Procedura realizacji
polityki bezpieczeństwa przetwarzania danych osobowych
- Każdy pracownik:
- jest zobowiązany do dbałości o ochronę danych osobowych i ściśle przestrzega zasad określonych w dokumentacji z zakresu danych osobowych;
- uczestniczył w szkoleniu z zakresu ochrony danych osobowych;
- został zapoznany z przepisami ustawy o ochronie danych osobowych i zostało mu wydane oświadczenie o zachowaniu danych w poufności;
- jest zobowiązany do rozpoznawania i niezwłocznego zgłaszania do administratora danych lub przełożonego zagrożeń lub naruszenia zasad bezpieczeństwa danych osobowych;
- na bieżąco identyfikuje i niezwłocznie przekazuje do administratora danych lub przełożonego informacje o nowych rodzajach danych osobowych, które przetwarza. Administrator rozstrzyga, czy konieczne jest uaktualnienie ewidencji zbiorów danych osobowych.
- Dane osobowe powinny być zabezpieczone m.in. poprzez chronienie haseł dostępu, niepozostawianie dokumentów, nośników danych na biurkach, wydruków na ksero, chowanie dokumentów, nośników w szafkach zamykanych na klucz i przechowywanie klucza w bezpiecznym miejscu. Niepotrzebne dokumenty należy niszczyć wyłącznie za pomocą niszczarki.
- Pracownik, który przekazuje jakiekolwiek zbiory danych osobowych do podmiotów zewnętrznych, musi zachować staranność formalną. Każde przekazanie musi być uregulowane umowami zawierającymi zapisy o obowiązku ochrony danych osobowych. Zalecany jest kontakt z administratorem danych lub przełożonym w przypadku wątpliwości.
- Każdy pracownik powinien unikać przyjmowania danych osobowych, których nie potrzebuje do wykonywania swoich obowiązków służbowych. W przypadku, gdy uzyska dane osobowe, których nie potrzebuje do dalszej pracy (tzw. zbiory doraźne), jest zobowiązany do:
- trwałego ich usunięcia lub
- przekazania ich innemu pracownikowi, który jest odpowiedzialny za ich przetwarzanie i który zabezpieczy je w odpowiedni sposób (przekazanie rozumiane jest jako zniszczenie wszelkich kopii danych w swoich dokumentach w wersji papierowej i elektronicznej).
- Każdy pracownik, który przetwarza dane osobowe, musi mieć na uwadze, że zgodnie z umowami zawartymi z klientami będącymi jednocześnie administratorami tych danych, może być zobligowane do określonego postępowania, np. okresowego zwrotu lub niszczenia danych osobowych.
Instrukcja postępowania
w przypadku naruszenia ochrony danych osobowych
Użytkownik/pracownik jest zobowiązany niezwłocznie powiadomić Inspektora Ochrony Danych (lub inną osobę zajmującą się kwestiami ochrony danych, jeżeli Inspektor Ochrony Danych nie został wyznaczony), jeśli stwierdzi, że doszło do naruszenia ochrony danych osobowych lub jeżeli będzie miał podejrzenie, że mogło dojść do takiego zdarzenia.
Naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Wymienione skutki nie musiały jeszcze mieć miejsca, aby można było mówić o naruszeniu.
Przykładowe sytuacje, o których użytkownik/pracownik powinien powiadomić inspektora ochrony danych:
- brak danych lub braku dostępu do danych,
- możliwość dostępu do danych w zakresie szerszym niż to wynika z otrzymanego upoważnienia,
- próba nieuprawnionego dostępu do systemu informatycznego,
- ślady na drzwiach, oknach i szafach wskazujące na próbę włamania,
- obecność w budynku lub pomieszczeniach osób, których zachowanie budzi podejrzenia,
- otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe,
- ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
- wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia Inspektora Ochrony Danych lub innej osoby zajmującej się kwestiami ochrony danych jeżeli Inspektora Ochrony Danych nie powołano,
- udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej,
- telefoniczne próby wyłudzenia danych osobowych,
- kradzież komputerów lub płyt CD, twardych dysków, pendrive’ów z danymi osobowymi,
- e-maile zachęcające do ujawnienia identyfikatora lub hasła,
- pojawienie się wirusa komputerowego, złośliwego oprogramowania lub niestandardowego zachowania komputerów,
- przechowywanie haseł do systemów w pobliżu komputera,
- podejrzenie ujawnienia hasła innej osobie,
- przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie danych
Do czasu przybycia na miejsce Administratora danych lub wydania przez niego innych poleceń, należy:
- niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony (o ile to możliwe),
- w miarę możliwości ustalić przyczynę i sprawcę naruszenia ochrony,
- rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia,
- o ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia; w przypadku kiedy zaistniały przypadek został przewidziany w instrukcjach systemowych, należy podjąć stosowne, zgodne z nimi działania,
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora danych lub osoby przez niego wyznaczonej.
