POLITYKA BEZPIECZEŃSTWA

w spółce ELA Wyrób Folii i Opakowań Sp. z o.o. w Celestynowie

 

 

  1. PODSTAWA PRAWNA

Niniejsza „Polityka bezpieczeństwa” stanowi wykonanie obowiązku, o którym mowa
w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

 

  1. CEL OPRACOWANIA DOKUMENTU

Celem opracowania niniejszego dokumentu jest wytyczenie zasad i wymagań w zakresie ochrony danych osobowych gromadzonych i przetwarzanych przez ELA Wyrób Folii
i Opakowań Sp. z o.o. w Celestynowie zwaną dalej również jako „Spółka”, biorąc pod uwagę, że w jednostce organizacyjnej nie został powołany Administrator bezpieczeństwa informacji. Ponadto, celem niniejszej Polityki Bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Spółkę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji systemów informatycznych, na poziomie odpowiadającym potrzebom organizacji.

 

  1. DEFINICJE
  • administrator danych – ELA Wyrób Folii i Opakowań Sp. z o.o. w Celestynowie (również jako: „Spółka”),
  • dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne),
  • informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej,
  • integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  • poufność danych – właści­wość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom,
  • przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych,
  • rozliczalność danych – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
  • rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji
    z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
  • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
    27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L.
    z 2016 r. Nr 119),
  • ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922),
  • usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą (”anonimizacja”),
  • państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego.

 

 

  1. CEL POLITYKI BEZPIECZEŃSTWA

Celem Polityki bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Spółkę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.

 

 

  1. ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA

W ramach zabezpieczenia danych osobowych ochronie podlegają:

  1. sprzęt komputerowy – serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne,
  2. oprogramowanie,
  3. dane osobowe zapisane na informatycznych nośnikach danych oraz dane przetwarzane w systemach informatycznych,
  4. hasła użytkowników,
  5. bazy danych i kopie zapasowe,
  6. wydruki,
  7. związana z przetwarzaniem danych dokumentacja papierowa.

 

Polityka bezpieczeństwa dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Spółkę w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Kancelarię i zawiera następujące informacje:

 

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych),
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych,
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi,
  4. sposób przepływu danych pomiędzy poszczególnymi systemami,
  5. środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,

 

Polityka bezpieczeństwa ma zastosowanie wobec wszystkich komórek organizacyjnych Spółki.

 

 

  1. Obszar przetwarzania danych osobowych

Przetwarzanie danych osobowych przez Spółkę odbywa się zarówno przy wykorzystaniu systemów informatycznych jak i poza nimi, tj. w wersji papierowej. Obszar przetwarzania danych osobowych przez Spółkę został określony w załączniku nr 1 do Polityki bezpieczeństwa pt.: „Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe w Spółce”. Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych.

 

 

  1. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych

 

Wykaz zbiorów danych osobowych przetwarzanych przez Spółkę oraz programów zastosowanych do przetwarzania tych danych stanowi załącznik 2 do Polityki bezpieczeństwa pt.: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”.

 

 

  1. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi

 

Pola informacyjne (rodzaje przetwarzanych danych osobowych) w odniesieniu do poszczególnych zbiorów danych zostały określone w dokumencie „Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania” stanowiącym załącznik nr 2 do Polityki bezpieczeństwa.

 

 

  1. Sposób przepływu danych pomiędzy poszczególnymi systemami

Sposób przepływu danych pomiędzy różnymi systemami informatycznymi określa załącznik 2 do Polityki bezpieczeństwa pt.: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”.

 

 

 

 

  1. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

 

Do elementów zabezpieczenia danych osobowych przez Spółkę zalicza się:

  1. stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne),
  2. odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne),
  3. nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne),
  4. bezpieczeństwo osobowe.

