ROZDZIAŁ VI. ZABEZPIECZENIE DANYCH OSOBOWYCH
1. ŚRODKI FIZYCZNE
-
- Administrator Danych Osobowych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających optymalną ochronę przetwarzanych Danych, w tym w szczególności:
- zabezpieczenie Danych przed ich udostępnieniem osobom nieupoważnionym,
- zapobieganie przed pobraniem Danych przez osobę nieuprawnioną,
- zapobieganie zmianie, utracie, uszkodzeniu lub zniszczeniu Danych,
- zapewnianie przetwarzania Danych zgodnie z obowiązującymi przepisami prawa.\
- Zadania określone w punkcie poprzedzającym wykonuje lub nadzoruje ich wykonanie w imieniu Administratora Danych Osobowych.
- Zabezpieczenia pomieszczeń, w których przetwarzane są Dane Osobowe:
- samodzielny dostęp do pomieszczeń, w których przetwarzane są Dane Osobowe, mają wyłącznie osoby mające odpowiednie upoważnienie nadane przez Administratora lub zobowiązane do zachowania poufności Danych Osobowych; osoby trzecie mogą przebywać w ww. pomieszczeniach wyłącznie w towarzystwie osoby upoważnionej,
- pomieszczenia, w których przetwarza się Dane Osobowe, zamykane są na klucz,
- w przypadku opuszczenia pomieszczenia przez ostatniego Pracownika upoważnionego do przetwarzania Danych Osobowych – także w godzinach pracy – Dane Osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (na zewnętrznych nośnikach np. pendrive, płyta CD/DVD) przechowywane są w miejscach zabezpieczonych przed dostępem nieupoważnionych osób trzecich; dodatkowo Pracownik w razie opuszczania swojego stanowiska pracy zobowiązany jest do wylogowania się ze swojego komputera stacjonarnego/laptopa lub innego urządzenia mającego dostęp do Danych Osobowych,
- nieaktualne lub błędne wydruki zawierające Dane Osobowe niszczone są w sposób uniemożliwiający odczyt danych np. w niszczarkach.
2. ŚRODKI TECHNICZNE
-
- Zabezpieczenia przed nieautoryzowanym dostępem do Danych Osobowych następuje poprzez:
- podłączenie urządzenia końcowego (komputera, drukarki) do Sieci Telekomunikacyjnej dokonywane jest przez Administratora lub osobę przez niego upoważnioną,
- udzielenie Pracownikowi dostępu do Danych Osobowych, na podstawie upoważnienia do przetwarzania Danych Osobowych, którego wzór stanowi Załącznik nr 8 do Polityki,
- identyfikację każdego Pracownika przetwarzającego Dane w Systemie Informatycznym Administratora, która następuje poprzez zastosowanie uwierzytelnienia (Identyfikatorem i Hasłem oraz w stosownych przypadkach uwierzytelnianiem dwustopniowym za pośrednictwem innego kanału kontaktu, np. poprzez uzyskanie kodu dostępu),
- utworzenie każdemu Pracownikowi przetwarzającemu dane w Systemie Informatycznym konta z indywidualnym Identyfikatorem i Hasłem,
- stosowanie programu antywirusowego z zaporą antywłamaniową na wszystkich urządzeniach, na których dochodzi do przetwarzania Danych Osobowych,
- zabezpieczenie kont Hasłami,
- ustalanie zakresu uprawnień konta Pracownika, zgodnie z nadanym mu upoważnieniem do przetwarzania Danych,
- ustawienie monitorów stanowisk przetwarzania Danych Osobowych w sposób uniemożliwiający wgląd w Dane osobom nieupoważnionym.
