Polityka bezpieczeństwa

przetwarzania danych osobowych w Fundacji Health Concept

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
w Fundacji Health Concept

I. Wstęp

§1

Celem Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Fundacji Health Concept (zwanej dalej Polityką Bezpieczeństwa) jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania w Fundacji Health Concept (zwanej dalej Fundacją Health Concept) informacji zawierających dane osobowe, a przede wszystkim zapewnienie ochrony danych osobowych przetwarzanych w Fundacji Health Concept, przed wszelkiego rodzaju zagrożeniami, tak zewnętrznymi jak i wewnętrznymi.

§2

Polityka Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Opracowany dokument jest zgodny również z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osób oraz ochrony prywatności w sektorze komunikacji elektronicznej.

§3

Obszarem przetwarzania danych osobowych w Fundacji Health Concept są wydzielone pomieszczenia w budynku, w którym mieści się siedziba spółki, tj. przy ul. Porcelanowej 23, 40-246 Katowice.

§4

Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe oraz użytkowników.

§5

1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Fundacji Health Concept rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.

2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

  1. poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
  2. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  3. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,
  4. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej,
  5. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,
  6. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

 

§6

Administratorem Danych Osobowych przetwarzanych w Fundacji Health Concept jest Fundacja Health Concept z siedzibą przy ul. Porcelanowej 23, 40-246 Katowice.

 

§7

Przez użyte w Polityce Bezpieczeństwa określenia należy rozumieć:

  1. Polityka Bezpieczeństwa – rozumie się przez to Politykę Bezpieczeństwa Ochrony Danych Osobowych w Fundacji Health Concept
  2. Administrator Danych Osobowych – dalej jako ADO; rozumie się przez to Fundację Health Concept
  3. biuro – siedziba Fundacji Health Concept
  4. ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. 2016 r. poz.922),
  5. rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
  6. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
  7. zbiór danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
  8. baza danych osobowych – rozumie się przez to zbiór uporządkowanych powiązanych ze sobą tematycznie, zapisanych np. w pamięci wewnętrznej komputera danych. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe,
  9. usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą,
  10. przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
  11. system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
  12. system tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze,
  13. zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
  14. Administrator Systemu Informatycznego – dalej jako ASI; rozumie się przez to osobę lub osoby, upoważnione przez ADO do administrowania i zarządzania systemami informatycznymi w Fundacji Health Concept
  15. użytkownik – rozumie się przez to upoważnionego przez ADO lub wyznaczonego do przetwarzania danych osobowych pracownika lub członka zarządu Fundacji Health Concept, który odbył stosowne szkolenie w zakresie ochrony tych danych.

II. Zakres stosowania

§8

1. W Fundacji Health Concept przetwarzane są przede wszystkim informacje służące do:

  1. przetwarzania danych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  2. przetwarzania danych w związku z zatrudnieniem oraz świadczeniem usług na podstawie umów cywilnoprawnych,
  3. w celach realizacji poszczególnych projektów.

2. Informacje te są przetwarzane i składowane zarówno w postaci dokumentacji tradycyjnej jak i elektronicznej.

3. Polityka Bezpieczeństwa zawiera dokumenty dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

 

§9

Politykę Bezpieczeństwa stosuje się przede wszystkim do:
1. danych osobowych przetwarzanych w systemie:

  • tradycyjnym – w szczególności w kartotekach, skorowidzach, księgach, wykazach i innych zasobach ewidencyjnych,
  • informatycznym – Microsoft Office (i równoważnych), Fakturowania, serwery;

2. wszystkich informacji dotyczących danych pracowników Fundacji Health Concept, w tym danych osobowych pracowników i treści zawieranych umów o pracę;

3. wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji;

4. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych;

5.rejestru osób dopuszczonych do przetwarzania danych osobowych;

6. innych dokumentów zawierających dane osobowe.

 

§10

1.Zakresy ochrony danych osobowych określone przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do systemów informatycznych Fundacji Health Concept, w których są przetwarzane dane osobowe, a w szczególności do:

  1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
  2. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
  3. wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy i innych osób mających dostęp do informacji podlegających ochronie, w tym do członków zarządu Fundacji Health Concept.

2. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy oraz inne osoby mające dostęp do informacji podlegających ochronie, w tym członkowie zarządu Fundacji Health Concept.

§11

Informacje niejawne nie są objęte zakresem niniejszej Polityki Bezpieczeństwa.

III. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe oraz sposobów ich zabezpieczeń

 

§12

1. Polityka obowiązuje w Fundacji Health Concept, w pomieszczeniach lub częściach pomieszczeń, w których przetwarzane są dane osobowe, a których wykaz został zamieszczony poniżej.
2. Siedziba Fundacji Health Concept mieści się pod adresem ul. Porcelanowa 23, 40-246 Katowice.