Wstępna ocena naruszenia:
Administrator danych dokonuje wstępnej oceny, czy rzeczywiście doszło do naruszenia ochrony danych lub czy podejrzenie naruszenia jest uzasadnione. Jeżeli naruszenie nie miało miejsca lub podejrzenie naruszenia nie jest uzasadnione, odnotowuje zdarzenie w rejestrze incydentów, po czym kończy wykonanie procedury.
Prowadząc wstępną ocenę, Administrator w miarę możliwości ustala w szczególności:
- stopień naruszenia ochrony danych – czy może dojść do naruszenia praw lub wolności osób fizycznych,
- przyczynę naruszenia i osoby odpowiedzialne,
- osoby, na które naruszenie ma wpływ i w jakim stopniu,
- wskazówki pozwalające ustalić poziom naruszenia (w tym rodzaj danych i skalę zdarzenia).
Prowadząc wstępną ocenę, Administrator w miarę możliwości wprowadza środki zabezpieczające przed dalszym naruszeniem ochrony danych. Jeżeli jest to właściwe – zawiadamia osobę odpowiedzialną za kwestie informatyczne.
Szczegółowa ocena:
W miarę potrzeby, Administrator danych prowadzi dalsze działania w celu wykrycia i oceny naruszenia i dokumentuje wszelkie prowadzone czynności. Dokumentacja uwzględnia w szczególności okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Inne osoby uczestniczące w czynnościach (jak np. informatyk) również je dokumentują lub na bieżąco przekazują informacje Administratorowi danych.
Dokumentowanie czynności może polegać, w szczególności na:
- utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonaniu wydruku tych danych,
- sporządzeniu notatki z czynności w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych,
- odebraniu wyjaśnień osoby, której czynności objęto sprawdzeniem,
- sporządzeniu kopii otrzymanego dokumentu.
- sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;
- sporządzeniu kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.
W razie braku możliwości osobistego prowadzenia czynności, Administrator danych może powierzyć je innej osobie.
Administrator danych odnotowuje zdarzenie w rejestrze naruszeń ochrony danych oraz sporządza odpowiednią notatkę opisującą szczegółowo okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Administrator danych osobowych podejmuje decyzję o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeństwo systemu informatycznego i zawartych w nim danych.
Środki organizacyjne:
- Upoważnienie do przetwarzania danych każdej z osób zatrudnionych przy przetwarzaniu danych osobowych.
- Pouczenie osób upoważnionych do przetwarzania danych, o obowiązku zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia, zarówno w trakcie współpracy, jak i po jej ustaniu.
- Zapoznanie osób upoważnionych do przetwarzania danych, z przepisami o ochronie danych osobowych poprzez szkolenie.
- Obecność osób trzecich w obszarze przetwarzania danych wyłącznie z osobą upoważnioną, w wyjątkowych sytuacjach po uprzednim wydaniu na to zgody przez administratora danych.
- Stosowanie “zasady minimalnych uprawnień” oznaczającej, iż każda osoba przetwarzająca zasoby informacyjne organizacji, w tym dane osobowe, upoważniona jest do przetwarzania jedynie takich informacji, które są niezbędne do prawidłowej realizacji zakresu jej obowiązków i zleconych zadań.
- Dokonywanie okresowych przeglądów wdrożonych rozwiązań z zakresu bezpieczeństwa danych osobowych.
- Dezaktywowanie wszelkich dostępów pracownika w systemach IT w przypadku rozwiązania umowy o pracę.
- Zgłaszanie w formie ustnej lub za pośrednictwem poczty elektronicznej do administratora wszystkich podejrzeń naruszenia bezpieczeństwa danych, odnotowywanie każdego incydentu w stosownej bazie danych i podjęcie stosownych kroków zaradczych.
Środki ochrony fizycznej:
- Odpowiedzialność osób upoważnionych oraz kierowników właściwych jednostek organizacyjnych za bezpieczeństwo dokumentów i wydruków zawierających dane osobowe.
