Polityka Prywatności
Poniżej znajdą Państwo dokument polityki prywatności oraz niezbędne załączniki
Wybierz obszar
Polityka Prywatności
PROCEDURY BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W Centrum Sportu i Rekreacji w Świeciu
Spis treści
Rozdział I Postanowienia ogólne………………………………………………………………………………………..3
Rozdział II Bezpieczeństwo obszaru w którym przetwarzane są dane osobowe…………………7
Rozdział III Rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania……8
Rozdział IV Kompetencje oraz zakres obowiązków osób funkcyjnych……………………………….9
Rozdział V Środki techniczne i organizacyjne do zabezpieczenia przetwarzania danych osobowych…………………………………………………………………………………………………..…..11
Rozdział VI Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych….19
Rozdział VII Ocena skutków planowanych operacji przetwarzania. Analiza ryzyka……………22
Rozdział VIII Instrukcja przetwarzania danych w systemach informatycznych…………………….24
Wykaz załączników :
Załącznik nr 1- Rejestru czynności przetwarzania i kategorii czynności przetwarzania……36
Załącznik nr 2- Wzór upoważnienia………………………………………………………….37
Załącznik nr 3- Wzór oświadczenia………………………………………………………….38
Załącznik nr 4- Raport z naruszenia bezpieczeństwa……………………………….………..39
Załącznik nr 5- Zgłoszenia naruszenia bezpieczeństwa danych osobowych………………..40
Załącznik nr 6- Rodzaje naruszeń bezpieczeństwa i procedury ich zgłaszania……………..41
Załącznik nr 7 – Realizacja praw osób których dane dotyczą …………………..…………..42
Rozdział I
Postanowienia ogólne
Dokument „Procedury bezpieczeństwa w zakresie ochrony danych osobowych w Centrum Sportu i Rekreacji w Świeciu” opracowany został na podstawie wytycznych Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000). Dokument określa podstawowe zasady przetwarzania danych osobowych w Centrum Sportu i Rekreacji w Świeciu niezależnie od sposobów przetwarzania (systemy informatyczne lub forma papierowa). Wskazuje działania jakie należy podjąć w zakresie ochrony danych osobowych oraz określa przyjęte środki techniczne i organizacyjne, by przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem.
Przetwarzanie danych osobowych w Centrum Sportu i Rekreacji w Świeciu związane jest głównie z realizacją zadań wynikających z przepisów RODO oraz aktów wykonawczych. Ponadto zadaniem tego centrum jest budowanie dobrego wizerunku nowoczesnej placówki poprzez skuteczną i zgodną z przepisami prawa obsługę uczestników imprez oraz pracowników przy jednoczesnym zabezpieczeniu praw osób, których dane osobowe są przetwarzane.
Niniejszy dokument został wdrożony do stosowania w Centrum Sportu i Rekreacji w Świeciu przez jej Kierownika, który jest Administratorem Danych Osobowych, w rozumieniu art. 4 pkt. 7 (RODO). Dokument określa podstawowe zasady ochrony danych osobowych przetwarzanych w ośrodku niezależnie od systemów (informatyczny lub papierowy) oraz sposobu ich przetwarzania w tych systemach.
Użyte w dokumencie definicje, oznaczają:
- RODO – Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie ustala cele i sposoby przetwarzania danych osobowych – w dokumencie tym, ilekroć użyte zostanie pojęcie administratora danych osobowych należy przez to rozumieć Centrum Sportu i Rekreacji w Świeciu reprezentowane przez Kierownika.
- Inspektor Ochrony Danych – zwany dalej IOD – powołany przez administratora danych osobowych w drodze zarządzenia osoba, wyznaczona do pełnienia funkcji o której mowa w art. 37 [RODO], odpowiedzialna za zapewnienie przestrzegania przepisów o ochronie danych osobowych w CSiR.
- Administrator Systemu Informatycznego – zwany dalej ASI – osoba wyznaczona z podległych pracowników lub zatrudniona przez Administratora Danych Osobowych w celu zabezpieczenia systemów informatycznych i zapewnienia jego sprawnego funkcjonowania.
- Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer PESEL, dane adresowe, identyfikator internetowy IP lub na podstawie innych czynników (fizycznych, biologicznych, genetycznych, psychicznych, kulturowych lub społecznych) :
- numery PESEL, NIP, paszport, dowód osobisty;
- cechy fizyczne – wygląd zewnętrzny, siatkówka oka, linie papilarne;
- cechy fizjologiczne – grupa krwi;
- cechy ekonomiczne – status majątkowy, lista zaległości finansowych.
- Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony.
- Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, usuwanie lub niszczenie.
- Atrybuty bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych:
a) poufność – właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom
b) integralność – właściwość zapewniająca, że informacje nie zostały zmienione lub zniekształcone w sposób nieautoryzowany;
c) dostępność – właściwość systemu bycia dostępnym i możliwym do wykorzystania na żądanie upoważnionego podmiotu;
d)rozliczalność – właściwość systemu zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
- Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania itp.
- Pseudonimizacja – oznacza przetwarzanie danych osobowych w taki sposób, by nie można było już ich przypisać konkretnej osobie, bez użycia dodatkowych informacji (np. dwa oddzielne rejestry).
- Anonimizacja – uniemożliwienie wszystkim stronom zidentyfikowanie konkretnej osoby.
- Społeczeństwo informacyjne – stanowi społeczeństwo, w którym wszystkim osobom umożliwia się wolny dostęp do tworzenia, otrzymywania, udostępniania i wykorzystywania informacji oraz wiedzy, co przyczynia się do ich ekonomicznego, społecznego, politycznego i kulturowego rozwoju.
- Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
- Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym- w tym korzystanie z usług opieki zdrowotnej ujawniające informacje o stanie jej zdrowia.
- Dane genetyczne – oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od osoby fizycznej.
- Dane biometryczne – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego (wizerunek twarzy, linie papilarne).
- Wirus – każde szkodliwe oprogramowanie, którego uruchomienie w systemie informatycznym może spowodować szkodę lub negatywnie wpłynąć na któryś z atrybutów bezpieczeństwa.
- Użytkownik – osoba przetwarzająca merytorycznie dane osobowe w ramach wykonywanych zadań.
- Identyfikator – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
- Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
- Uwierzytelnienie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
- Zbiór tradycyjny – zbiór danych osobowych prowadzony w formie papierowej np. akt, skorowidzów, kartotek itp.
