeństwa Informacji (ABI).
- Osoba zastępująca ABI powyższe zadania realizuje w przypadku nieobecności ABI.
- Osoba zastępująca składa ABI relację z działań podejmowanych w czasie swojego zastępstwa.
Niniejszy dokument jest zgodny z następującymi aktami prawnymi:
- Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst pierwotny: Dz. U.
z 1997 r. Nr 133, poz. 883; tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). - Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). - Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji[8] z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).
Rozdział 1
Polityka bezpieczeństwa w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
- a) wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar,
w którym przetwarzane są dane osobowe[9]:
Klub Integracji Twórczych Stowarzyszanie Żywych Poetów zajmuje się
1) działalność nieodpłatna pożytku publicznego:· Organizowanie spotkań literackich, kursów, pokazów, happeningów, odczytów, warsztatów artystycznych, seminariów, działań o charakterze teatralnym, spotkań dyskusyjnych, sympozjów, kongresów;· Działania o charakterze kulturalno-oświatowym: prowadzenie i organizacja zajęć dydaktycznych (lekcje, wykłady monograficzne, warsztaty, zajęcia pozalekcyjne, prelekcje);· Działania edytorskie – wydawanie książek, broszur i czasopism;· Współpraca z innymi formalnymi i nieformalnymi instytucjami i organizacjami, których działalność pokrywa się z celami statutowymi Stowarzyszenia;· Upowszechnianie wiedzy o sztuce i szerzenie kultury;Współdziałanie z władzami, instytucjami oraz organizacjami zainteresowanymi działalnością Stowarzyszenia. |
2) działalność odpłatna pożytku publicznego:· – Sprzedaż edycji książkowych z zakresu literatury· Organizowanie szkoleń i warsztatów |
Siedziba organizacji znajduje się przy ul. Miejska Biblioteka Publiczna w Brzegu, 49-300 Brzeg
Adres do korespondencji: Miejska Biblioteka Publiczna w Brzegu, ul. Jana Pawła II 5, Nisza, pomieszczenie gospodarcze nr. 4, 49-300 Brzeg
Dane osobowe są przetrzymywane w drewnianych szafkach na zamek, ma do nich dostęp zarząd.
- b) Wskazanie środków zastosowanych do przetwarzania tych danych:
Dane osobowe darczyńców organizacji przetwarzane są w formie papierowej oraz elektronicznej i obejmują następujący zakres:
- imiona i nazwiska,
- pełny adres lub oznaczenie samej tylko miejscowości,
- serię i numer dowodu osobistego,
- numer ewidencyjny PESEL i/lub NIP,
- numer telefonu stacjonarnego i/lub komórkowego i/lub adres poczty elektronicznej,
- datę wpływu/przekazania darowizny,
- przedmiot darowizny (pieniężna i/lub rzeczowa),
- nazwę banku i numer rachunku bankowego (w przypadku darowizny pieniężnej).
Dane osobowe wolontariuszy, praktykantów i stażystów współpracujących z organizacją przetwarzane są w formie papierowej oraz elektronicznej i obejmują następujący zakres:
- imiona i nazwiska,
- adres zamieszkania (miejscowość wraz z kodem pocztowym, ulica, numer domu, numer mieszkania),
- serię i numer dowodu osobistego, numer ewidencyjny PESEL i/lub NIP,
- ramy graniczne obowiązywania porozumienia o wolontariacie, porozumienia lub umowy o odbycie praktyk lub stażu, porozumienia o wykonanie prac społecznie użytecznych,
oraz:
- dane kontaktowe (telefon stacjonarny i/lub komórkowy, adres poczty elektronicznej).
Do zasobów systemu informatycznego służącego do przetwarzania danych osobowych zalicza się[10]:
- organizacja tworzy własne bazy danych (np. w programie WORD, EXCEL lub w programach Open Office)
- c) określenie środków organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych:
Środki organizacyjne:
Do zastosowanych przez Administratora Danych i osoby przez niego upoważnione w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów środków organizacyjnych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należy:
- opracowanie i wdrożenie „Polityki bezpieczeństwa w zakresie ochrony danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów,
- opracowanie i wdrożenie „Instrukcji Zarządzania Systemem Informatycznym[11]
służącym do przetwarzania danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów - wyznaczenie przez AD Administratora Bezpieczeństwa Informacji (ABI) i nadanie mu upoważnienia do przetwarzania danych osobowych,
- nadanie przez ABI członkom organów organizacji, pracownikom, współpracownikom, wolontariuszom, praktykantom i stażystom organizacji upoważnień do przetwarzania danych osobowych,
- nadawanie przez ABI pracownikom i współpracownikom organizacji upoważnień do przetwarzania danych osobowych w związku z realizacją projektów/zadań,
w których organizacja będzie partnerem[12] [niezależnie od tego, czy lider projektu/zadania (realizator) udzieli takiego upoważnienia, czy też nie], - nadawanie przez ABI pracownikom i współpracownikom organizacji upoważnień do przetwarzania danych osobowych w pozostałych przypadkach przetwarzania danych osobowych występujących w organizacji[13],
- wyznaczenie Administratora Systemu Informatycznego (ASI) przez ABI[14],
- sprawowanie przez ABI oraz ASI kontroli i nadzoru nad procesem wprowadzania danych osobowych do zbioru oraz ich udostępniania..
