Idź do treci
0
0
Eklektika - szkoła językowa dla firm
Zamów lekcję pokazową Zapytaj o szkolenia
 Eklektika > Polityka ochrony informacji Eklektika 2018

Polityka ochrony informacji Eklektika 2018

Załącznik do uchwały nr 01/05/2018 Zarządu EKLEKTIKA sp. z o.o.  z dnia 16.05.2018

 

POLITYKA OCHRONY INFORMACJI W EKLEKTIKA SP. Z O.O.

Rozdział I

Przepisy ogólne

 

  • 1. 1. Polityka ochrony informacji w EKLEKTIKA sp. z o.o., zwana dalej „Polityką” reguluje zasady ochrony informacji poufnych, w tym ochrony danych osobowych przetwarzanych w EKLEKTIKA sp. z. o.o., zwaną dalej „EKLEKTIKA”.
  1. Polityka określa zasady dotyczące zapewnienia ochrony danych osobowych przetwarzanych w zbiorach danych:
  • tradycyjnych, w szczególności takich jak: kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne;
  • w systemie informatycznym.
  1. W EKLEKTIKA nie podejmuje się czynności przetwarzania danych osobowych, które mogłyby się wiązać z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator danych osobowych wykona czynności określone w art. 35 rozporządzenia 2016/679.
  2. W przypadku planowania w EKLEKTIKA nowych czynności przetwarzania danych osobowych dokonuje się analizy ich skutków dla ochrony danych osobowych.
  3. EKLEKTIKA nie będzie przekazywała danych osobowych do państwa trzeciego, poza sytuacjami, w których następuje to na wniosek osoby, której dane dotyczą.
  4. EKLEKTIKA, realizując Politykę, dokłada szczególnej staranności w celu ochrony danych osobowych osób fizycznych, w szczególności zapewnia, aby dane te były:
  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą;
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach;
  • adekwatne w stosunku do celów, w jakich są przetwarzane;
  • merytorycznie poprawne i w razie potrzeby uaktualniane;
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania;
  • przetwarzane w sposób zapewniający bezpieczeństwo informacji.
  1. EKLEKTIKA, realizując Politykę, dąży do systematycznego uaktualniania i unowocześniania wdrożonych technicznych i organizacyjnych środków ochrony danych osobowych.

 

  • 2. Ilekroć w Polityce jest mowa o:
  • Administratorze danych osobowych (ADO) – rozumie się przez to EKLEKTIKA sp. z o.o. z siedzibą w Warszawie przy ul. Opaczewskiej 15/31, kod 02-368, wpisana do rejestru przedsiębiorców przez Sąd Rejonowy dla m. st. Warszawy, XII Wydział Gospodarczy – Krajowego Rejestru Sądowego pod numerem KRS 0000493181;
  • rozporządzeniu 2016/679 – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str.1);
  • systemie informatycznym – rozumie się przez to wdrożony w EKLEKTIKA zespół współpracujących ze sobą systemów informatycznych, w skład których wchodzą w szczególności: urządzenia, programy, narzędzia programowe stosowane do przetwarzania danych, wraz ze zgromadzonymi danymi oraz użytkownicy tych systemów;
  • współpracowniku EKLEKTIKA – rozumie się przez to osobę albo podmiot współpracujący z EKLEKTIKA na podstawie umowy cywilnoprawnej;
  • użytkowniku – rozumie się przez to osobę posiadającą upoważnienie udzielone przez Administratora danych do przetwarzania danych osobowych w EKLEKTIKA, na polecenie Administratora i w zakresie wskazanym w tym upoważnieniu albo współpracownika EKLEKTIKA, który na podstawie umowy posiada uprawnienie do przetwarzania danych osobowych w EKLEKTIKA;
  • użytkownik systemu – rozumie się przez to użytkownika posiadającego uprawnienie do przetwarzania danych osobowych w systemie informatycznym EKLEKTIKA;
  • bezpieczeństwie informacji – rozumie się przez to wdrożone przez ADO środki organizacyjne i techniczne w celu zabezpieczenia oraz ochrony danych osobowych przed ich nieuprawnionym przetwarzaniem;
  • elektronicznych nośnikach – rozumie się przez to elektroniczne nośniki danych osobowych, jakimi są płyty CD lub DVD, pamięć flash, dyski twarde, lub inne urządzenia/materiały służące do przechowywania plików z danymi osobowymi;
  • papierowych nośnikach – rozumie się przez to nośniki danych osobowych w formie pisemnej zawierające dane osobowe;
  • zabezpieczeniu danych osobowych – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przed ich nieuprawnionym przetwarzaniem.