- Zabezpieczenia przed nieautoryzowanym dostępem do Danych Osobowych poprzez Sieć Telekomunikacyjną, następuje poprzez:
- stosowanie lokalnych list kontroli dostępu (ACL), skonfigurowanych na urządzeniach dostępowych, zainstalowanych w węzłach sieci WAN,
- szyfrowanie sprzętowe lub programowe ruchu sieciowego, za pomocą którego przenoszone są informacje zawierające Dane Osobowe (szyfrowanie pomiędzy routerem węz a sieci WAN, a koncentratorem VPN w węźle centralnym sieci WAN),
- separację centralnego węzła sieci Internet od sieci WAN za pomocą specjalizowanych urządzeń typu firewall (ASA),
- separację węzła dostępu do instytucji zewnętrznych od sieci WAN za pomocą specjalizowanych urządzeń typu firewall (ASA).
- Zabezpieczenia przed utratą Danych Osobowych w wyniku awarii:
- ochrona sprzętu komputerowego przed zanikiem zasilania poprzez stosowanie listew przepięciowych lub urządzeń podtrzymujących napięcie (np. typu UPS lub przetworników odcinających zasilanie w przypadku spadku napięcia w sieci elektrycznej),
- ochrona przed utratą zgromadzonych Danych poprzez cykliczne wykonywanie kopii zapasowych, z których w przypadku awarii odtwarzane są Dane i system operacyjny (tzw. backupy),
- zapewnienie właściwej temperatury i wilgotności powietrza dla pracy sprzętu komputerowego.
3. PROCEDURY NADAWANIA UPOWAŻNIEŃ DO PRZETWARZANIA DANYCH
-
- Wszyscy Pracownicy, którzy w zakresie swoich obowiązków przetwarzają Dane Osobowe, przed przystąpieniem do wykonywania ww. obowiązków muszą zostać przeszkoleni z zasad bezpiecznego przetwarzania danych osobowych oraz zapoznać się z niniejszą Polityką.
- Fakt odbycia szkolenia oraz zapoznania się z niniejszą Polityką, Pracownik potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi Załącznik nr 8 (Upoważnienie do przetwarzania Danych Osobowych wraz z klauzulą poufności).
- W ramach Załącznika nr 8 Administrator wskazuje zakres upoważnienia do przetwarzania Danych.
- Ewidencja osób upoważnionych do przetwarzania Danych Osobowych, wskazująca konkretnych Pracowników dopuszczonych do przetwarzania Danych Osobowych z określonych rejestrów, znajduje się Załączniku nr 9 do niniejszej Polityki.
- Administrator Danych Osobowych (lub osoba przez niego wyznaczona) przyznaje uprawnienia dostępu do Systemu Informatycznego, określając zakres uprawnień Pracownika na podstawie upoważnień, o których mowa w pkt. 3.2.-3.3.
- Administrator danych osobowych (lub osoba przez niego wyznaczona) zakłada konto Pracownika w Systemie Informatycznym, nadając mu indywidualny Identyfikator oraz umożliwia zabezpieczenie je Hasłem.
- Hasło uprawniające do korzystania z Systemu Informatycznego Pracownik wpisuje osobiście.
- Konto zostaje zablokowane lub usunięte przez Administratora lub osobę przez niego upoważnioną w przypadku zakończenia współpracy lub w momencie nieobecności dłuższej niż 30 dni.
- Hasło dostępu Pracownika do Systemu Informatycznego stanowią tajemnicę służbową, znaną wyłącznie temu Pracownikowi.
- Hasła, w stosunku do których zaistniało podejrzenie o ich ujawnieniu osobie nieuprawnionej, podlegają bezzwłocznej zmianie, po uprzednim zablokowaniu konta Pracownika.
- W celu zabezpieczenia dostępu do Systemu Informatycznego, Administrator posiada hasło dostępu awaryjnego do Systemu.
4. ZASADY POSŁUGIWANIA SIĘ HASŁAMI
-
- Bezpośredni dostęp do Systemu Informatycznego, może mieć miejsce wyłącznie po wprowadzeniu Identyfikatora i właściwego Hasła.
- Za regularną zmianę Haseł w Systemie Informatycznym odpowiada Pracownik. Zalecana jest zmiana Hasła nie rzadziej niż co 90 dni.