Dla potrzeb ochrony danych osobowych przetwarzanych w organizacji w formie papierowej stosuje się zabezpieczenia polegające na przechowywaniu:
- dokumentacji bieżącej – np. w szafach zamykanych na zamki lub kłódki w obszarach przetwarzania danych osobowych,
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych przetwarzanych przez organizację, a zwłaszcza prawo do:
1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania
w powszechnie zrozumiałej formie treści tych danych;
4) uzyskania informacji o źródle danych, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej;
5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji
o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r., Nr 101, poz. 926) albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Dane osobowe udostępnia się na pisemny, umotywowany wniosek. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
Rozdział 2
Opis zdarzeń naruszających ochronę danych osobowych
- Podział zagrożeń:
1) Zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) – ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu – ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.
2) Zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania) – może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.
3) Zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia naruszenia poufności danych – zazwyczaj nie następuje uszkodzenie infrastruktury technicznej
i zakłócenie ciągłości pracy.
Zagrożenia te możemy podzielić na:
- a) nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu),
- b) nieuprawniony dostęp do systemu z jego wnętrza,
- c) nieuprawniony przekaz danych,
- d) pogorszenie jakości sprzętu i oprogramowania,
- e) bezpośrednie zagrożenie materialnych składników systemu.
- Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to głównie:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.;
2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych;
3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie
w kierunku naruszenia ochrony danych lub wręcz sabotaż;
4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu;
5) pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację
w systemie;
6) naruszenie lub próba naruszenia integralności systemu lub bazy danych
w tym systemie;
7) stwierdzona próba modyfikacji lub modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia (autoryzacji);
8) niedopuszczalna manipulacja danymi osobowymi w systemie;
9) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedury ochrony przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń;
10) nieprzypadkowe odstępstwa od zasad bezpieczeństwa pracy w systemie lub sieci komputerowej wskazujące na przełamanie lub zaniechanie ochrony danych osobowych
– np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu itp.;
11) istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki” itp.;
12) podmiana lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia, jak również skasowanie lub skopiowanie w sposób niedozwolony danych osobowych;
13) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych itp.).
- Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości
w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych, tj. na papierze (wydrukach), kliszy, folii, zdjęciach, dyskietkach w formie niezabezpieczonej itp.
Rozdział 3
Zabezpieczenie danych osobowych
- Administratorem danych osobowych zawartych i przetwarzanych w rejestrach zbiorów danych Klub Integracji Twórczych Stowarzyszanie Żywych Poetów – przedstawionych w Rozdziale 1: Klub Integracji Twórczych Stowarzyszanie Żywych Poetów podpunkt „b” niniejszej „Polityki bezpieczeństwa” – w systemach informatycznych i na nośnikach tradycyjnych wyszczególnionych w punktach.
- Administrator danych osobowych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych w systemach informatycznych i na nośnikach tradycyjnych, a w szczególności do:
1) zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,
2) zapobiegania kradzieży danych,
3) zapobiegania przetwarzaniu danych z naruszeniem ustawy oraz zmianie, utracie, uszkodzeniu lub zniszczeniu tych danych.
- Do zastosowanych środków technicznych należy:
1) przetwarzanie danych osobowych w wydzielonych, odpowiednio zabezpieczonych
i przystosowanych do tego pomieszczeniach;
2) zabezpieczenie wejścia do pomieszczeń, o których mowa w pkt 1;
3) wyposażenie pomieszczeń w szafy dające gwarancję bezpieczeństwa dokumentacji
i nośników danych.
- Do zastosowanych środków organizacyjnych należą następujące zasady:
1) zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych przed jej przystąpieniem do pracy przy przetwarzaniu danych osobowych;
2) przeszkolenie osób, o których mowa w pkt 1, w zakresie bezpiecznej obsługi urządzeń
i programów związanych z przetwarzaniem i ochroną danych osobowych;
3) kontrolowanie otwierania i zamykania pomieszczeń wymienionych w pkt 3.1, polegające na otwarciu pomieszczenia przez pierwszą osobę, która rozpoczyna pracę oraz zamknięciu pomieszczenia przez ostatnią wychodzącą osobę i niepozostawianiu pomieszczenia w czasie pracy bez nadzoru.
- Niezależnie od niniejszych zasad, w zakresie bezpieczeństwa mają zastosowanie wszelkie wewnętrzne regulaminy lub instrukcje dotyczące bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualne zakresy zadań osób zatrudnionych przy przetwarzaniu danych osobowych w określonym systemie, przy czym dokumenty te nie mogą być sprzeczne z regulacjami określonymi w „Polityce bezpieczeństwa”.
- AD za pośrednictwem ABI sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w niniejszym dokumencie.