 

  • 3. Przetwarzanie danych osobowych pracowników i innych osób fizycznych, wiąże się z wykonywaniem działalności EKLEKTIKA.

 

  • 4. 1. Wprowadza się Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w EKLEKTIKA, zwaną dalej „Instrukcją”, stanowiącą załącznik nr 1 do Polityki.
  1. W EKLEKTIKA prowadzi się rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 rozporządzenia 2016/679. Rejestr prowadzony jest w formie elektronicznej. Wzór rejestru przetwarzania danych osobowych stanowi załącznik nr 2 do Polityki.
  2. Wykaz zbiorów danych osobowych wraz z opisem struktury tych zbiorów wskazującym zawartość poszczególnych pól informacyjnych, programów zastosowanych do przetwarzania tych danych, powiązania między zbiorami oraz sposób przepływu danych pomiędzy poszczególnymi systemami, określa załącznik nr 3 do Polityki.

 

  • 5. ADO wykonuje zadania określone w rozporządzeniu 2016/679 przy pomocy Administrator Systemu Informatycznego, zwany dalej „ASI”.
  1. ASI zapewnia zarządzaniem uprawnieniami użytkowników, zapewnianiem sprawności, konserwacji oraz wdrażaniem technicznych zabezpieczeń systemu informatycznego.
  2. ASI prowadzi wykaz programów dopuszczonych do używania w EKLEKTIKA oraz ewidencję i dzienniki wskazane w Instrukcji.

 

  • 6. 1. Użytkownikiem może być pracownik albo współpracownik EKLEKTIKA.
  1. ADO udziela pisemnego upoważnienia do przetwarzania danych osobowych, które przetwarzane są w EKLEKTIKA, przy zachowaniu zasady celowości i minimalizmu w rozumieniu rozporządzenia 2016/679:
  2. Wzór upoważnienia do przetwarzania danych osobowych określa załącznik nr 4 do Polityki.
  3. Powierzenie przetwarzania danych osobowych, które przetwarzane są w EKLEKTIKA, współpracownikom EKLEKTIKA następuje na postawie umowy, o której mowa art. 28 ust. 3 rozporządzenia 2016/679.
  4. Wzór umowy powierzenia przetwarzania danych osobowych w EKLEKTIKA określa załącznik nr 5 do Polityki.

 

  • 7. 1. ADO prowadzi ewidencję użytkowników w formie pisemnej, w tym w formie elektronicznej z podziałem na użytkowników działających na podstawie upoważnienia oraz współpracowników.
  1. Wzór ewidencji określa załącznik nr 6 do Polityki.
  2. Upoważnienia udzielone pracownikom EKLEKTIKA przechowywane są w aktach osobowych pracownika.

 

  • 8. 1. Użytkownik, przed dopuszczeniem do przetwarzania danych osobowych, podlega szkoleniu w zakresie przepisów o ochronie danych osobowych i wynikających z nich zadań i obowiązków.
  1. Użytkownik podlega okresowemu szkoleniu, stosownie do potrzeb wynikających ze zmian w systemie informatycznym oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmianą wewnętrznych regulacji.
  2. Szkolenia organizuje ADO.

 

  • 9. 1. Przetwarzanie danych osobowych w zakresie niezbędnym do wykonywania zadań, o których mowa w § 3, powierza się wyłącznie użytkownikom, którzy złożyli oświadczenia, z których wynika, że odbyli szkolenie w zakresie ochrony danych osobowych, zapoznali się z przepisami obowiązującymi w tym zakresie oraz zobowiązują się do zachowania w tajemnicy danych osobowych przetwarzanych w EKLEKTIKA oraz sposobu ich zabezpieczenia.
  1. Wzór oświadczenia użytkownika będącego pracownikiem EKLEKTIKA określa załącznik nr 7 do zarządzenia.
  2. Wzór oświadczenia użytkownika będącego współpracownikiem EKLEKTIKA określa załącznik nr 8 do zarządzenia.