Rozdział II
Bezpieczeństwo fizyczne obszaru, w którym przetwarzane są dane osobowe
- Przetwarzanie danych osobowych z użyciem sprzętu komputerowego i kartotek odbywa się wyłącznie w obszarze przetwarzania danych, w pomieszczeniach Administratora Danych Osobowych.
- Jeżeli w pomieszczeniach Administratora Danych nie są zapewnione warunki ochrony danych osobowych określone w niniejszych procedurach, wówczas przetwarzanie danych osobowych jest zabronione.
- Stały dostęp do pomieszczeń, w których przetwarzane są dane osobowe, mają tylko ich
użytkownicy. - Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, osób innych,
niż pracownicy pracujący na tych zbiorach, jest możliwy wyłącznie w obecności, co najmniej jednego użytkownika lub za zgodą Administratora Dany - Klucze do pokoi przechowywane są w wyznaczonym pomieszczeniu i zabezpieczone po godzinach pracy przed ich nieuprawnionym użyciem.
- Kartoteki, zbiory danych, elektroniczne nośniki informacji należy przechowywać w przeznaczonych do tego szafach biurowych, do których dostęp mają wyłącznie użytkownicy. Po godzinach pracy szafy powinny być zamknięte na klucz.
- Proces przetwarzania danych osobowych w godzinach pracy odbywa się pod kontrolą upoważnionych pracowników. Po godzinach pracy część pomieszczeń biurowych oraz korytarze zostają zabezpieczone systemem alarmowym i obiekt jest chroniony elektronicznie.
- Obszarem przetwarzania danych dla Centrum Sportu i Rekreacji w Świeciu są trzy pomieszczenia biurowe znajdujące się w budynku Klubu Sportowego Wda Świecie.
Rozdział III
Rejestr czynności przetwarzania danych osobowych, rejestr kategorii czynności przetwarzani
W celu zapewnienia zgodności z zasadami i warunkami przetwarzania danych osobowych, które zostały określone w RODO, na administratorze spoczywa obowiązek prowadzenia rejestru czynności przetwarzania. W kontekście tego obowiązku przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
Rejestr czynności przetwarzania, który określony został w art. 30 ust. 1 RODO może być prowadzony w formie papierowej i elektronicznej. Obowiązek jego prowadzenia spoczywa na podmiotach, które będą przetwarzały:
– dane wrażliwe;
– informacje o wyrokach lub naruszeniach prawa dotyczącej danej osoby,
– dane na szeroką skalę lub w szerokim zakresie;
– przetwarzanie nie ma charakteru sporadycznego.
Z uwagi na to, że w Centrum Sportu i Rekreacji w Świeciu przetwarzanie danych osobowych nie ma charakteru sporadycznego, administrator podjął decyzję o prowadzeniu rejestru czynności przetwarzania. Załącznik nr 1 do PB.
W celu bieżącej aktualizacji Rejestru Czynności Przetwarzania raz na 6 miesięcy pracownicy CS i R informują Kierownika Centrum Sportu i Rekreacji w Świeciu, czy w tym czasie doszły jakieś nowe kategorie przetwarzania danych osobowych.
W sytuacji kiedy Centrum Sportu i Rekreacji w Świeciu będzie przetwarzało dane osobowe jako podmiot przetwarzający (nastąpi powierzenie danych osobowych), wówczas wprowadzony zostanie obowiązek prowadzenia rejestru kategorii czynności przetwarzania– art. 30 ust 2 RODO.
Rozdział IV
Kompetencje oraz zakres obowiązków osób funkcyjnych
Administrator – Kierownik Centrum Sportu i Rekreacji w Świeciu odpowiada za bezpieczne przetwarzanie danych osobowych, a w szczególności wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem. Wyznacza cele i zakres oraz określa ryzyko naruszenia praw lub wolności osób fizycznych.
W Centrum Sportu i Rekreacji w Świeciu administrator wyznaczył niżej wymienione osoby funkcyjne, które mają przydzielone zadania z zakresu przetwarzania danych osobowych.
Inspektor Ochrony Danych:
- informuje administratora oraz pracowników CS i R, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i doradza im w tej sprawie;
- monitoruje przestrzeganie RODO, innych przepisów o ochronie danych osobowych oraz niniejszej polityki bezpieczeństwa i instrukcji bezpieczeństwa systemu TI;
- prowadzi szkolenia osób przeprowadzających operacje przetwarzania;
- prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych;
- prowadzi rejestry zbiorów oraz rejestry czynności przetwarzania;
- w przypadku incydentu naruszenia ochrony danych, bierze czynny udział w wyjaśnieniu wszystkich okoliczności zdarzenia;
- udziela niezbędnych informacji co do skutków dla ochrony danych podczas analiz ryzyka oraz monitoruje wykonanie zaleceń wynikających z oceny ich szacowania;
- prowadzi okresowe kontrole stanu przestrzegania przepisów związanych z ochroną danych osobowych i sporządza z tych czynności sprawozdania;
- pełnieni funkcję punktu kontaktowego w sprawach dotyczących przetwarzania danych osobowych w Centrum Sportu i Rekreacji w Świeciu.
Administrator Systemu Informatycznego (informatyk zatrudniony na umowę zlecenie):
- nadzoruje poprawności działania systemu TI w Centrum Sportu i Rekreacji w Świeciu;
- wdraża procedury bezpieczeństwa oraz prowadzi nadzór nad nimi;
- wdraża procedury ochrony antywirusowej i nadzoruje profilaktykę antywirusową;
- przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe i chronione;
- informuje Administratora oraz Inspektora Ochrony Danych o stwierdzonych naruszeniach bezpieczeństwa systemu teleinformatycznego oraz wykrytych wirusach;
- na polecenie kierownika podlegającego administratorowi danych, zakłada konta i przydziela hasła kolejnym użytkownikom, którzy będą przetwarzali dane osobowe;
- doradza użytkownikom systemu komputerowego w zakresie bezpieczeństwa;
- uczestniczy w procesach szacowania ryzyka.
Rozdział V
Środki techniczne i organizacyjne do zabezpieczenia danych osobowych
- Struktura organizacyjna bezpieczeństwa ochrony danych osobowych.