Rozdział 4
Postępowanie w przypadku naruszenia ochrony danych osobowych
- W przypadku stwierdzenia :
- naruszenia zabezpieczeń systemu informatycznego,
- naruszenia technicznego stanu urządzeń,
- naruszenia zawartości zbioru danych osobowych,
- ujawnienia metody pracy lub sposobu działania programu,
- jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
- innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, )
każda osoba zatrudniona przy przetwarzaniu danych osobowych jest zobowiązana niezwłocznie powiadomić o tym fakcie ABI.
- W razie niemożliwości zawiadomienia ABI lub osoby przez niego upoważnionej, należy powiadomić bezpośredniego przełożonego.
- Do czasu przybycia na miejsce naruszenia danych osobowych ABI lub upoważnionej przez niego osoby, należy:
- niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia – o ile istnieje taka możliwość – a następnie uwzględnić
w działaniu również ustalenie przyczyn lub sprawców naruszenia danych osobowych; - udokumentować wstępnie zaistniałe naruszenie;
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia ABI lub osoby przez niego upoważnionej.
- Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, ABI lub osoba przez niego upoważniona:
- zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania, mając na uwadze ewentualne zagrożenia dla prawidłowości pracy organizacji;
- może żądać dokładnej relacji z zaistniałego naruszenia lub ujawnienia ochrony danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem;
- rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu lub ujawnieniu ochrony danych osobowych AD;
- nawiązuje bezpośredni kontakt – jeżeli zachodzi taka potrzeba – ze specjalistami spoza organizacji.
- Po wyczerpaniu niezbędnych środków doraźnych związanych z zaistniałym naruszeniem/ujawnieniem ochrony danych osobowych, ABI zasięga niezbędnych opinii
i proponuje postępowanie naprawcze, w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych.
- ABI dokumentuje zaistniały przypadek naruszenia lub ujawnienia ochrony danych osobowych oraz sporządza raport, który powinien zawierać w szczególności:
- a) wskazanie osoby powiadamiającej oraz innych osób zaangażowanych lub odpytywanych
w związku z naruszeniem lub ujawnieniem ochrony danych osobowych; - b) określenie czasu i miejsca: naruszenia/ujawnienia i powiadomienia o tym fakcie;
- c) określenie okoliczności towarzyszących i rodzaju naruszenia/ujawnienia;
- d) wyszczególnienie wziętych faktycznie pod uwagę przesłanek do wyboru metody postępowania i opis podjętego działania;
- e) wstępną ocenę przyczyn wystąpienia naruszenia/ujawnienia;
- f) ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego.
- Raport, o którym mowa w pkt. 6, ABI niezwłocznie przekazuje AD.
- Zaistniałe naruszenie/ujawnienie ochrony danych osobowych może stać się przedmiotem szczegółowej analizy prowadzonej przez AD i ABI.
- Analiza, o której mowa w pkt. 8, powinna zawierać:
- a) wszechstronną ocenę zaistniałego naruszenia/ujawnienia ochrony danych osobowych;
- b) wskazanie odpowiedzialnych;
- c) wnioski co do ewentualnych przedsięwzięć: proceduralnych, organizacyjnych, kadrowych
i technicznych, które powinny zapobiec podobnym naruszeniom/ujawnieniom w przyszłości.
Rozdział 5
Postanowienia końcowe
- Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych,
w szczególności przez osobę, która po stwierdzeniu naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym fakcie ABI.
- Osoby, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, potwierdzają ten fakt poprzez podpisanie oświadczenia (załącznik
nr 1 „A” do „Polityki bezpieczeństwa”).
- Ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, zobowiązany jest prowadzić ABI.
- Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego
w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie
z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie.
- Orzeczona kara wobec osoby uchylającej się od powiadomienia ABI nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst pierwotny: Dz. U. z 1997 r. Nr 133, poz. 883; tekst jednolity:
Dz. U. z 2002 r. Nr 101, poz. 926) oraz możliwości wniesienia wobec niej przez organizację sprawy z powództwa cywilnego o zrekompensowanie poniesionych strat.
- Wszystkie regulacje dotyczące systemów informatycznych określone w „Polityce bezpieczeństwa” dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.
- Wdrożenie „Polityki bezpieczeństwa” odbywa się poprzez:
- a) zapoznanie osób wchodzących w skład organów organizacji, pracowników, współpracowników, wolontariuszy, praktykantów i stażystów organizacji z treścią „Polityki bezpieczeństwa”;
- b) szkolenia z zakresu ochrony danych osobowych.
- „Polityka bezpieczeństwa” wchodzi w życie z dniem podjęcia Uchwały Zarządu organizacji lub w terminie określonym w treści tej Uchwały.
Zmiany w „Polityce bezpieczeństwa” będą wchodzić w życie w terminach określonych
w Uchwałach Zarządu organizacji dotyczących wprowadzenia zmian w dokumencie.
Zmiany te dokumentuje się w Arkuszu Zmian (Rozdział 6).