 

  • 10. Do postępowania w sprawie ochrony innych informacji poufnych w EKLEKTIKA zasady dotyczące ochrony danych osobowych stosuje się odpowiednio.

 

Rozdział II

Zasady przetwarzania danych osobowych

 

  • 11. Dane osobowe przechowywane są przez okres ich przydatności do celów, do których zostały zebrane. Po tym okresie są one anonimizowane albo usuwane.

 

  • 12. Informacje, o których mowa w art. 13 i 14 rozporządzenia 2016/679, podawane są osobie, której dane dotyczą w formie pisemnej, w tym w formie elektronicznej, a na żądanie osoby, której dane dotyczą, także ustnie, po potwierdzeniu tożsamości tej osoby.

 

  • 13. 1. Zgoda osoby fizycznej na przetwarzanie danych osobowych jest wyrażana w formie pisemnej, w tym w formie elektronicznej. Wzór zgody osoby fizycznej na przetwarzanie danych osobowych stanowi załącznik nr 9 do Polityki.
  1. Zgoda, o której mowa w ust. 1, dotyczy także osoby fizycznej ubiegającej się o zatrudnienie w EKLEKTIKA, w odniesieniu do danych osobowych innych niż wymienione w art. 221 § 1 i 3 Kodeksu pracy.

 

  • 14. 1. Osoba fizyczna, której dane są przetwarzane przez ADO ma prawo do kontroli przetwarzanych danych, które jej dotyczą, zawartych w zbiorach danych.
  1. Stosownie do żądania osoby fizycznej, której dotyczą dane osobowe, dane te podlegają sprostowaniu, usunięciu, ograniczeniu ich przetwarzania. W odniesieniu do danych osobowych przetwarzanych w systemie informatycznym, czynności te wykonywane są zgodnie z Instrukcją.
  2. Wobec osoby fizycznej, której dotyczą dane osobowe, obowiązek informacyjny określony w art. 19 rozporządzenia 2016/679, realizowany w formie pisemnej, w tym w formie elektronicznej.

 

  • 15. Stosownie do żądania osoby fizycznej, której dotyczą dane osobowe, w celu przeniesienia tych danych, są one wydawane tej osobie albo przekazywane innemu administratorowi.
  1. Przed przeniesieniem danych na żądanie osoby fizycznej, której dane dotyczą, potwierdza się tożsamość tej osoby.

 

                Rozdział 3

Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności i integralności przetwarzanych danych osobowych