- Hasło powinno być zmieniane, szczególnie w sytuacjach, kiedy zaistnieje podejrzenie, iż jest ono znane osobom nieupoważnionym.
- Identyfikator Pracownika nie może być zmieniany bez wyraźnej przyczyny, a po wyrejestrowaniu Pracownika z Systemu Informatycznego nie może on zostać przydzielony innej osobie.
- Pracownicy są odpowiedzialni za zachowanie Poufności swoich Identyfikatorów i Haseł.
- Hasła utrzymuje się w tajemnicy również po upływie ich ważności.
- Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie. W sytuacji, kiedy zachodzi podejrzenie, że osoba nieupoważniona poznała Hasło w sposób nieuprawniony, Pracownik zobowiązany jest do natychmiastowej zmiany Hasła i poinformowania o zaistniałym fakcie Administratora.
- Przy wyborze Hasła obowiązują następujące zasady:
- minimalna długość Hasła to 10 znaków;
- zakazuje się stosować:
- haseł, które Pracownik stosował uprzednio,
- swojego Identyfikatora w jakiejkolwiek formie,
- swojego imienia, drugiego imienia, nazwiska, przezwiska, pseudonimu w jakiejkolwiek formie, imion (w szczególności imion osób z najbliższej rodziny),
- ogólnie dostępnych informacji o Pracowniku (numer telefonu, numer rejestracyjny samochodu, numer PESEL itp.),
- należy stosować:
- hasła zwierające kombinacje liter (małych i dużych) i cyfr arabskich,
- hasła zawierające znaki specjalne: (.,();’@, #, & itp.), o ile System Informatyczny i oprogramowanie na to pozwala;
- zmiany Hasła nie wolno zlecać innym osobom.
5. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY W SYSTEMIE INFORMATYCZNYM
-
- Rozpoczęcie pracy w Systemie Informatycznym na komputerach Pracowników, wymaga zalogowania przy użyciu indywidualnego Identyfikatora oraz Hasła.
- Przed opuszczeniem stanowiska pracy należy zablokować stację roboczą lub wylogować się z oprogramowania i Systemu Informatycznego .
- Przed wyłączeniem komputera należy bezwzględnie zakończyć prace uruchomionych programów, wylogować się z Systemu Informatycznego.
- Niedopuszczalne jest wyłączanie komputera przed zamknięciem oprogramowania.
- Wszystkie osoby przetwarzające Dane Osobowe z upoważnienia Administratora obowiązuje zasada „czystego biurka”, zabraniająca pozostawiania jakichkolwiek dokumentów z Danymi Osobowymi podczas nieobecności pracownika przy stanowisku pracy. Niedozwolone jest pozostawianie dokumentacji papierowej z Danymi Osobowymi na stanowisku pracy po zakończeniu pracy. Dokumentacja powinna zostać zabezpieczona tak, aby uniemożliwić zapoznanie się z Danymi Osobowymi osobom nieuprawnionym.
- W przypadku opuszczenia stanowiska pracy osoba przetwarzająca Dane Osobowe powinna wylogować się z Systemu lub zablokować dostęp do pulpitu stacji roboczej, z której korzysta przy przetwarzaniu Danych Osobowych. Ponadto w razie opuszczenia stanowiska pracy lub zakończenia pracy z Systemem Informatycznym, należy zamykać pliki zawierające Dane Osobowe. Uniemożliwi to dostęp do Danych Osobowych osobie nieupoważnionej (polityka czystego ekranu).
6. PROCEDURY TWORZENIA KOPII ZAPASOWYCH
-
- Za systematyczne przygotowanie kopii bezpieczeństwa odpowiada Administrator.
- Kopie bezpieczeństwa Danych zgormadzonych na serwerze wykonywane są codziennie przez Administratora.