Rozdział 6
Arkusz zmian
L.p. | Treść zmiany | Data |
1 | ||
2 | ||
3 | ||
4 | ||
5 | ||
6 |
CZĘŚĆ II
Instrukcja w sprawie zasad postępowania przy przetwarzaniu danych osobowych
- 1
Instrukcja w sprawie zasad przetwarzania danych osobowych – zwana dalej „Instrukcją” – określa w szczególności:
1) Obowiązki osób upoważnionych do przetwarzania danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów.
2) Tryb udzielania upoważnień do przetwarzania danych osobowych.
3) Sposób prowadzenia i aktualizacji ewidencji osób upoważnionych do przetwarzania danych osobowych.
4) Sposób prowadzenia i aktualizacji rejestru zbiorów danych osobowych.
- 2
Definicje zawarte w dokumencie pn.: „Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów stosuje się odpowiednio.
- 3
ABI sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych zapewniając bezpieczeństwo danych osobowych w systemie informatycznym, w szczególności przeciwdziałając dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz podejmując odpowiednie działania w przypadku wykrycia naruszeń w systemie zabezpieczeń.
- 4
ABI i AD współpracują ze sobą przy realizacji zadań z zakresu ochrony danych osobowych.
- 5
ABI zobowiązany jest do nadzoru nad postępowaniem przy przetwarzaniu danych osobowych w organizacji, a w szczególności do:
1) zastosowania niezbędnych środków technicznych i organizacyjnych zapewniających ochronę danych osobowych, a w szczególności zabezpieczenie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, kradzieżą, przetwarzaniem z naruszeniem przepisów prawa, zmianą, utratą, uszkodzeniem lub zniszczeniem.
2) kontroli nad wykonywaniem operacji przetwarzania danych osobowych przez osoby upoważnione.
3) zwracania się do AD w przypadku istotnych wątpliwości wynikających ze stosowania przepisów ustawy o ochronie danych osobowych oraz przepisów wykonawczych.
- 6
Osoba upoważniona do przetwarzania danych zobowiązana jest do:
1) zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych.
2) zachowania szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesu osób, których dane dotyczą.
3) stosowania określonych przez AD procedur i środków przetwarzania oraz zabezpieczania danych osobowych.
4) podporządkowania się poleceniom ABI i AD w zakresie ochrony danych osobowych.
5) zachowania danych osobowych w tajemnicy.
6) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa,
a w szczególności:
- a) zabezpieczenia danych osobowych przed ich utratą, uszkodzeniem lub zniszczeniem.
- b) zabezpieczenia danych osobowych przed ich zmianą.
- c) zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym.
- d) zamykania i zabezpieczania pomieszczeń, w których przetwarzane są dane osobowe
w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym. - e) dopilnowania, by przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej.
- f) dopilnowania, by przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie.
- g) przetwarzania danych osobowych zgodnie z celem, dla którego zostały zebrane.
- 7
W przypadku stwierdzenia naruszenia zasad postępowania przy przetwarzaniu danych osobowych lub naruszeniu zabezpieczenia danych osoba upoważniona zobowiązana jest niezwłocznie poinformować ABI, który przekazuje tę informację AD.
- 8
- Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez AD.
- ABI ponosi odpowiedzialność za zaznajomienie pracownika, który ma być dopuszczony do przetwarzania danych osobowych z przepisami towarzyszącymi ochronie danych osobowych. Fakt zapoznania się z przepisami pracownik potwierdza własnoręcznym podpisem.
- ABI wydaje upoważnienia do przetwarzania danych osobowych organom organizacji, każdemu pracownikowi, współpracownikowi, wolontariuszowi, praktykantowi, stażyście, który przy wykonywaniu powierzonych mu zadań przetwarza dane osobowe.
- Upoważnienie udzielane jest na czas wykonywania przez osobę upoważnioną czynności na powierzonym stanowisku.
- ABI zobowiązany jest niezwłocznie poinformować AD o zaprzestaniu wykonywania czynności przetwarzania danych osobowych przez osobę upoważnioną.
- 9
- Każda osoba upoważniona powinna odbyć szkolenie z zakresu ochrony danych osobowych.
- Szkolenie z zakresu ochrony danych osobowych organizuje ABI.
- 10
- Ewidencja osób upoważnionych do przetwarzania danych osobowych prowadzona jest
w formie papierowej i/lub elektronicznej. - Ewidencję, o której mowa w pkt. 1, prowadzi ABI.
- Za aktualizację ewidencji osób upoważnionych do przetwarzania danych osobowych odpowiada ABI.
- O każdym zdarzeniu powodującym konieczność wprowadzenia zmian w ewidencji,
o której mowa w pkt. 1, musi zostać poinformowany ABI.
- 11
- Rejestr zbiorów danych osobowych przetwarzanych w organizacji prowadzony jest
w formie papierowej i/lub elektronicznej. - Rejestr zbiorów danych osobowych prowadzi ABI.
- O planowanym utworzeniu nowego zbioru danych osobowych należy poinformować ABI. Informacja ta powinna zawierać:
- a) nazwę zbioru.
- b) podstawę utworzenia zbioru.
- c) oznaczenie rodzaju zbioru.
- d) określenie sposobu przetwarzania danych w zbiorze (system informatyczny, przetwarzanie elektroniczne, przetwarzanie odręczne).