  • 16. 1. Pomieszczenie, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieupoważnionych na czas nieobecności w nich użytkownika.
  1. Jeżeli pomieszczenie, w którym przyjmowane są osoby nieupoważnione, jest wyposażone w urządzenia z dostępem do systemów bazodanowych albo tradycyjne kartoteki, należy w nim stosować szczególne środki ostrożności, w tym:
  • osoby nieupoważnione mogą pozostawać w pomieszczeniu tylko w obecności użytkownika;
  • kartoteki tradycyjne należy zabezpieczyć przed dostępem osób nieupoważnionych;
  • papierowych i elektronicznych nośników nie należy pozostawiać w miejscach umożliwiających ich wykorzystanie przez osoby nieupoważnione;
  • monitor komputera należy ustawić tak, aby ekran był niewidoczny dla osób nieupoważnionych;
  • drukarki i urządzenia peryferyjne powinny być usytuowane tak, aby znajdowały się z dala od przestrzeni, po której poruszają się osoby nieupoważnione.
  1. Pomieszczenie, w którym przetwarzane są dane osobowe, jest zamykane na klucz. W godzinach pracy EKLEKTIKA pomieszczenie może być otwarte wyłącznie w czasie obecności w nim użytkownika.
  2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe określa załącznik nr 10 do Polityki.
  • 17. 1. Klucze do pomieszczeń, w których przetwarzane są dane osobowe, może pobierać wyłącznie pracownik EKLEKTIKA upoważniony do przetwarzania danych osobowych.
  1. Dane osobowe przechowywane na papierowych lub elektronicznych nośnikach po zakończeniu pracy są przechowywane w pomieszczeniach w szafach zamykanych na klucz lub w serwerowni.
  2. Dostęp do pomieszczeń, w których są przetwarzane dane osobowe, mają tylko osoby upoważnione.
  3. Serwisanci mogą przebywać w pomieszczeniach EKLEKTIKA wyłącznie w obecności osoby upoważnionej.
  • 18. 1. Dostęp do danych osobowych przetwarzanych w systemie informatycznym (w tym w elektronicznym dzienniku) posiadają użytkownicy tego systemu.
  1. Dostęp możliwy jest tylko przy użyciu indywidualnego konta, po dokonaniu identyfikacji w systemie poprzez zastosowanie uwierzytelnienia.
  2. Użytkownicy zobowiązani są do zabezpieczenia danych służących do identyfikacji w systemie informatycznym przed ich utratą lub przejęciem przez osobę nieuprawnioną.
  3. Kopiowanie, drukowanie z systemu informatycznego informacji zawierających dane osobowe dopuszczalne jest tylko za zgodą lub na wyraźne polecenie ADO.
  4. Elektroniczne nośniki, w tym kopie elektroniczne, nie mogą być dostępne dla osób nieupoważnionych.
  5. Dane osobowe z elektronicznych nośników usuwa się niezwłocznie po ich wykorzystaniu, w sposób trwały.
  • 19. 1. W przypadku zgodny lub wyraźnego polecenia ADO dane osobowe wyeksportowane z systemu informatycznego do przenośnego sprzętu komputerowego mogą znajdować się w nim tylko przez czas niezbędny do ich wykorzystania.
  1. Dane osobowe, o których mowa w ust. 1, usuwa się niezwłocznie po ich wykorzystaniu.
  2. Użytkownik systemu dokonujący wydruku jest właścicielem wytworzonego dokumentu.
  3. Kopie błędne, nadmiarowe czy z innych powodów niepotrzebne niezwłocznie niszczy się.
  4. Wydruki, które nie podlegają archiwizacji, po ich wykorzystaniu niezwłocznie niszczy się.
  5. Każdy, kto zauważy wydruk, nośnik elektroniczny, czy inny dokument zawierający dane osobowe, pozostawiony bez dozoru, zabezpiecza go i przekazuje ADO.
  • 20. Wydruki zawierające dane osobowe sporządzane w oparciu o system informatyczny podlegają szczególnej ochronie, a w szczególności niedopuszczalne jest:
  • pozostawianie wydruków zawierających dane osobowe, z możliwością dostępu do nich osób nieupoważnionych;
  • wyrzucanie nieudanych lub próbnych wydruków do kosza.
  • 21. Nieaktualne lub wadliwe papierowe oraz elektroniczne nośniki niszczone są komisyjnie w sposób uniemożliwiający ich przetwarzanie.
  • 22. 1. W EKLEKTIKA stosuje się następujące zabezpieczenia przed nieautoryzowanym dostępem do zbiorów danych osobowych:
  • urządzenia końcowe (komputer, terminal, drukarka) podłączone są do systemu informatycznego EKLEKTIKA tylko przez upoważnione osoby;
  • zasoby systemu informatycznego zawierające dane osobowe (programy i bazy danych) udostępniane są użytkownikowi systemu na podstawie upoważnienia do przetwarzania danych osobowych;
  • użytkownik systemu identyfikowany jest w systemie poprzez zastosowanie uwierzytelnienia;
  • użytkownikowi systemu przydzielany jest indywidualny identyfikator, który dokonuje rejestrowania przez system czasu logowania użytkownika;
  • klucze do pomieszczeń, w których przetwarzane są zbiory danych osobowych, udostępniane są tylko osobom do tego upoważnionym;
  • monitory na stanowiskach przetwarzania danych osobowych ustawiane są w sposób uniemożliwiający wgląd w dane przez osoby nieupoważnione;
  • automatyczne wygaszanie ekranu i blokowanie nieużywanego komputera następuje po upływie 30 minut;
  • zmiana hasła do systemu informatycznego wymuszana jest co 30 dni.
  1. W EKLEKTIKA stosuje się następujące zabezpieczenia przed nieautoryzowanym dostępem do zbiorów danych osobowych przez Internet w postaci:
  • sieci wewnętrznej LAN, która jest logicznie oddzielona od sieci zewnętrznej, w sposób uniemożliwiający uzyskanie połączenia z bazą danych spoza systemu informatycznego EKLEKTIKA;
  • bramy sieciowej z zainstalowanym ystemem typu firewall, z funkcją analizy charakteru ruchu sieciowego, który uniemożliwia nawiązanie połączenia z chronionymi komputerami oraz blokuje ruch o charakterze niepożądanym lub takim, który może zostać uznany za szkodliwy.