- Przechowywanie danych osobowych w formie papierowej oraz kopii zapasowych danych w formie elektronicznej, w zamykanych szafach.
- System alarmowy obiektu.
- Nadzór budynku, w którym mieści się obszar przetwarzania danych, prowadzony przez służbę ochrony.
- Niszczenie wszystkich dokumentów oraz zewnętrznych nośników danych zawierających dane osobowe, a przeznaczone do zniszczenia, w sposób uniemożliwiający odczytanie danych, za pomocą niszczarek.
- Niszczenie dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania.
- Zobowiązanie pracowników do stosowania “polityki czystego biurka” polegającej na zabezpieczaniu dokumentów, np. w szafach, biurkach, pomieszczeniach, przed kradzieżą lub wglądem osób nieupoważnionych.
- Zobowiązanie pracowników do przewożenia dokumentów w sposób zapobiegający ich kradzieży, zagubieniu lub utracie.
- Zamykanie na klucz pomieszczeń, w których przetwarzane są dane osobowe, w wypadku ich opuszczenia przez osoby upoważnione.
- Udostępnienie kluczy tylko pracownikom upoważnionym przez administratora danych.
- Możliwość korzystania z pomieszczeń tylko i wyłącznie w godzinach pracy. W wypadku gdy jest wymagany poza godzinami pracy – możliwy jest tylko na podstawie zezwolenia inspektora ochrony danych lub jego odpowiednika.
- Sprzątanie pomieszczeń w obecności osób upoważnionych.
Środki sprzętowe infrastruktury informatycznej oraz środki ochrony w ramach programów:
- Stosowanie rozwiązań, które polegają na szyfrowaniu danych osobowych przesyłanych przez sieć internetową.
- Korzystanie z haseł do systemów informatycznych, które nie mogą być przechowywane w formie otwartej (nieszyfrowanej), nie mogą być przekazywane osobom trzecim i nie powinny być łatwe do odgadnięcia.
- Instalowanie na komputerach, za pomocą których są przetwarzane dane osobowe oprogramowania antywirusowego automatycznie ściągającego najnowsze sygnatury wirusów.
- Dodatkowe zabezpieczenie stacji PC jeśli jest komputerem przenośnym (np. z wykorzystaniem szyfrowania dysku twardego).
- Ograniczenie dostępu do danych osobowych z sieci publicznej poprzez zastosowanie sprzętowej zapory ogniowej (Firewall) chroniącej wszystkie systemy informatyczne przed dostępem i atakami z zewnątrz.
- Wykonywanie kopii zapasowych danych codziennie, po zakończonym dniu pracy, na wypadek awarii.
- Przechowywanie kopii zapasowych w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco i w którym nie będą dostępne dla osób nieupoważnionych.
- Okresowe testowanie kopii zapasowych pod względem rzeczywistej możliwości odtworzenia danych.
- Usuwanie kopii zapasowych niezwłocznie po ustaniu ich użyteczności.
- Niedopuszczalność przetwarzania danych osobowych poza obszarem przetwarzania.
- Kontrolowanie przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną.
- Kontrolowanie działań inicjowanych z sieci publicznej i systemu informatycznego Administratora danych.
- Zabronienie korzystania z firmowych systemów w celach prywatnych.
- Konserwowanie oraz aktualizowanie systemów informatycznych.
- Stosowanie mechanizmów uwierzytelniania:
- nadanie użytkownikom systemów indywidualnych identyfikatorów oraz haseł początkowych do systemów,
- zobowiązanie użytkowników do wykonywania pracy w systemie wyłącznie po dokonaniu uwierzytelnienia, co odbywa się w oparciu o indywidualne login i hasło,
- szyfrowanie nośników zewnętrznych zawierających dane osobowe.
- Podejmowanie środków bezpieczeństwa zabezpieczających przed utratą danych osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci, poprzez zastosowanie komputerów przenośnych z wbudowanymi bateriami.
- Stosowanie rozwiązań systemowych zapewniające rozliczalność danych przetwarzanych w systemach informatycznych.
- Separacja istotnych serwerów od sieci ogólnodostępnych / przeznaczonych dla klientów.
- Dezaktywowanie gniazdek sieciowych dostępnych publicznie.
- Zablokowanie dostępu do sieci LAN dla gości.
- Wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego domyślne przez system).
- Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
- likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,
- przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,
- naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.