 

  1. zabezpieczenia fizyczne obejmują:
    • wydzielenie obszaru przetwarzania danych,
    • dane osobowe przetwarzane są w kancelarii tajnej, prowadzonej zgodnie
      z wymogami określonymi w odrębnych przepisach,
    • dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu,
    • dostęp do pomieszczeń, w których przetwarzane są dane osobowe kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
    • dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest nadzorowany przez całą dobę,
    • samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych,
    • przechowywanie akt w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zamykanych na klucz szafach,
    • kopie zapasowe zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie,
    • pomieszczenie, w którym przetwarzane są dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy,
    • dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

 

  1. zabezpieczenia techniczne obejmują:
  • systemy informatyczne zastosowane do przetwarzania danych osobowych spełniają wymagania określone w Rozporządzeniu,
  • w systemach informatycznych w Spółki obowiązują zabezpieczenia na poziomie wysokim, zgodnie z załącznikiem do Rozporządzenia,
  • zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; uprawnienia są różne dla różnych grup użytkowników,
  • zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe, które jest regularnie aktualizowane,
  • system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
  • tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych,
  • zastosowano zabezpieczenia systemu przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej w postaci urządzenia typu UPS lub generatora prądu, wydzielonej sieci elektroenergetycznej,
  • zastosowano środki kryptograficznej ochrony danych osobowych w trakcie teletransmisji,
  • użyto systemu Firewall do ochrony dostępu do sieci komputerowej,
  • użyto systemu IDS/IPS do ochrony dostępu do sieci komputerowej,
  • proces teletransmisji zabezpieczony jest za pomocą środków uwierzytelnienia,
  • dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia
    z wykorzystaniem identyfikatora użytkownika oraz hasła,
  • w systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł,
  • zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do zasobów informatycznych dla poszczególnych użytkowników systemu informatycznego,
  • zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu informatycznego,
  • zastosowano oprogramowanie umożliwiające wykonanie kopii zapasowych zbiorów danych osobowych,
  • wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych osobowych,
  • zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych,
  • stacja końcowa umożlwiająca dostęp do zbioru danych osobowych zabezpieczona jest identyfikatorem i hasłem dostępu,
  • zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
  • zastosowano mechanizm blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

 

  1. zabezpieczenia organizacyjne obejmują:
  • osobą odpowiedzialną za bezpieczeństwo danych osobowych jest administrator danych oraz wyznaczona przez niego osoba, która opracowuje
    i aktualizuje Politykę bezpieczeństwa, załączniki do Polityki bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
  • pracownicy Spółki, którzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o zaobserwowanych nieprawidłowościach informują administratora danych lub wyznaczoną przez niego osobę;
    • Osoby upoważnione do przetwarzania danych osobowych mające dostęp do danych osobowych, które są w dyspozycji Spółki, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia,
    • Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych zgodnie z art. 37 ustawy,
    • Osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez wpisanie określonych kompetencji do zakresu obowiązków na danym stanowisku. Określone stanowiska wraz z przypisanym zakresem upoważnienia znajdują się w ewidencji osób upoważnionych do przetwarzania danych osobowych, stanowiącej załącznik 4 do Polityki bezpieczeństwa.

 

  1. zabezpieczenie osobowe
  • należy stosować klauzulę o zachowaniu poufności danych osobowych
    w umowach o pracę oraz w umowach ze zleceniobiorcami, z którymi związane jest przetwarzanie danych osobowych;
  • wprowadza się obowiązek raportowania do administratora danych wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu i oprogramowania – wzór rejestru incydentów naruszenia ochrony danych osobowych stanowi załącznik 6 do Polityki bezpieczeństwa.

 

 

  1. ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI
  2. Niniejszy dokument zawiera informacje o zabezpieczeniach, dlatego też został objęty ochroną na zasadzie tajemnicy przedsiębiorstwa w myśl art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 ze zm.). Wybrane jego elementy mogą zostać udostępnione innym podmiotom po zawarciu stosownej umowy o zachowaniu poufności.
  3. Za zarządzanie dokumentem Polityki Bezpieczeństwa, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny administrator danych.
  4. Z treścią niniejszego dokumentu powinni być zapoznani powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych.
  5. Integralną część niniejszej Polityki Bezpieczeństwa stanowią następujące załączniki:
    1. Załącznik nr 1 – Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe;
    2. Załącznik nr 2 – Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania;
    3. Załącznik nr 3 – Wzór upoważnienia do przetwarzania danych osobowych;
    4. Załącznik nr 4 – Ewidencja osób upoważnionych do przetwarzania danych osobowych;
    5. Załącznik nr 5 – Wzór umowy powierzenia przetwarzania danych osobowych;
    6. Załącznik nr 6 – Rejestr incydentów naruszenia ochrony danych i wzór raportów,
    7. Załącznik nr 7 – Rejestr czynności przetwarzania.