- e) określenie zakresu przetwarzania danych.
- f) określenie celu przetwarzania danych.
- g) informację o kategoriach odbiorców, którym dane mogą być przekazywane.
- h) informację o sposobie udostępniania danych.
- i) informację o tym, czy zbiór podlega obowiązkowi rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych.
- j) uzasadnienie potrzeby utworzenia zbioru.
- O każdej zmianie dotyczącej przetwarzania danych w zbiorze należy poinformować ABI.
CZĘŚĆ III
Instrukcja dla osób upoważnionych do przetwarzania danych osobowych
- 1
Niniejsza „Instrukcja dla osób upoważnionych do przetwarzania danych osobowych” – zwana dalej „Instrukcją” – określa tryb postępowania w przypadku, gdy:
- stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie.
- stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.
- 2
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to głównie:
1) Sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej, itp.
2) Niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych.
3) Awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie
w kierunku naruszenia ochrony danych lub wręcz sabotaż.
4) Pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu.
5) Jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie.
6) Nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie.
7) Stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji).
8) Nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie.
9) Ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń.
10) Praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych – np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp.
11) Ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki”, itp.
12) Podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe.
13) Rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.).
- 3
- Każda osoba w organizacji (reprezentująca organ organizacji bądź w niej zatrudniona lub współpracująca włącznie z wolontariuszami, praktykantami i stażystami), która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych w systemie informatycznym lub przetwarzanych w inny sposób, powinna niezwłocznie poinformować
o tym osobę zatrudnioną przy przetwarzaniu tych danych, bezpośredniego przełożonego oraz ABI albo inną upoważnioną przez niego osobę. - Osoba zatrudniona przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych zobowiązana jest niezwłocznie powiadomić o tym ABI.
- 4
- Dane osobowe zostają ujawnione, gdy stają się znane w całości lub części pozwalającej na określenie osobom nieuprawnionym tożsamości osoby, której dane dotyczą.
- W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpieczeństwa – należy przeprowadzić postępowanie wyjaśniające czy dane osobowe należy uznać za ujawnione.
- 5
Niezwłocznie po uzyskaniu informacji o naruszeniu danych osobowych należy podjąć działania w celu powstrzymania lub ograniczenia dostępu do danych przez osoby niepowołane poprzez:
1) Fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nieuprawnionej.
2) Wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych.
3) Zmianę hasła na konto ABI i użytkownika, poprzez które uzyskano nielegalny dostęp
w celu uniknięcia ponownej próby włamania.
4) Podjęcie innych – stosownych do zagrożenia – działań.
- 6
ABI – po uzyskaniu sygnału o naruszeniu danych osobowych – powinien w pierwszej kolejności:
1) Zapisać wszelkie informacje związane z danym zdarzeniem.
2) Na bieżąco wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia.
3) Przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia – zwłaszcza do określenia skali zniszczeń i metody dostępu do danych osoby nieuprawnionej.
4) Wyniki postępowania zabezpieczającego oraz okoliczności naruszenia bezpieczeństwa danych osobowych należy ująć w raporcie i niezwłocznie przekazać AD.
- 7
- Do czasu przybycia na miejsce naruszenia ochrony danych osobowych ABI lub upoważnionej przez niego osoby należy:
1) Niezwłocznie podjąć czynności (określone w rozdziale 9 pkt 3 niniejszej „Polityki bezpieczeństwa”) niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia – o ile istnieje taka możliwość – a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców.
2) Rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia.
3) Zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się
z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę.
4) Podjąć inne działania przewidziane i określone w instrukcjach technicznych
i technologicznych – stosownie do objawów i komunikatów towarzyszących naruszeniu.
5) Podjąć stosowne działania – jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego, dokumentacji bazy danych lub aplikacji użytkowej.
6) Zastosować się do innych instrukcji i regulaminów – jeżeli odnoszą się one do zaistniałego przypadku.
7) Udokumentować wstępnie zaistniałe naruszenie.
8) Nie opuszczać – bez uzasadnionej potrzeby – miejsca zdarzenia do czasu przybycia ABI lub upoważnionej przez niego osoby.
- Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych ABI lub osoba go zastępująca:
1) Zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy organizacji.
2) Niezwłocznie informuje AD.
3) Może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem.
4) Nawiązuje bezpośredni kontakt – jeżeli zachodzi taka potrzeba – ze specjalistami spoza organizacji w porozumieniu z AD.
- 8
- Po dokonaniu czynności zabezpieczenia danych osobowych i ustaleniu przyczyn naruszenia ochrony danych osobowych należy niezwłocznie przywrócić normalny stan działania.
- Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
- Jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych ABI niezwłocznie zarządza przeprowadzenie dodatkowego szkolenia dla osób biorących udział przy przetwarzaniu danych osobowych. Dokumentację z przeprowadzonego szkolenia ABI załącza do raportu określonego w treści § 9.
- 9
- Po dokonaniu czynności przedstawionych powyżej ABI sporządza szczegółowy raport zawierający:
1) Opis zdarzenia.
2) Przyczynę zaistnienia.