ADMINISTRATOR DANYCH OSOBOWYCH – > INSPEKTOR OCHRONY DANYCH /IOD/ – > ADMINISTRATOR SYSTEMU INFORMATYCZNEGO /ASI/
Administrator danych osobowych decyduje o celach i środkach przetwarzania danych osobowych i jest odpowiedzialny za całościowy proces wdrożenia odpowiednich środków technicznych i organizacyjnych, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. W szczególności środki te powinny zapewnić, by dane osobowe nie były udostępnione bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
W Centrum Sportu i Rekreacji w Świeciu stosowane są niżej wymienione środki techniczne i organizacyjne, które mają na celu chronić prawa osób, których dane dotyczą.
- Bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym.
System ten jest oparty na zasadzie, że każdy pracownik, który będzie przetwarzał dane osobowe, otrzymuje upoważnienie od kierownika jednostki organizacyjnej i wówczas może przystąpić do pracy w systemie informatycznym. Przed rozpoczęciem pracy zostaje przeszkolony przez Inspektora Ochrony Danych oraz ASI, a następnie informatyk przydziela mu sprzęt komputerowy oraz zakłada indywidualne hasło. Przyjęto zasadę, że hasło dla pracownika Centrum Sportu i Rekreacji w Świeciu, który będzie przetwarzał dane osobowe musi być zmieniane co 90 dni i składa się minimum z 8 znaków.
Szczegółowe wymagania dotyczące sposobu zabezpieczeń systemu informatycznego, szkoleń, reagowania na incydenty opisano w rozdziale VII.
- Upoważnienia do przetwarzania danych osobowych.
Dostęp do czynności związanych z przetwarzaniem danych osobowych pracownik otrzymuje na podstawie upoważnienia podpisanego przez administratora danych. Dokument ten wydany jest w dwóch egzemplarzach z których jeden przekazany zostaje do akt personalnych, a drugi otrzymuje osoba upoważniona. Administrator danych prowadzi rejestr wydanych upoważnień w którym także odnotowuje datę ustania takiego upoważnienia.
Upoważnienie może zawierać ograniczenie zakresu przetwarzania i zezwalać pracownikowi na:
- odczyt danych,
- zbieranie danych,
- wprowadzanie danych,
- usuwanie danych,
- zmiana danych,
- udostępnianie danych,
- przechowywanie danych,
- przesyłanie danych.
W upoważnieniu można użyć sformułowanie „pełny zakres” w przypadku, gdy upoważniona osoba wykonuje wszystkie ww. czynności związane z danymi osobowymi. Wzór upoważnienia stanowi załącznik nr 2.
Przed wydaniem upoważnienia oraz przed przystąpieniem do pracy z którą wiąże się przetwarzanie danych osobowych, pracownik musi wziąć udział w szkoleniu, które przeprowadza Inspektor Ochrony Danych. Na okoliczność przeprowadzonego szkolenia IOD wystawia odpowiednie zaświadczenie stwierdzające udział osoby w tym szkoleniu.
Upoważnienie wygasa w przypadku:
- ustania stosunku pracy,
- zakończenia wykonywania prac określonych umową zlecenia/umową o dzieło,
- zakończenia kontraktu z kontrahentem zewnętrznym,
- zmianą stanowiska służbowego,
- zaistnienia sytuacji (zgodnie z zasadą „wiedzy koniecznej”), gdy pracownik nie potrzebuje już dostępu do konkretnego zbioru danych, aby świadczyć stosunek pracy.
- Ochrona fizyczna pomieszczeń, w których przetwarzane są dane osobowe.
Obszar, w którym przetwarzane są dane osobowe przez Centrum Sportu i Rekreacji w Świeciu stanowią 3 pomieszczenia biurowe w budynku biurowym Klubu Sportowego Wda Świecie.
Pomieszczenia w których przetwarzane są dane osobowe zamykane są drzwiami pełnymi, wyposażonymi w zamek mechaniczny. Po godzinach pracy obiekt zabezpieczony jest monitoringiem.
Dokumenty oraz elektroniczne nośniki informacji zawierające dane osobowe przechowywane są w szafach biurowych. Po zakończeniu pracy każda z szaf musi zostać zamknięta na klucz, a klucze, użytkownicy przechowują w miejscach niewidocznych dla innych osób.
- Bezpieczeństwo ochrony danych podczas ich przetwarzania przez upoważnionych pracowników.
Niezwykle ważne dla bezpieczeństwa danych osobowych jest wyrobienie przez każdego upoważnionego użytkownika nawyków, które w dużym stopniu zabezpieczą je przed ich utratą lub niepowołanym dostępem. Do podstawowych zasad należą:
- zasada „czystego biurka” – w trakcie pracy użytkownik powinien mieć na biurku tylko te materiały, które rzeczywiście są mu niezbędne do wykonywania danego zadania. W przypadku chwilowego opuszczenia stanowiska, materiały zawierające dane osobowe powinny być zabezpieczone przed dostępem do nich osób nieuprawnionych;
- zasada „czystego ekranu” – jeżeli sprzęt komputerowy nie ma możliwości zainstalowania wygaszacza ekranu, użytkownik przed chwilowym opuszczeniem miejsca pracy zobowiązany jest do wylogowania się z programu;
- sprzęt komputerowy powinien być ustawione w taki sposób, ażeby uniemożliwiać interesantom wgląd w ich ekran;
- niszczenie błędnych lub zbędnych wydruków oraz informatycznych nośników informacji, które zawierają dane osobowe w niszczarkach;
- po zakończeniu pracy zamykanie w szafach biurowych dokumentów zawierających dane osobowe oraz informatyczne nośniki informacji;
- nieudzielanie informacji przez telefon osobom, których nie znamy;
- zamykanie pomieszczeń biurowych podczas chwilowych wyjść.
- Zabezpieczenie przed nieautoryzowanym dostępem do baz danych.
Podłączenie urządzenia końcowego (komputer, terminal, drukarka, itp.) do sieci komputerowej, dokonywane jest przez Administratora Systemu Informatycznego lub wyznaczoną przez niego osobę. Udostępnianie użytkownikom zasobów sieci (programów i baz danych osobowych) realizowane jest przez Administratora Systemu Informatycznego na podstawie upoważnienia do przetwarzania danych osobowych podpisanego przez Administratora Danych Osobowych. Identyfikacja użytkownika w systemie następuje poprzez zastosowanie indywidualnego identyfikatora i hasła dostępu. System informatyczny zabezpieczony jest programem antywirusowym z zaporą antywłamaniową. Ustawienie monitorów stanowisk przetwarzania danych osobowych powinny być tak zorganizowane, ażeby uniemożliwić wgląd w dane wyświetlane na monitorze osobom nieupoważnionym.