- W przypadku konieczności przechowywania wydruków zawierających Dane Osobowe, należy je przechowywać w miejscu uniemożliwiającym bezpośredni dostęp osobom nieuprawnionym. Wydruki, które zawierają Dane Osobowe i są przeznaczone do usunięcia, podlegają zniszczeniu w stopniu uniemożliwiającym ich odczytanie, przede wszystkim poprzez używanie niszczarek lub zlecenie zniszczenia dokumentów specjalistycznym podmiotom zewnętrznym przy zachowaniu wymogów poufności danych oraz wymogów zabezpieczenia danych, co najmniej odpowiadających standardom przedstawionym w Polityce.
7. SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED SZKODLIWYM OPROGRAMOWANIEM
-
- Na każdym stanowisku komputerowym musi być zainstalowane oprogramowanie antywirusowe z włączoną ochroną antywirusową i anty-spyware.
- Każdy e-mail wpływający na konta pocztowe musi być sprawdzony pod kątem występowania wirusów przez oprogramowanie antywirusowe.
- Definicje wzorców wirusów aktualizowane są zgodnie z ustawieniami używanego oprogramowania antywirusowego.
- Bezwzględnie zabrania się używania nośników niewiadomego pochodzenia.
- Bezwzględnie zabrania się pobierania z Sieci Telekomunikacyjnej plików niewiadomego pochodzenia.
- Administrator przeprowadza cykliczne kontrole antywirusowe na wszystkich komputerach, na których przetwarzane są Dane Osobowe, zgodnie z ustawieniami oprogramowania antywirusowego.
- Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w przypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. W przypadku wykrycia szkodliwego oprogramowania sprawdzane jest stanowisko komputerowe, na którym wykryto problem oraz wszystkie posiadane przez Pracownika nośniki.
8. ZASADY I SPOSÓB ODNOTOWYWANIA W SYSTEMIE INFORMACJI O UDOSTĘPNIENIU DANYCH OSOBOWYCH
-
- Dane Osobowe przetwarzane z użyciem Systemów Informatycznych mogą być udostępniane wyłącznie osobom uprawnionym, na podstawie uprzednio udzielonych upoważnień lub stosownych umów gwarantujących wysoki poziom zabezpieczeń.
- Udostępnianie Danych Osobowych drogą korespondencji e-mail, odbywa się z zabezpieczeniem plików hasłem i przekazaniem hasła innym kanałem kontaktu niż droga mailowa (np. SMS lub komunikator internetowy).
- Udostępnianie Danych Osobowych nie może być realizowane drogą telefoniczną.
9. PROCEDURY WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMU INFORMATYCZNEGO
-
- Przeglądy i konserwacja urządzeń:
- przeglądy i konserwacja urządzeń są wykonywane w terminach określonych przez producenta sprzętu,
- nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte,
- Przegląd programów i narzędzi programowych składających się na System Informatyczny w tym m.in. aktualizacja baz zawierających Dane Osobowe, przeprowadzana jest zgodnie z zaleceniami twórców poszczególnych programów.
- W przypadku przekazania do naprawy nośników informatycznych zawierających Dane Osobowe lub sprzętu komputerowego, którego nośniki mogą zawierać Dane Osobowe, należy wcześniej wskazać sposób usuwania Danych Osobowych z tych nośników (tj. zniszczenia, usunięcia Danych Osobowych lub taką ich modyfikację (w tym pseudonimizację), która nie pozwoli na ustalenie tożsamości osoby, której Dane dotyczą).
10. POŁĄCZENIE DO SIECI TELEKOMUNIKACYJNEJ
-
- Połączenie do Sieci Telekomunikacyjnej jest realizowane poprzez sieć przewodową i bezprzewodową z zastosowaniem następujących zasad ochrony:
- dostęp do Sieci Telekomunikacyjnej wymaga podania klucza składającego się z liter i cyfr oraz zezwolenia na zalogowanie się do Sieci przez Administratora,
- każdy komputer posiadający dostęp do Sieci Telekomunikacyjnej posiada oprogramowanie antywirusowe chroniące przed złośliwym oprogramowaniem (anty-spyware) oraz zaporę sieciową (firewall),
- osobie korzystającej z Sieci Telekomunikacyjnej zabrania się wchodzenia na strony niezgodne z prawem lub zawierające wirusy oraz programy szpiegujące (trojan, spyware),
- połączenie z Siecią Telekomunikacyjną publiczną zabezpieczone jest przez moduł firewall działający na routerze sieciowym,
- na każdym komputerze działa osobny firewall.