3) Skutki naruszenia ochrony danych osobowych.
4) Podjęte działania, zastosowane środki.
5) Analizę zdarzenia oraz wnioski dotyczące przedsięwzięć:
- a) organizacyjnych,
- b) technicznych,
- c) kadrowych.
- Raport ABI przedkłada niezwłocznie AD, który wydaje pisemne zalecenia.
- Całość dokumentacji w zakresie naruszenia systemu ochrony danych osobowych przechowuje ABI.
CZĘŚĆ IV
Załączniki
Załącznik nr 1 „A”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
………………………………………….
imię i nazwisko
…………………………………………
funkcja / stanowisko
OŚWIADCZENIE
Oświadczam, że zapoznałem/-am się z treścią „Polityki bezpieczeństwa w zakresie ochrony danych osobowych w „Klub Integracji Twórczych Stowarzyszanie Żywych Poetów” i zobowiązuję się do stosowania zasad w niej zawartych.
………..………, dnia ……………….. …………………………………..
miejscowość podpis
…………………….
pieczęć nagłówkowa organizacji[15]
Załącznik nr 1 „B”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Lista osób, które zapoznały się
z „Polityką bezpieczeństwa w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
L.p. | Imię i nazwisko | Data | Podpis |
1 | |||
2 | |||
3 | |||
4 | |||
5 | |||
6 | |||
7 | |||
8 | |||
9 | |||
10 | |||
11 | |||
12 | |||
13 | |||
14 | |||
15 | |||
16 | |||
17 | |||
18 | |||
… |
…………………….
pieczęć Administratora Danych[16]
Załącznik nr 2 „A”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w „Klub Integracji Twórczych Stowarzyszanie Żywych Poetów”
UPOWAŻNIENIE
DO PRZETWARZANIA DANYCH OSOBOWYCH
dla Administratora Bezpieczeństwa Informacji
Z dniem …………………….., na podstawie art. 37 ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), upoważniam Panią/Pana* ………………………………….., będącą/będącego* Administratorem Bezpieczeństwa Informacji, do przetwarzania danych osobowych dotyczących[17]:
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
Upoważnienie obowiązuje do dnia odwołania.
________________________________________Podpisy osób upoważnionych do reprezentowania Administratora Danych
* Niepotrzebne skreślić.
…………………….
pieczęć Administratora Danych
Załącznik nr 2 „B”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
UPOWAŻNIENIE
dla Administratora Bezpieczeństwa Informacji
do reprezentowania Administratora Danych
oraz udzielania i odwoływania upoważnień
Z dniem …………………….., upoważniam Panią/Pana* ……………………………, będącą/będącego* Administratorem Bezpieczeństwa Informacji, do:
- reprezentowania Administratora Danych[18];
- powoływania w imieniu Administratora Danych Administratora Systemu Informatycznego[19] i nadawania ASI stosownego upoważnienia;
- odwoływania w imieniu Administratora Danych Administratora Systemu Informatycznego[20] i nadanego ASI upoważnienia;
- udzielania w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych: osobom wchodzącym w skład organów organizacji, pracownikom, współpracownikom, wolontariuszom, praktykantom i stażystom organizacji;
- odwoływania w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych udzielonych: osobom wchodzącym w skład organów organizacji, pracownikom, współpracownikom, wolontariuszom, praktykantom i stażystom organizacji.
Upoważnienie obowiązuje do dnia odwołania.
________________________________________Podpisy osób upoważnionych do reprezentowania Administratora Danych
* Niepotrzebne skreślić.
…………………….
pieczęć Administratora Danych
Załącznik nr 3
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
UPOWAŻNIENIE[21]
DO PRZETWARZANIA DANYCH OSOBOWYCH
Nr _____________
Z dniem …………………….., na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), upoważniam Panią/Pana* …………………………….. do przetwarzania danych osobowych dotyczących[22]:
- …………………………………………………………….
- …………………………………………………………….
- …………………………………………………………….
- …………………………………………………………….
Upoważnienie obowiązuje do dnia odwołania.
________________________________________
Podpis Administratora Bezpieczeństwa Informacji
* – niepotrzebne skreślić
…………………….
pieczęć Administratora Danych
Załącznik nr 4
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Ewidencja osób upoważnionych do przetwarzania danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Lp. | Imię i nazwisko | Data zapoznania z dokumentem | Stanowisko / funkcja | Typ umowy / porozumienia | Zakres rzeczowy uprawnienia | Ramy czasowe | ||||
Pracownik | Współpracownik | Wolontariusz | Praktyka / Staż | od …[23] | do …[24] | |||||
1 | ||||||||||
2 | ||||||||||
3 | ||||||||||
4 | ||||||||||
5 | ||||||||||
… |
…………………….
pieczęć Administratora Danych
Załącznik nr 5 „A”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
ODWOŁANIE UPOWAŻNIENIA
DO PRZETWARZANIA DANYCH OSOBOWYCH
przez Administratora Bezpieczeństwa Informacji
Z dniem …………………….., na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), odwołujemy upoważnienie Pani/Pana* ……………………………., będącej/będącego* Administratorem Bezpieczeństwa Informacji, do przetwarzania danych osobowych dotyczących[25]:
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
- ………………………………….
