POLITYKA BEZPIECZEŃSTWA
w spółce ELA Wyrób Folii i Opakowań Sp. z o.o. w Celestynowie
- PODSTAWA PRAWNA
Niniejsza „Polityka bezpieczeństwa” stanowi wykonanie obowiązku, o którym mowa
w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
- CEL OPRACOWANIA DOKUMENTU
Celem opracowania niniejszego dokumentu jest wytyczenie zasad i wymagań w zakresie ochrony danych osobowych gromadzonych i przetwarzanych przez ELA Wyrób Folii
i Opakowań Sp. z o.o. w Celestynowie zwaną dalej również jako „Spółka”, biorąc pod uwagę, że w jednostce organizacyjnej nie został powołany Administrator bezpieczeństwa informacji. Ponadto, celem niniejszej Polityki Bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Spółkę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji systemów informatycznych, na poziomie odpowiadającym potrzebom organizacji.
- DEFINICJE
- administrator danych – ELA Wyrób Folii i Opakowań Sp. z o.o. w Celestynowie (również jako: „Spółka”),
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne),
- informatyczne nośniki danych – materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej,
- integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom,
- przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych,
- rozliczalność danych – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
- rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), - RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L.
z 2016 r. Nr 119), - ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922),
- usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą (”anonimizacja”),
- państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego.
- CEL POLITYKI BEZPIECZEŃSTWA
Celem Polityki bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Spółkę, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.
- ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA
W ramach zabezpieczenia danych osobowych ochronie podlegają:
- sprzęt komputerowy – serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne,
- oprogramowanie,
- dane osobowe zapisane na informatycznych nośnikach danych oraz dane przetwarzane w systemach informatycznych,
- hasła użytkowników,
- bazy danych i kopie zapasowe,
- wydruki,
- związana z przetwarzaniem danych dokumentacja papierowa.
Polityka bezpieczeństwa dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Spółkę w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Kancelarię i zawiera następujące informacje:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych),
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,
Polityka bezpieczeństwa ma zastosowanie wobec wszystkich komórek organizacyjnych Spółki.
- Obszar przetwarzania danych osobowych
Przetwarzanie danych osobowych przez Spółkę odbywa się zarówno przy wykorzystaniu systemów informatycznych jak i poza nimi, tj. w wersji papierowej. Obszar przetwarzania danych osobowych przez Spółkę został określony w załączniku nr 1 do Polityki bezpieczeństwa pt.: „Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe w Spółce”. Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych.
- Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych
Wykaz zbiorów danych osobowych przetwarzanych przez Spółkę oraz programów zastosowanych do przetwarzania tych danych stanowi załącznik 2 do Polityki bezpieczeństwa pt.: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”.
- Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi
Pola informacyjne (rodzaje przetwarzanych danych osobowych) w odniesieniu do poszczególnych zbiorów danych zostały określone w dokumencie „Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania” stanowiącym załącznik nr 2 do Polityki bezpieczeństwa.
- Sposób przepływu danych pomiędzy poszczególnymi systemami
Sposób przepływu danych pomiędzy różnymi systemami informatycznymi określa załącznik 2 do Polityki bezpieczeństwa pt.: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”.
- Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Do elementów zabezpieczenia danych osobowych przez Spółkę zalicza się:
- stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne),
- odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne),
- nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne),
- bezpieczeństwo osobowe.