Pomieszczenia, w których przetwarzane są dane osobowe sekretariat, biura, pokój konferencyjny
Pomieszczenia, w których znajdują się komputery stanowiące element systemu informatycznego sekretariat, biura
Pomieszczenia, w których przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy
z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe)
sekretariat, składnica akt, pomieszczenie
z serwerem
Pomieszczenia, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) składnica akt
Pomieszczenia składnicy akt składnica akt
Programy, w których przetwarzane są dane osobowe Microsoft Office szyfrowany hasłem, fakturowania
Podmioty zewnętrzne, które mają dostęp do danych osobowych lub je przetwarzają na podstawie podpisanych umów – nazwa firmy, imię, nazwisko, adres

brak

 

Inne (informacje dotyczące pomieszczeń, w których przetwarzane są dane osobowe oraz ich zabezpieczeń). szafy zamykane na klucz, pokoje zamykane na klucz, biuro chronione alarmem, komputery z indywidualnymi hasłami, dostęp do miejsca, gdzie przetwarzane są dane osobowe na serwerze posiadają wyłącznie upoważnione osoby

IV. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

§13

L.p. Zbiór danych Dział Program Lokalizacja bazy danych Miejsce przetwarzania danych
1. Dane klientów sekretariat księgowość Microsoft Office szyfrowany hasłem, wFirmie

serwer

komputery

segregatory

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Siedziba przy
ul. Porcelanowej 23,
40-246 Katowice

 

 

 

 

 

2. Dane kadrowe sekretariat księgowość kadry Microsoft Office szyfrowany hasłem, wFirmie

serwer

komputery

segregatory

teczki osobowe

3. Dane ubezp.
w ZUS
4. Dane płacowe
5. Dane kontrahentów sekretariat księgowość kadry Microsoft Office szyfrowany hasłem, wFirmie

serwer

komputery

segregatory

6. Dane
na potrzeby realizowanych projektów
sekretariat księgowość kadry Microsoft Office

serwer

komputery

segregatory

7 Dane mieszkańców Microsoft Office

serwer

komputery

segregatory

V. Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych

§14

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w Fundacji Health Concept przedstawia się w sposób następujący:

1. wFirmie.pl
2. Microsoft Office szyfrowane hasłem

Pola danych: imię, nazwisko, ulica, kod pocztowy, miejscowość, telefon, pesel.

 

VI. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych

§15

1. Zabezpieczenia organizacyjne

  1. sporządzono i wdrożono Politykę Bezpieczeństwa,
  2. sporządzono i wdrożono Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Fundacji Health Concept,
  3. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez ADO bądź osobę przez niego upoważnioną,
  4. stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
  5. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
  6. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
  7. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
  8. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
  9. dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób.

2. Zabezpieczenia techniczne

  1. wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą zapory sieciowej „firewall”,
  2. stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
  3. komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych za pomocą indywidualnego hasła.

3. Środki ochrony fizycznej:

  1. obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy chroniony jest alarmem,
  2. szafy, w których znajdują się dane osobowe zamykane są na klucz.

VII. Instrukcja postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych

§16

1. Instrukcja Zarządzania Systemem Informatycznym definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz sposób reagowania na nie.
2. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów zagrażających bezpieczeństwu, ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
3. Każdy pracownik bądź członek zarządu Fundacji Health Concept w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować ADO.
4. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

  1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  2. niewłaściwe zabezpieczenie sprzętu, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
  3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.

5. Do typowych incydentów bezpieczeństwa danych osobowych należą:

  1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
  2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/ zagubienie danych),
  3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

6. W przypadku stwierdzenia wystąpienia zagrożenia, ADO prowadzi postępowanie wyjaśniające w toku, którego:

  1. ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
  2. inicjuje ewentualne działania dyscyplinarne,
  3. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,
  4. dokumentuje prowadzone postępowania.

7. W przypadku stwierdzenia incydentu (naruszenia), ADO prowadzi postępowanie wyjaśniające w toku, którego:

  • ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
  • zabezpiecza ewentualne dowody,
  • ustala osoby odpowiedzialne za naruszenie,
  • podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
  • inicjuje działania dyscyplinarne,
  • wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
  • dokumentuje prowadzone postępowania.

 

VIII. Zadania Administratora Danych

§17

1. Do najważniejszych obowiązków ADO należy:

  1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych osobowych,
  2. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki,
  3. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
  4. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
  5. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
  6. nadzór nad bezpieczeństwem danych osobowych,
  7. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  8. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

IX. Zadania Administratora Systemu Informatycznego – informatyk

§18

1. Administrator Systemu Informatycznego odpowiedzialny jest za:

  1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
  2. optymalizację wydajności systemu informatycznego, baz danych, instalacje i konfiguracje sprzętu sieciowego i serwerowego,
  3. instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego,
  4. konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem,
  5. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
  6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
  7. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
  8. zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
  9. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
  10. przyznawanie na wniosek ASI danych ściśle określonych praw dostępu do informacji w danym systemie,
  11. wnioskowanie do ADO w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
  12. zarządzanie licencjami, procedurami ich dotyczącymi,
  13. prowadzenie profilaktyki antywirusowej.

2. Praca ASI jest nadzorowana pod względem przestrzegania ustawy o ochronie danych osobowych, Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz Polityki Bezpieczeństwa przez ADO.

X. Sprawozdanie roczne stanu systemu ochrony danych osobowych

§19

1. Corocznie do dnia 15 marca wyznaczony przez ADO pracownik organizuje spotkanie roczne dotyczące stanu funkcjonowania systemu ochrony danych osobowych.
2. W spotkaniu sprawozdawczym uczestniczą: ADO wraz z wyznaczonymi pracownikami. Na wniosek co najmniej jednego z uczestników w spotkaniu mogą wziąć udział: informatyk, inni pracownicy.
3. Sprawozdanie ze spotkania sporządzane jest w formie pisemnej przez wyznaczonego pracownika.

XI. Szkolenia użytkowników

§20

1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
2. Za przeprowadzenie szkolenia odpowiada ADO.
3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz instrukcjami obowiązującymi u ADO, a także o zobowiązaniu się do ich przestrzegania.
4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.
5. Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

XII. Postanowienia końcowe

§21

1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom postronnym w żadnej formie.
2. ADO ma obowiązek zapoznać z treścią Polityki każdego użytkownika.
3. Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.
4. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
5. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
6. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.
7. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy ustawy oraz rozporządzenia.