________________________________________Podpisy osób upoważnionych do reprezentowania Administratora Danych
* Niepotrzebne skreślić.
…………………….
pieczęć Administratora Danych
Załącznik nr 5 „B”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
ODWOŁANIE UPOWAŻNIENIA
Administratora Bezpieczeństwa Informacji
do reprezentowania Administratora Danych
oraz udzielania i odwoływania upoważnień
Z dniem …………………….., odwołujemy upoważnienie Pani/Pana*………………………….., będącej/będącego* Administratorem Bezpieczeństwa Informacji, do[26]:
- reprezentowania Administratora Danych;
- powoływania w imieniu Administratora Danych Administratora Systemu Informatycznego i nadawania ASI stosownego upoważnienia;
- odwoływania w imieniu Administratora Danych Administratora Systemu Informatycznego i nadanego ASI upoważnienia;
- udzielania w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych: osobom wchodzącym w skład organów organizacji, pracownikom, współpracownikom, wolontariuszom, praktykantom i stażystom organizacji;
- odwoływania w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych udzielonych: osobom wchodzącym w skład organów organizacji, pracownikom, współpracownikom, wolontariuszom, praktykantom i stażystom organizacji.
________________________________________
Podpisy osób upoważnionych do reprezentowania Administratora Danych
* Niepotrzebne skreślić.
…………………….
pieczęć Administratora Danych
Załącznik nr 6
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
ODWOŁANIE[27]
UPOWAŻNIENIA Nr ____________
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem …………………….., na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), odwołuję upoważnienie Nr …………………………… Pani/Pana* …………………………….. do przetwarzania danych osobowych dotyczących[28]:
- …………………………………………………………….
- …………………………………………………………….
- …………………………………………………………….
- …………………………………………………………….
- …………………………………………………………….
- ……………………………………………….
________________________________________Podpis Administratora Bezpieczeństwa Informacji
* Niepotrzebne skreślić.
…………………….
pieczęć Administratora Danych
Załącznik nr 7
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Rejestr zbiorów danych osobowych przetwarzanych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
L.p. | Nazwa zbioru danych osobowych | Nazwa programu stosowanego do przetwarzania | Lokalizacja miejsca przetwarzania (budynek, pomieszczenie, nazwa komputera) | Obowiązek zgłoszenia zbioru danych osobowych GIODO* TAK / NIE** |
1 | ||||
2 | ||||
3 | ||||
4 | ||||
5 | ||||
6 | ||||
7 | ||||
8 | ||||
9 | ||||
10 | ||||
11 | ||||
12 | ||||
13 | ||||
14 | ||||
… |
* Generalny Inspektor Ochrony Danych Osobowych
** wpisać właściwe
…………………….
pieczęć Administratora Danych
Załącznik nr 8
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Informacja o planowanym utworzeniu nowego zbioru danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Nazwa zbioru | |
Podstawa prawna utworzenia zbioru | |
Oznaczenie rodzaju zbioru | |
Sposób przetwarzania danych w zbiorze (system informatyczny, przetwarzanie elektroniczne, przetwarzanie odręczne) | |
Zakres przetwarzania danych | |
Cel przetwarzania danych | |
Kategorie odbiorców, którym dane mogą być przekazywane | |
Sposób udostępniania danych | |
Obowiązek rejestracji zbioru przez GIODO* (TAK / NIE**) | |
Uzasadnienie potrzeby utworzenia zbioru |
* Generalny Inspektor Ochrony Danych Osobowych
** wpisać właściwe
…………………….
pieczęć Administratora Danych
Załącznik nr 9
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Raport z naruszenia ochrony danych osobowych
Wskazanie osoby powiadamiającej o naruszeniu oraz innych osób zaangażowanych lub odpytywanych w związku z naruszeniem | Określenie czasu i miejsca: naruszenia i powiadomienia | Określenie okoliczności towarzyszących naruszeniu i rodzaju naruszenia | Wyszczególnienie wziętych faktycznie pod uwagę przesłanek do wyboru metody postępowania i opis podjętego działania | Wstępna ocena przyczyn wystąpienia naruszenia | Ocena przeprowadzonego postępowania wyjaśniającego i naprawczego |
…………………………………………….
Podpis Administratora Bezpieczeństwa Informacji
…………………….
pieczęć Administratora Danych
Załącznik nr 10
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Analiza naruszenia ochrony danych osobowych
Wszechstronna ocena zaistniałego naruszenia | Wskazanie odpowiedzialnych | Wnioski co do przedsięwzięć | |||
proceduralnych | organizacyjnych | personalnych | technicznych | ||
…………………………………………..
Podpis Administratora Bezpieczeństwa Informacji
…………………….
pieczęć Administratora Danych
Załącznik nr 11
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów)”
Protokół z naruszenia poufności
nośnika danych osobowych
Imię i nazwisko osoby korzystającej z komputera podczas nieobecności pracownika | |
Numer ewidencyjny komputera | |
Data zdarzenia | |
Wskazanie przyczyny (powodu) naruszenia poufności nośnika danych osobowych |
……………………………..
podpis osoby sporządzającej protokół
Załącznik nr 12 „A”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
…………………………….., dnia …………………..
miejscowość
….. (pełna nazwa Przekazującego)
…… (dane adresowe Przekazującego)
…………………………….