- zabezpieczenia fizyczne obejmują:
- wydzielenie obszaru przetwarzania danych,
- dane osobowe przetwarzane są w kancelarii tajnej, prowadzonej zgodnie
z wymogami określonymi w odrębnych przepisach, - dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu,
- dostęp do pomieszczeń, w których przetwarzane są dane osobowe kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
- dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest nadzorowany przez całą dobę,
- samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych,
- przechowywanie akt w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zamykanych na klucz szafach,
- kopie zapasowe zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie,
- pomieszczenie, w którym przetwarzane są dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy,
- dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
- zabezpieczenia techniczne obejmują:
- systemy informatyczne zastosowane do przetwarzania danych osobowych spełniają wymagania określone w Rozporządzeniu,
- w systemach informatycznych w Spółki obowiązują zabezpieczenia na poziomie wysokim, zgodnie z załącznikiem do Rozporządzenia,
- zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; uprawnienia są różne dla różnych grup użytkowników,
- zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe, które jest regularnie aktualizowane,
- system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
- tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych,
- zastosowano zabezpieczenia systemu przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej w postaci urządzenia typu UPS lub generatora prądu, wydzielonej sieci elektroenergetycznej,
- zastosowano środki kryptograficznej ochrony danych osobowych w trakcie teletransmisji,
- użyto systemu Firewall do ochrony dostępu do sieci komputerowej,
- użyto systemu IDS/IPS do ochrony dostępu do sieci komputerowej,
- proces teletransmisji zabezpieczony jest za pomocą środków uwierzytelnienia,
- dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia
z wykorzystaniem identyfikatora użytkownika oraz hasła, - w systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł,
- zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do zasobów informatycznych dla poszczególnych użytkowników systemu informatycznego,
- zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu informatycznego,
- zastosowano oprogramowanie umożliwiające wykonanie kopii zapasowych zbiorów danych osobowych,
- wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych osobowych,
- zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych,
- stacja końcowa umożlwiająca dostęp do zbioru danych osobowych zabezpieczona jest identyfikatorem i hasłem dostępu,
- zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
- zastosowano mechanizm blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
- zabezpieczenia organizacyjne obejmują:
- osobą odpowiedzialną za bezpieczeństwo danych osobowych jest administrator danych oraz wyznaczona przez niego osoba, która opracowuje
i aktualizuje Politykę bezpieczeństwa, załączniki do Polityki bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, - pracownicy Spółki, którzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o zaobserwowanych nieprawidłowościach informują administratora danych lub wyznaczoną przez niego osobę;
- Osoby upoważnione do przetwarzania danych osobowych mające dostęp do danych osobowych, które są w dyspozycji Spółki, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia,
- Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych zgodnie z art. 37 ustawy,
- Osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez wpisanie określonych kompetencji do zakresu obowiązków na danym stanowisku. Określone stanowiska wraz z przypisanym zakresem upoważnienia znajdują się w ewidencji osób upoważnionych do przetwarzania danych osobowych, stanowiącej załącznik 4 do Polityki bezpieczeństwa.
- zabezpieczenie osobowe
- należy stosować klauzulę o zachowaniu poufności danych osobowych
w umowach o pracę oraz w umowach ze zleceniobiorcami, z którymi związane jest przetwarzanie danych osobowych; - wprowadza się obowiązek raportowania do administratora danych wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu i oprogramowania – wzór rejestru incydentów naruszenia ochrony danych osobowych stanowi załącznik 6 do Polityki bezpieczeństwa.
- ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI
- Niniejszy dokument zawiera informacje o zabezpieczeniach, dlatego też został objęty ochroną na zasadzie tajemnicy przedsiębiorstwa w myśl art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 ze zm.). Wybrane jego elementy mogą zostać udostępnione innym podmiotom po zawarciu stosownej umowy o zachowaniu poufności.
- Za zarządzanie dokumentem Polityki Bezpieczeństwa, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny administrator danych.
- Z treścią niniejszego dokumentu powinni być zapoznani powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych.
- Integralną część niniejszej Polityki Bezpieczeństwa stanowią następujące załączniki:
- Załącznik nr 1 – Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe;
- Załącznik nr 2 – Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania;
- Załącznik nr 3 – Wzór upoważnienia do przetwarzania danych osobowych;
- Załącznik nr 4 – Ewidencja osób upoważnionych do przetwarzania danych osobowych;
- Załącznik nr 5 – Wzór umowy powierzenia przetwarzania danych osobowych;
- Załącznik nr 6 – Rejestr incydentów naruszenia ochrony danych i wzór raportów,
- Załącznik nr 7 – Rejestr czynności przetwarzania.