Drukowanie dokumentów odbywa się na drukarkach znajdujących się w pomieszczeniach służbowych pod nadzorem wytwórców dokumentu. Nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarce przez wytwórcę dokumentu.
- Przetwarzanie danych osobowych w zbiorach papierowych.
- 1. Dostęp do danych osobowych
- a) Przetwarzanie danych osobowych dozwolone jest jedynie w ramach zbiorów zawartych „Rejestrze czynności przetwarzania” będącym załącznikami do Procedur bezpieczeństwa przetwarzania danych osobowych.
- b) Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez Administratora Danych.
- c) Procedury wydania upoważnienia są identyczne jak w przypadku zbiorów przetwarzanych w formie elektronicznej.
- d) Pomieszczenia, w których przetwarza się dane osobowe są zabezpieczone przed dostępem osób nieuprawnionych. Szafy, meble biurowe oraz drzwi wejściowe do pomieszczeń są zamykane na klucz.
- 2. Procedury rozpoczęcia i zakończenia pracy
- a) Przed rozpoczęciem pracy na dokumentach w formie papierowej zawierających dane osobowe, przetwarzająca je osoba ma obowiązek upewnić się czy były próby nieuprawnionego dostępu do danych osobowych zawartych w dokumentach.
- b) W przypadku krótkotrwałego opuszczenia miejsca pracy użytkownik jest zobowiązany do ich zabezpieczenia przed dostępem osób nieuprawnionych.
- c) Po zakończeniu pracy dokumenty zawierające dane osobowe, należy zabezpieczyć przed dostępem osób nieuprawnionych w meblach biurowych zamykanych na klucz.
- d) Dokumenty wykonane wadliwie należy zniszczyć w niszczarce lub zabezpieczyć do czasu ich zniszczenia. Odpowiedzialnym za to jest wytwórca dokumentu.
- e) Dane osobowe mogą być przetwarzane w warunkach, w których możliwe jest zachowanie podstawowych atrybutów bezpieczeństwa tj.: poufności, integralności, dostępności i rozliczalności.
- f) W przypadku ujawnienia, utraty lub podejrzenia ujawnienia bądź utraty danych osobowych, użytkownik natychmiast powiadamia Inspektora Ochrony Danych oraz bezpośredniego przełożonego.
- g) Ewidencja, obieg i archiwizacja dokumentów zawierających dane osobowe odbywa się zgodnie z wytycznymi do rejestrowania i przechowywania dokumentów wydanymi przez administratora danych.
- Zarządzanie bezpieczeństwem komputerów, sieci i danych.
Celem zarządzania bezpieczeństwem systemu informatycznego w Centrum Sportu i Rekreacji w Świeciu jest zapobieganie utracie danych, uszkodzeniu i zakłóceniu pracy systemu poprzez zapewnienie:
- a) bezpieczeństwa sprzętu:
– uniemożliwienie osobom innym niż użytkownicy dostępu do sprzętu;
– stosowanie w urządzeniach komputerowych zasilania bezprzerwowego;
- b) procedur postępowania w przypadku incydentu naruszającego bezpieczeństwo, które uwzględnią:
– informowanie o zagrożeniach;
– planowane przeciwdziałania (plany awaryjne, zbieranie informacji o incydentach).
- c) podziału pomiędzy użytkowników systemów obowiązków i uprawnień do:
– korzystania z systemu;
– wprowadzania danych;
– administrowania systemem i stacjami roboczymi;
– nadzorowania bezpieczeństwa.
- d) ochrony przed „złośliwym” oprogramowaniem przez:
– stosowanie wyłącznie licencjonowanego oprogramowania;
– ciągłą ochronę stacji roboczych;
– automatyczne skanowanie nośników danych przed ich uruchomieniem.
- e) zabezpieczenia danych – przez umieszczenie sprzętu i zewnętrznych nośników danych w tym kopii bezpieczeństwa w strefie ograniczonego lub wyłącznego dostępu, bieżące wykonywanie kopii bezpieczeństwa.
- f) niszczenia nośników danych – w sposób uniemożliwiający odczytanie danych.
- g) możliwości korzystania ze sprzętu przenośnego po godzinach pracy – w Centrum Sportu i Rekreacji w Świeciu korzystanie ze sprzętu przenośnego (laptopy) po godzinach pracy może się odbyć wyłącznie za wiedzą i zgodą administratora danych. Komputer taki przed procesem przetwarzania musi zostać zabezpieczony hasłem co najmniej 8 znakowym i poddany ocenie bezpieczeństwa przez ASI.
- Opis zdarzeń naruszających ochronę danych osobowych.
- Podział zagrożeń:
- a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) – ich wystąpienie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu. Ciągłość pracy systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych;
- b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów lub administratora, awarie sprzętu, błędy oprogramowania) – może dojść do zniszczenia danych i zakłócenia ciągłości pracy systemu. Może nastąpić naruszenie poufności danych;
- c) zagrożenia zamierzone (świadome i celowe naruszenie poufności danych) – zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy. Zagrożenia te można podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu.
- Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to przede wszystkim:
- a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej);
- b) niewłaściwe parametry środowiska (np. nadmierna wilgotność, wysoka temperatura, oddziaływanie pola elektromagnetycznego);
- c) awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru;
- d) pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu;
- e) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenie systemu lub inną nadzwyczajną modyfikację w systemie;
- f) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie;
- g) modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia;
- h) niedopuszczalna manipulacja danymi osobowymi w systemie;
- i) ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą prawnie chronioną, procedur ochrony przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń;
- j) praca w systemie informatycznym, wskazująca na nieprzypadkowe odstępstwo od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych (np. praca przy komputerze osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu);
- k) ujawnienie istnienia nieautoryzowanych kont dostępu lub tzw. „bocznej furtki”;
- l) podmienienie albo zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie w sposób niedozwolony danych osobowych;
- m) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce lub na ksero, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii bezpieczeństwa, praca na danych osobowych w celach prywatnych, itp.).