…………………………….
Klub Integracji Twórczych Stowarzyszanie Żywych
Poetów
Miejska Biblioteka Publiczna w Brzegu, ul. Jana Pawła II 5, Nisza, pomieszczenie gospodarcze nr. 4, 49-300 Brzeg
Dotyczy: ………………….
………………….
………………….
PROTOKÓŁ PRZEKAZANIA
…… (pełna nazwa Przekazującego) niniejszym przekazuje Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
- …………………………………………………………….
- …………………………………………………………….
- …………………………………………………………….
Szczegółową specyfikację przedstawia załączone do niniejszego Protokółu Zestawienie przekazywanych danych osobowych.
………………………………. ……………………………………
Przekazujący Odbierający
Załącznik nr 12 „B”
do „Polityki bezpieczeństwa
w zakresie ochrony danych osobowych
w Klub Integracji Twórczych Stowarzyszanie Żywych Poetów
Załącznik nr 1
do Protokołu Przekazania
z dnia ……………..
str. … z … (np.: str. 1 z 3)
Zestawienie przekazywanych danych osobowych
L.p. | Imię i nazwisko | Rodzaj i forma nośnika danych osobowych | Dotyczy | L.p. | Imię i nazwisko | Rodzaj i forma nośnika danych osobowych | Dotyczy |
1 | 16 | ||||||
2 | 17 | ||||||
3 | 18 | ||||||
4 | 19 | ||||||
5 | 20 | ||||||
6 | 21 | ||||||
7 | 22 | ||||||
8 | 23 | ||||||
9 | 24 | ||||||
10 | 25 | ||||||
11 | 26 | ||||||
12 | 27 | ||||||
13 | 28 | ||||||
14 | 29 | ||||||
15 | … |
[1] Jeśli dotyczy
[2] Jeśli dotyczy
[5] W przypadku przetwarzania danych osobowych uczestników projektów PO KL, ABI powinien:
- a) prowadzić odrębną ewidencję osób upoważnionych do przetwarzania danych osobowych (na listowniku projektu),
- b) wydawać upoważnienia do przetwarzania danych osobowych według wzoru stanowiącego załącznik do umowy o dofinansowanie realizacji konkretnego projektu,
- c) odwoływać upoważnienia do przetwarzania danych osobowych zgodnie ze wzorem stanowiącym załącznik do umowy o dofinansowanie realizacji konkretnego projektu.
[8] Jeśli w organizacji wystąpi obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO)
[10] Przykładowe systemy informatyczne.
[11] Jeśli dotyczy.
[12] Jeśli dotyczy.
[13] Jeśli dotyczy.
[14] Jeśli dotyczy.
[15] Pieczęć zawierająca pełną nazwę i kompletne dane teleadresowe
[17] Wymienić nazwy przetwarzanych zbiorów danych osobowych – np. członków stowarzyszenia; darczyńców; kandydatów do pracy; pracowników; współpracowników; wolontariuszy, praktykantów i stażystów; kandydatów do udziału w projekcie; uczestników projektu etc.
[19] Jeśli dotyczy.
[20] Jeśli dotyczy.
[21] Wzór upoważnienia uniwersalny dla wszystkich osób przetwarzających dane osobowe w organizacji (niezależny od formy współpracy).
UWAGA!!!
W przypadku przetwarzania danych osobowych uczestników projektów PO KL ABI powinien: prowadzić odrębną ewidencję osób upoważnionych do przetwarzania danych osobowych (na listowniku projektu), upoważnienia do przetwarzania danych osobowych wydawać według wzoru stanowiącego załącznik do umowy o dofinansowanie realizacji konkretnego projektu, odwołania upoważnień do przetwarzania danych osobowych wydawać według wzoru stanowiącego załącznik do umowy o dofinansowanie realizacji konkretnego projektu.
Postępowanie zgodne z tą wskazówką pozwoli – w przypadku prowadzenia kontroli w trakcie realizacji lub po zamknięciu realizacji projektu – przedstawić zespołowi kontrolującemu tylko informacje dotyczące ochrony danych osobowych w tym konkretnym projekcie, bez konieczności ujawniania całości działań organizacji i tego, do jakich danych osobowych przetwarzanych w organizacji ma jeszcze dostęp kadra projektu.
[23] Data zatrudnienia lub nawiązania współpracy z daną osobą
[24] Następny dzień roboczy po ustaniu zatrudnienia danej osoby lub zakończeniu z nią współpracy – wynika to z faktu, iż ostatniego dnia zatrudnienia/współpracy dana osoba może jeszcze musieć przetwarzać dane osobowe wykonując swoje obowiązki stanowiskowe
[25] Zakres tożsamy z tym określonym w załączniku 2 „A”
[26] Zakres tożsamy z tym określonym w załączniku 2 „B”.