 

Rozdział 4

Postępowanie w przypadku naruszenia ochrony danych osobowych

  • 23. 1. Każdy, kto stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w EKLEKTIKA, zobowiązany jest do niezwłocznego poinformowania o tym fakcie ADO.
  1. Osoba upoważniona, która stwierdziła lub uzyskała informację wskazującą na naruszenie ochrony danych osobowych, zobowiązana jest do niezwłocznego:

1)   zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnego wykrycia tego faktu;

2) jeżeli zasoby systemu informatycznego na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania;

3)  przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie;

4)   podjęcia odpowiednich działań w celu powstrzymania lub ograniczenia dostępu osoby nieupoważnionej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych.

  1. Po przywróceniu zabezpieczenia danych osobowych przeprowadza się szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz podejmuje się czynności mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
  • 24. 1. W każdej sytuacji, w której zaistniałe naruszenie ochrony danych osobowych, skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki – jeżeli to możliwe, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza fakt naruszenia właściwemu w sprawach ochrony danych osobowych organowi nadzorczemu.
  1. Jeżeli ryzyko naruszenia praw i wolności osób fizycznych jest wysokie, ADO, bez zbędnej zwłoki, zawiadamia o takim naruszeniu osobę, której dane dotyczą. Zawiadomienie następuje w formie pisemnej, w tym w formie elektronicznej.
  • 25. Instrukcję postępowania w przypadku naruszenia bezpieczeństwa danych osobowych w EKLEKTIKA określa załącznik nr 11 do Polityki.

 

 

Załącznik nr 11 do Polityki bezpieczeństwa informacji

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

  1. ZAKRES STOSOWANIA INSTRUKCJI
    • Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w przypadku naruszenia bezpieczeństwa tych danych, zgodne z „Tabelą form naruszeń bezpieczeństwa danych osobowych”, stanowiącą załącznik A do niniejszej instrukcji.
    • Celem instrukcji jest określenie sposobu postępowania, gdy:
      • Stwierdzono naruszenie zabezpieczeń danych osobowych.
      • W przypadku danych przetwarzanych w formie tradycyjnej stan pomieszczeń, szaf, okien, drzwi, dokumentów lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych.
      • W przypadku danych przetwarzanych w formie elektronicznej stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu, jakość komunikacji lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych.
  1. NARUSZENIA BEZPIECZEŃSTWA
    • Naruszeniem zabezpieczenia danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub usunięcia, a w szczególności:
      • nieautoryzowany dostęp do danych,
      • nieautoryzowane modyfikacje lub zniszczenie danych,
      • udostępnienie danych nieautoryzowanym podmiotom,
      • nielegalne ujawnienie danych,
      • pozyskiwanie danych z nielegalnych źródeł.
  1. POSTĘPOWANIE W PRZYPADKU NARUSZENIA
    • W przypadku stwierdzenia naruszenia zabezpieczeń lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie zgłosić fakt naruszenia Administratorowi Danych Osobowych, a następnie postępować stosownie do podjętej przez niego decyzji.
    • Współpracownicy postępują zgodnie z postanowieniami umowy cywilnoprawnej zawartej z Administratorem Danych Osobowych, tj. niezwłocznie przekaże Administratorowi Danych Osobowych szczegółowe zawiadomienie, drogą elektroniczną na adres: [email protected] i telefonicznie nr tel. 22 6228669.
    • Zgłoszenie naruszenia zabezpieczeń danych osobowych powinno zostać sporządzone zgodnie z Załącznikiem A i zawierać:
      • opisanie symptomów naruszenia zabezpieczeń danych osobowych,
      • określenie sytuacji i czasu w jakim stwierdzono naruszenie zabezpieczeń danych osobowych,
      • określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia,
      • określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.