- Zabronione jest połączenie z Siecią Telekomunikacyjną z niedziałającym lub niezaktualizowanym programem antywirusowym i firewallem lub ich brakiem.
11. KORZYSTANIE Z KOMPUTERÓW I URZĄDZEŃ PRZENOŚNYCH
-
- Administrator dopuszcza możliwość pracy zdalnej.
- Praca zdalna powinna być wykonywana wyłącznie na sprzęcie udostępnionym przez Administratora. W przypadku zgody Administratora na pracę zdalną na sprzęcie prywatnym, Pracownik zobowiązuje się odpowiednio stosować poniższe zasady bezpiecznego przetwarzania danych.
- Pracownik zobowiązany jest chronić sprzęt udostępniony przez Administratora przed kradzieżą, zniszczeniem oraz dostępem osób trzecich.
- Pracownik nie może wykorzystywać sprzętu udostępnionego przez Administratora do celów prywatnych, przede wszystkim Pracownik nie może samodzielnie instalować dodatkowych aplikacji lub oprogramowania bez zezwolenia Administratora.
- Praca zdalna powinna być świadczona w miejscu, które zapewnia bezpieczne przetwarzanie Danych Osobowych przez uniemożliwienie ich ujawnienia na rzecz osób nieuprawnionych lub utraty integralności tych danych.
- Administrator zapewnia Pracownikowi pomoc techniczną w bezpiecznym świadczeniu pracy zdalnej. Pomoc techniczna obejmuje w szczególności:
- niezwłoczne reagowanie na zgłaszane przez pracownika zakłócenia w funkcjonowaniu środków komunikacji elektronicznej lub połączenia z systemem teleinformatycznym ADO,
- pomoc w szybkim przywracaniu dostępu do danych osobowych poprzez regularne tworzenie kopii zapasowych,
- zapewnienie oprogramowania stosowanego w systemie teleinformatycznym lub kompatybilnego z nim oraz jego regularne testowanie i aktualizowanie,
- bieżące informowanie pracownika o nowych zagrożeniach związanych z przetwarzaniem danych podczas świadczenia pracy zdalnej.
- Podczas pracy zdalnej Pracownik nie może przetwarzać Danych Osobowych w formie wydruków papierowych – chyba, że jest to uzasadnione charakterem powierzonych obowiązków. W takim wypadku Pracownik przetwarza dane w formie materialnej, wyłącznie przez czas niezbędny do wykonywania danego obowiązku, chroniąc materiały przed kradzieżą, zniszczeniem oraz dostępem osób trzecich. Po zakończeniu wykonywania obowiązków dokumenty należy zwrócić do biura, a wszelkie zbędne kopie zniszczyć za pomocą niszczarki.
- Administrator prowadzi ewidencje dokumentów wydanych Pracownikom w formie papierowej, wzór ewidencji stanowi Załącznik nr 10 do Polityki.
- Pracownik nie może przetwarzać Danych osobowych na zewnętrznych nośnikach, chyba że uzyska zgodę Administratora.
- Administrator dopuszcza możliwość przetwarzania Danych Osobowych za pośrednictwem smartfonów oraz tabletów, udostępnionych Pracownikom. W takim przypadku udostępniony sprzęt zabezpieczony jest hasłem lub kodem pin.
- Każdy przypadek zniszczenia lub zgubienia sprzętu udostępnionego przez Administratora, należy traktować jako potencjalne naruszenie ochrony Danych Osobowych. W takiej sytuacji Pracownik zobowiązany jest poinformować Administratora lub bezpośredniego przełożonego o zaistniałym zdarzeniu, zgodnie z postanowieniami Rozdziału IV pkt. 2