- 3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsca przechowywania danych osobowych, znajdujących się na dyskach twardych, pendrivach, płytach CD/DVD, kartach pamięci oraz wydrukach komputerowych, w formie niezabezpieczonej (otwarte szafy, biurka, pomieszczenia itp.).
- W przypadku stwierdzenia naruszenia ochrony danych osobowych stosuje się instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych.
- Obowiązek informacyjny administratora danych.
Zgodnie z art. 13 ust 1 RODO, jeżeli dane osobowe zbierane są od osoby, której dane dotyczą, administrator zobowiązany jest podać jej następujące informacje:
- swoją tożsamość i dane kontaktowe,
- dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie),
- cele przetwarzania danych oraz podstawę prawną,
- podstawa prawna pozwalająca administratorowi przetwarzać dane osobowe,
- informacje o odbiorcach,
- gdy ma to zastosowanie – informacje o odbiorcach, przekazaniu do państwa trzeciego, o zabezpieczeniach i miejscu udostępnienia danych.
Poza tymi informacjami, podczas pozyskiwania danych, administrator podaje osobie, której dane dotyczą, następujące informacje:
- okres przez który dane będą przechowywane, a gdy nie jest to możliwe kryteria ustalenia tego okresu;
- informacje o prawie do żądania do dostępu do tych danych,
- prawie do cofnięcia zgody (jeżeli przetwarzanie odbywa się na podstawie art.6 ust 1lit.a lub art.9 ust2. Lit. a);
- informacje o prawie wniesienia skargi;
- informacje o profilowaniu itp.
W Centrum Sportu i Rekreacji w Świeciu obowiązek ten został spełniony poprzez umieszczenia powyższych informacji na stronie internetowej, w pokojach, w których będą przetwarzane dane osób fizycznych oraz w regulaminach organizowanych przez centrum imprez.
Rozdział VI
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
- Niniejsza instrukcja określa tryb postępowania w sytuacji naruszenia zasad ochrony danych osobowych przetwarzanych w Centrum Sportu i Rekreacji w Świeciu. Instrukcję stosuje się w przypadku stwierdzenia naruszenia zabezpieczeń sprzętu informatycznego, sieci komputerowej lub zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe bez względu na formę przetwarzania.
- Każda osoba zatrudniona przy przetwarzaniu danych osobowych w Centrum Sportu i Rekreacji w Świeciu, która stwierdzi lub podejrzewa naruszenie danych osobowych zobowiązana jest do niezwłocznego poinformowania o tym Inspektora Ochrony Danych lub administratora (Kierownika Centrum).
- Do czasu przybycia Inspektora Ochrony Danych lub administratora na miejsce naruszenia ochrony danych osobowych, należy:
1) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców;
2) rozważyć wstrzymanie bieżącej pracy na komputerze w celu zabezpieczenia miejsca zdarzenia;
3) zaniechać, o ile to możliwe, dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie okoliczności zdarzenia i ich analizę;
4) podjęcie innych działań, określonych w instrukcjach technicznych stosownie do objawów i komunikatów towarzyszących naruszeniu;
5) podjęcie stosownych działań, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego, dokumentacji bazy danych albo aplikacji użytkowej lub
zastosowanie się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku;
7) udokumentowanie wstępne zaistniałego naruszenia;
8) nieopuszczanie bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Inspektora Ochrony Danych lub administratora.
Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, Inspektor Ochrony Danych lub Administrator Systemu Informatycznego:
1) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy ośrodka;
2) może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem;
3) jeżeli zasoby systemu na to pozwalają, generuje i drukuje wszystkie raporty, które mogą pomóc w ustaleniu wszystkich okoliczności zdarzenia;
4) podejmuje odpowiednie kroki w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych:
a/ fizycznie odłącza urządzenia i segmenty sieci, które mogłyby umożliwić dostęp do bazy danych osobie niepowołanej,
b/ wylogowuje z systemu użytkownika podejrzanego o naruszenie ochrony danych,
c/ zmienia hasła konta administratora i użytkownika, poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu;
5) rozważa celowość i potrzebę powiadomienia o zaistniałym naruszenia Administratora Danych Osobowych.
- Inspektora Ochrony Danych dokumentuje zaistniały przypadek naruszenia ochrony danych oraz sporządza raport, który powinien zawierać w szczególności:
1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazać kategorię i przybliżoną liczbę osób, których dane dotyczą, oraz kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2) określenie czasu i miejsca naruszenia i powiadomienia,
3) określenie okoliczności towarzyszących i rodzaju naruszenia,
4) wyszczególnienie wziętych faktycznie pod uwagę przesłanek do wyboru metody postępowania i opis podjętego działania,
5) wstępną ocenę przyczyny wystąpienia naruszenia,
6) opis zastosowanych środków bezpieczeństwa,
6) ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego.
- Raport, o którym mowa w pkt. 6 Inspektora Ochrony Danych przekazuje Administratorowi Danych Osobowych niezwłocznie po opracowaniu.
(Wzór raportu stanowi załącznik nr 4).
- W przypadku naruszenia ochrony danych osobowych administrator wraz z IOD w terminie nie dłuższym niż 72 godziny po stwierdzeniu naruszenia – zgłaszają zaistniały incydent Prezesowi Urzędu Ochrony Danych Osobowych.
(Wzór zgłoszenia znajduje się na stronie internetowej UODO).
- Po przywróceniu normalnego stanu bazy danych osobowych, należy przeprowadzić szczegółową analizę zdarzenia w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych przypadków w przyszłości.
- W celu uniknięcia w przyszłości przypadków naruszenia ochrony danych osobowych, administrator dokumentuje wszelkie zdarzenia z tym związane i prowadzi ich rejestr, ażeby w przyszłości można było weryfikować przestrzeganie art. 33 RODO. Rejestr naruszeń przedstawia załącznik nr 6.
Kolejnym niezbędnym krokiem będzie przeprowadzenie analizy ryzyka i oceny skutków zdarzenia, która zostaje przeprowadzona wg. wytycznych i metody wskazanych w rozdziale VII.
Rozdział VII
Ocena skutków dla ochrony danych. Analiza ryzyka
Jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, należy przed rozpoczęciem przetwarzania dokonać oceny skutków planowanych operacji dla ochrony danych osobowych. Podobną analizę i ocenę skutków należy przeprowadzić po ujawnieniu incydentu związanego z naruszeniem przepisów związanych z ochroną danych osobowych lub w przypadku wprowadzenia nowych planowanych operacji, które będą wiązały się z dużym ryzykiem.