 

  1. DZIAŁANIA ADMINISTRATORA DANYCH OSOBOWYCH
    • Administrator Danych Osobowych lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu:
      • minimalizację negatywnych skutków zdarzenia,
      • wyjaśnienie okoliczności zdarzenia,
      • zabezpieczenie dowodów zdarzenia,
      • umożliwienie dalszego bezpiecznego przetwarzania danych.
    • W celu realizacji zadań wynikających z niniejszej instrukcji Administrator Danych Osobowych lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności:
      • żądania wyjaśnień od pracowników/ współpracowników,
      • korzystania z pomocy konsultantów,
      • nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych.
  1. RAPORT KOŃCOWY
    • Administrator Danych Osobowych po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. Wzór raportu stanowi Załącznik B do niniejszej instrukcji.
  2. POLECENIA ADMINISTRATORA
    • Polecenia Administratora Danych Osobowych lub innej upoważnionej przez niego osoby wydawane w celu realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i powinny być wykonywane przed innymi poleceniami, zapewniając ochronę danych osobowych.
    • Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Danych Osobowych lub inną upoważnioną przez niego osobą traktowana będzie jako naruszenie obowiązków pracowniczych, może być przyczyną odpowiedzialności cywilnoprawnej lub odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy a w przypadku współpracowników podstawą odpowiedzialności uregulowanej w umowie.

 

ZAŁĄCZNIK A. TABELA FORM NARUSZEŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

Kod naruszeniaFormy naruszeńSposób postępowania
A.Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych
A.1W zakresie wiedzy :
A.1.1Ujawnianie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanymNależy przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z

opisem, jakie informacje zostały ujawnione, powiadomić ADO.

A.1.2Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej
A.1.3Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji.
A.2W zakresie sprzętu i oprogramowania :
A.2.1Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych.Niezwłocznie zakończyć działanie aplikacji. Powiadomić ADO.
A.2.2Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony.Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Powiadomić ADO.
A.2.3Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci.Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić ADO.
A.2.4Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nieupoważnione.Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały wykonane. Przerwać działające programy. Niezwłocznie powiadomić ADO.
A.2.5Samodzielne instalowanie

jakiegokolwiek oprogramowania.

Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Odinstalować program.
A.2.6Modyfikowanie parametrów systemu i

aplikacji.

Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport.
A.2.7Odczytywanie nośników danych przed sprawdzeniem ich programem antywirusowym.Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Dokonać kontroli antywirusowej.
A.3W zakresie dokumentów i obrazów zawierających dane osobowe :
A.3.1Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru.Zabezpieczyć dokumenty. Powiadomić ADO.
A.3.2Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych.Spowodować poprawienie zabezpieczeń, powiadomić ADO.
A.3.3Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie.Zabezpieczyć niewłaściwie zniszczone dokumenty.
A.3.4Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią.Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. powiadomić ADO
A.3.5Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe.Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane. powiadomić ADO
A.3.6Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą.Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić ADO.
A.3.7Utrata kontroli nad kopią danych Osobowych.Podjąć próbę odzyskania kopii. Powiadomić ADO.
A.4W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych :
A.4.1Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych.Zabezpieczyć (zamknąć) pomieszczenie, powiadomić ADO.
A.4.2Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym.Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić ADO.
A.4.3Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji.Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ADO.
A.5W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci :
A.5.1Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.)Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ADO.
A.5.2Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowanie takiego faktu.Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ADO.
BZjawiska świadczące o możliwości naruszenia ochrony danych osobowych :
B.1Ślady manipulacji przy układach sieci komputerowej lub komputerach.Powiadomić niezwłocznie ADO oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.
B.2Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu.Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.
B.3Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych.Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.
B.4Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych.Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.
B.5Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania.Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.
B.6Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe.Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie ADO.
CFormy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem:
C.1Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej.Powiadomić ADO.
C.2Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika.Powiadomić ADO.

 

ZAŁĄCZNIK B. RAPORT O SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

Sporządzający raport:

Imię i nazwisko:

………………………………………………………………………………………………………………………………………….

stanowisko (funkcja):

………………………………………………………………………………………………………………………………………….

Dział, pokój, nr telefonu:

………………………………………………………………………………………………………………………………………….

Kod formy naruszenia ochrony danych (wg tabeli z załącznika A):

………………………………………………………………………………………………………………………………………….

1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych):

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

4) Informacje o danych, które zostały lub mogły zostać ujawnione:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg

zdarzenia, opis zachowania uczestników, podjęte działania):

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

7) Wnioski:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

 

………………………………………………………..

(miejsce, data i godzina sporządzenia raportu)

 

………………………………………………………..

(podpis sporządzającego raport)