„Ryzyko” jest scenariuszem zdarzenia i jego konsekwencji, oszacowanym pod względem powagi i prawdopodobieństwem ryzyka. „Zarządzanie ryzykiem” można natomiast zdefiniować jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka.
Zgodnie z obowiązującymi obecnie przepisami przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe w przypadku każdej operacji przetwarzania. Przeprowadzenie takiej oceny wymaga się natomiast wyłącznie w przypadku, gdy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Należy jednak stwierdzić, że sam fakt niespełnienia przez administratora warunków nakładających obowiązek przeprowadzenia oceny skutków dla ochrony danych nie zmniejsza jednak ogólnego obowiązku wdrożenia przez niego środków uniemożliwiających odpowiednie zarządzanie ryzykiem naruszenia prawa i wolności osób, których dane dotyczą. W praktyce oznacza to, że musimy stale oceniać ryzyko powodowane przez czynności przetwarzania w celu określenia, kiedy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób”.
Art. 35 ust. 3 RODO określa trzy przykłady, podczas których operacje przetwarzania mogą powodować wysokie ryzyko. Jednakże podczas przetwarzania danych osobowych mogą wystąpić również inne sytuacje, które „spowodują wysokie ryzyko”, a należą do nich następujące przypadki”.
- Profilowanie, prognozowanie, różnego rodzaje oceny i punktacje.
- Automatyczne podejmowanie decyzji o skutkach prawnych lub podobnie znaczącym skutku. Przykładowo przetwarzanie może prowadzić do wykluczenia lub dyskryminacji osób fizycznych.
- Systematyczne monitorowanie. Należy rozumieć wykorzystywane do obserwacji, monitorowania lub kontrolowania osób. Których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub w ramach „systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.
- Dane wrażliwe lub dane o charakterze wysoce osobistym. Mamy tu na myśli kategorie osób określonych w art. 9 i art.10 RODO, a także kryteria te mogą obejmować dane takie jak dokumenty osobiste, wiadomości e-mail, pamiętniki oraz dane zawarte w aplikacjach rejestrujących codzienną aktywność.
- Dane przetwarzane na dużą skalę. RODO stoi na stanowisku, że przy ustalaniu, czy przetwarzanie danych odbywa się na dużą skalę, należy wziąć pod uwagę następujące czynniki:
– liczbę osób, których dane dotyczą- wyrażoną jako konkretna wartość;
– ilość danych lub zakres pozycji przetwarzania;
– czas trwania lub trwałość czynności przetwarzania danych;
– zakres lokalny czynności przetwarzani.
- Dane dotyczące osób wymagających szczególnej opieki. Do osób takich można zaliczyć dzieci, niektórych pracowników, chorych psychicznie, osoby starsze oraz każdą sytuację gdy można stwierdzić brak równowagi między stanowiskiem osoby, której dane dotyczą, a stanowiskiem administratora.
- Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych. Odciski palca, twarz i inne dane wizerunkowe które poprawiają fizyczną kontrolę dostępu.
- Dopasowywanie lub łączenie zbiorów danych. Są to czynności pochodzące z dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza oczekiwania osób, których dane dotyczą.
- Gdy samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy”. Np. sprawdzanie przez bank swoich klientów w bazie danych.
Przed przystąpieniem do operacji związanych z przetwarzaniem danych osobowych oraz w trakcie ich przetwarzania, administrator wraz z Inspektorem Ochrony Danych może podjąć decyzje o przeprowadzeniu oceny skutków dla ochrony danych.
Rozdział VIII
Instrukcja przetwarzania danych osobowych w systemach informatycznych
- Procedury nadawania i cofania uprawnień do przetwarzania danych osobowych.
- Nawiązanie stosunku pracy oraz wyznaczenie osoby na stanowisko związane z przetwarzaniem danych osobowych w Centrum Sportu i Rekreacji w Świeciu wiąże się z nadaniem uprawnień do przetwarzania danych osobowych w systemie informatycznym. W takiej sytuacji Kierownik przekazuje ustne polecenie Inspektorowi Ochrony Danych o dopuszczeniu osoby do przetwarzania danych osobowych w Centrum Sportu i Rekreacji w Świeciu.
Pracownik przechodzi szkolenie z ochrony danych osobowych oraz obsługi systemu informatycznego. CSiR korzysta z usług informatycznych podmiotu zewnętrznego, jednakże osoba ta nie posiada dostępu do danych osobowych przetwarzanych przez Centrum Sportu i Rekreacji w Świeciu.
- Na podstawie decyzji Kierownika Centrum może nastąpić zamknięcie czy modyfikacja uprawnień pracownika. Podobnie jak w przypadku nadania uprawnień, informacja zostaje przekazana ustnie IOD i ten w porozumieniu z informatykiem podmiotu zewnętrznego przeprowadza czynności związana z zamknięciem dostępu pracownika do danych osobowych lub modyfikacji jego uprawnień.
- Przetwarzanie danych osobowych w systemach Centrum Sportu i Rekreacji w Świeciu może dokonywać wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych wydane przez kierownika jednostki organizacyjnej.
- Upoważnienie jest podstawą do założenia konta użytkownikowi i udzielenia dostępu do danych osobowych będących w dyspozycji Centrum.
- Aktualne upoważnienia do przetwarzania danych osobowych przechowuje administrator.
- Zamknięcie konta następuje po utracie ważności upoważnienia, zakończeniu zatrudnienia użytkownika na stanowisku związanym z dostępem do systemu bądź na polecenie Administratora Danych Osobowych.
- Na polecenie Administratora Danych Osobowych w każdej chwili w uzasadnionych sytuacjach szczególnych, konto użytkownika może zostać zablokowane przez Administratora Systemu Informatycznego.
- 2. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym
- Rozpoczęcie pracy:
- a) przed rozpoczęciem pracy na komputerze (stanowisku dostępowym) użytkownik systemu ma obowiązek sprawdzić czy wyposażenie techniczne stanowiska jest kompletne i nie nosi śladów fizycznej ingerencji w przetwarzane dane bądź użytkowane narzędzia programowe lub sprzętowe. W przypadku stwierdzenia nieprawidłowości należy powiadomić IOD.
- b) należy upewnić się, że osoby nieuprawnione nie mają wglądu w ekran monitora. Jeżeli jest taka sytuacja to należy postarać się ustawić w taki sposób sprzęt, ażeby nikt z osób postronnych nie miał możliwości patrzenia w ekran.
- c) po włączeniu zasilania urządzeń należy kontrolować proces uruchamiania systemu (obserwować komunikaty na ekranie monitora) i w razie stwierdzenia nieprawidłowości (nietypowe komunikaty, zawieszenia systemu, brak możliwości zalogowania itp.) powiadomić niezwłocznie Administratora Systemu Informatycznego.
- d) zweryfikować stan programu antywirusowego, a w szczególności, czy jest uruchomiony i posiada aktualne bazy sygnatur wirusów. Podczas pracy systemu należy zwracać uwagę na sygnały ostrzegawcze programu antywirusowego.
- e) po uruchomieniu systemu zalogować się, wpisując swój identyfikator (login) i hasło dostępu w sposób uniemożliwiający osobom przebywającym w pomieszczeniu obserwacje klawiatury.
- f) w przypadku krótkotrwałego opuszczenia stanowiska pracy, użytkownik systemu obowiązany jest uaktywnić wygaszasz ekranu zabezpieczony hasłem lub w inny sposób zablokować stację roboczą. Wygaszasz ekranowy dostępny w systemie operacyjnym i/lub w używanym programie powinien być skonfigurowany tak, aby ekran komputera przetwarzającego dane osobowe był automatycznie blokowany po upływie 10 minut czasu nieaktywności użytkownika.
- g) w razie konieczności dłuższego opuszczenia miejsca pracy użytkownik zobowiązany jest do wylogowania się z systemu i zabezpieczenia nośników oraz dokumentów zawierających dane osobowe.
2. Zakończenie pracy:
- a) przed wylogowaniem użytkownik ma obowiązek sprawdzić, czy nie ma pozostawionych zadań do wydrukowania zarówno w pamięci komputera jak i drukarki.
- b) po zakończeniu pracy przy przetwarzaniu danych osobowych użytkownik systemu zobowiązany jest prawidłowo wylogować się z systemu, wyłączyć komputer i zabezpieczyć stanowisko przed dostępem osób nieuprawnionych.
- c) szczególną uwagę należy zwracać na właściwe zabezpieczenie nośników elektronicznych i wydruków zawierających dane osobowe po zakończeniu pracy, poprzez włożenie ich do szaf metalowych lub mebli biurowych zamykanych na klucz.
- d) zaleca się po zakończeniu pracy stosowanie polityki tzw. „czystego biurka”.
- e) wydruki wadliwe należy zniszczyć po zakończeniu pracy w niszczarce dokumentów bądź zabezpieczyć przed dostępem osób nieuprawnionych do czasu zniszczenia.
- Zabrania się:
- a) wyłączania systemu w sytuacji, kiedy użytkownik zauważy nietypowe lub niezrozumiałe zachowanie systemu (komunikaty) – należy niezwłocznie powiadomić przełożonego lub IOD.
- b) kontynuowania pracy w systemie w sytuacji, kiedy oprogramowanie antywirusowe wykryje obecność wirusa – należy niezwłocznie zapisać pojawiające się komunikaty i powiadomić przełożonego lub IOD.
- c) ujawniania identyfikatora (loginu) lub hasła.
- d) opuszczania pomieszczenia bez zabezpieczenia dostępu do stanowiska (wylogowania lub włączenia zabezpieczonego hasłem wygaszacza ekranu).
- e) samowolnego uruchamiania i instalowania jakiegokolwiek oprogramowania, jeżeli nie jest to w zakresie obowiązków użytkownika.
- f) samowolnej zmiany ustawień konfiguracyjnych systemu informatycznego oraz przemieszczania urządzeń wchodzących w skład systemu.
- Tworzenie kopii zapasowych i ich przechowywanie.
Kopie baz danych oraz bezpieczeństwa systemu operacyjnego w Centrum Sportu i Rekreacji w Świeciu tworzy się na dyskach zewnętrznych.
Przechowywanie elektronicznych nośników informacji:
- a) za przechowywanie elektronicznych nośników informacji zawierających dane osobowe odpowiedzialny jest użytkownik tych nośników;
- b) po zakończeniu pracy elektroniczne nośniki informacji zabezpieczane są w szafach biurowych zamykanych na klucz;
- c) bez zgody Administratora Danych Osobowych zabrania się wynoszenia elektronicznych nośników informacji zawierających dane osobowe poza obszar chroniony jednostki organizacyjnej w której przetwarzane są dane osobowe.
- d) wykorzystane i nieprzydatne do dalszego użytkowania elektroniczne nośniki informacji podlegają zniszczeniu.
- Oprogramowanie
- 1. Instalacja oprogramowania.
Uprawnienia administracyjne do systemu operacyjnego umożliwiające instalowanie sprzętu i oprogramowania w Centrum Sportu i Rekreacji w Świeciu posiada wyłącznie administrator.
- Oprogramowanie ochronne.
W Centrum Sportu i Rekreacji w Świeciu dane osobowe przetwarzane są na 5 jednostkach komputerowych. Są one chronione aktualnym oprogramowaniem ochronnym (antywirusowe, zapory ogniowe, itp). Bieżąca aktualizacja oprogramowania ochronnego na stacjach pracujących w sieci LAN odbywa się automatycznie.
- Legalność oprogramowania.
IOD ma prawo kontrolowania legalność oprogramowania zainstalowanego na komputerach należących do Centrum Sportu i Rekreacji w Świeciu.
- Sposoby zabezpieczenia systemu informatycznego przed działaniem oprogramowania złośliwego:
- Nośniki informacji z oprogramowaniem używanym w systemie (system operacyjny, programy użytkowe, oprogramowanie narzędziowe, sterowniki oraz pliki z danymi) jak również nośniki informacji zawierające dane osobowe, podlegają procedurze kontroli na obecność wirusów, w szczególności oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
- Administrator Systemu Informatycznego odpowiedzialny jest za zainstalowanie programu antywirusowego i takie jego skonfigurowanie, aby uruchamiał się w trakcie startu systemu i pracował w tle (skanował system wykrywając ewentualne wirusy).
- Program antywirusowy poza wiedzą użytkownika uaktualnia się samoczynnie. Zadaniem Administratora Systemu Informatycznego jest wyrywkowe weryfikowanie czy aktualizacje wykonują się poprawne.
- Należy ograniczyć do niezbędnego minimum uprawnienia użytkowników do korzystania z zewnętrznych nośników informacji.
- Należy zachować szczególną ostrożność przy używaniu nośników (płyt CD, CD-RW, pendrive, karty pamięci itp.) pochodzących z zewnątrz i każdorazowo sprawdzając je na obecność szkodliwego oprogramowania przed użyciem w systemie.
- W przypadku stwierdzenia zawirusowania nośnika należy niezwłocznie powiadomić Administratora Systemu Informatycznego.
- Zabrania się samowolnego usuwania wirusów przez użytkowników systemu.
- Administrator Systemu Informatycznego podejmuje działania mające na celu uniemożliwienie lub ograniczenie powstania szkód w wyniku działania wirusa oraz zabezpiecza zawirusowany nośnik w celu zidentyfikowania wirusa oraz ustalenia źródła infekcji.
- Administrator Systemu Informatycznego podejmuje działania mające na celu uniemożliwienie w przyszłości zawirusowania systemu tą drogą.
- Administrator Systemu Informatycznego podejmuje kroki mające na celu wyjaśnienie źródła infekcji, a o wynikach informuje Administratora Danych Osobowych oraz IOD.
- Przeglądy i konserwacja systemów do przetwarzania danych. Postępowanie z nośnikami informacji w przypadku przyjęcia i przekazania danych do przetwarzania.
- Przeglądy i konserwację systemów do przetwarzania danych osobowych wykonuje się w celu zapewnienia ciągłej i bezawaryjnej pracy tych systemów.
- Zakres i częstotliwość wykonywania przeglądów oraz konserwacji systemów do przetwarzania danych osobowych określa instrukcja obsługi zainstalowanego sprzętu. W przypadku braku takich informacji zakres i częstotliwość obsługi określa Administrator Systemu Informatycznego.
- Wszelkie prace konserwacyjne i naprawcze w miejscu zainstalowania sprzętu mogą być wykonywane jedynie przez ASI, pod jego nadzorem lub pod nadzorem osoby upoważnionej przez ASI.
- Prace dotyczące przeglądów, konserwacji i napraw wymagające zaangażowania autoryzowanych firm zewnętrznych, są wykonywane przez uprawnionych przedstawicieli tych firm (serwisantów) pod nadzorem ASI lub pod nadzorem osoby upoważnionej przez ASI, bez możliwości dostępu do danych osobowych.
- Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed oddaniem do naprawy zapisu danych osobowych lub naprawia się je pod nadzorem ASI lub osoby upoważnionej przez ASI.
- Jeżeli to możliwe przed przekazaniem sprzętu komputerowego do naprawy lub magazynu ASI demontuje nośniki informacji i przechowuje je, w sposób uniemożliwiający dostęp osób nieupoważnionych.
- Sprzęt do naprawy przekazuje ASI lub osoba upoważniona przez ASI, na podstawie protokołu przekazania sprzętu.
- W przypadku awarii nośnika informacji (dysku twardego) ASI wycofuje go z eksploatacji i przechowuje, aż do chwili komisyjnego fizycznego zniszczenia.
- Zużyte lub uszkodzone nośniki o ile jest to technicznie możliwe muszą zostać poddane procedurze trwałego usunięcia danych przez użycie specjalistycznego oprogramowania narzędziowego do trwałego niszczenia danych lub fizycznie zniszczone w sposób uniemożliwiający odczyt danych z nośnika. ASI w obecności komisji nadzorującej niszczenie nośników przygotowuje stosowny raport z przeprowadzonych czynności. Z zachowaniem powyższych wymogów zniszczenie nośników można zlecić podmiotowi zewnętrznemu posiadającemu wymagane uprawnienia.
- Po odebraniu sprzętu z serwisu lub jego wymiany ASI lub osoba upoważniona przez ASI, dokonuje jego szczegółowych oględzin i instaluje go w systemie.
- Dokonując zakupów sprzętu zawierającego nośniki danych należy zapewnić, by sprzedający w wypadku awarii nośnika w czasie gwarancji wymieniał nośnik na nowy bez konieczności zwrotu uszkodzonego nośnika.
- Nośniki zawierające dane systemu, dokumenty użytkowników oraz baz danych (twarde dyski, pamięci typu flash itp.) nie mogą być przekazywane innemu podmiotowi, chyba, że jest to podmiot uprawniony. Każde przekazanie lub otrzymanie nośników ASI wykonuje poprzez protokoły zdawczo-odbiorcze.
Zabrania się:
1) wynoszenia z pomieszczeń, gdzie zlokalizowano system przetwarzający dane osobowe wszelkich elementów, wchodzących w jego skład (zwłaszcza technicznych nośników informacji);
- samowolnej wymiany przez użytkownika jakiegokolwiek elementu składowego systemu;
- pozostawiania nośników informacji bez nadzoru;
- eksploatacji systemu alarmowego w przypadku nietypowego jego działania.
- Dostęp do sieci publicznej.
Dostęp do sieci publicznej w Centrum Sportu i Rekreacji w Świeciu odbywa wyłącznie za pośrednictwem zabezpieczonych urządzeń brzegowych (router, modem) na styku sieci zarządzanych przez Administratora Systemu Informatycznego. Korespondencja prywatna oraz transmisja danych prowadzona z wykorzystaniem sieci i sprzętu pracodawcy podlega restrykcjom i sankcjom służbowym. Ujawnione naruszenia bezpieczeństwa muszą zostać przekazane IOD i administratorowi danych osobowych.
7. Zasady korzystania z komputerów przenośnych oraz nośników informacji
- Komputery przenośne oraz nośniki informacji mogą być wykorzystywane poza obszarem Centrum Sportu i Rekreacji w Świeciu przez użytkowników posiadających pisemną zgodę Administratora Danych Osobowych. Dokumenty te przechowuje administrator.
- Komputery przenośne oraz nośniki informacji używane do przetwarzania danych osobowych poza obszarem jednostki organizacyjnej, muszą być zabezpieczone podczas transportu i przechowywania przed dostępem osób nieuprawnionych.
- Komputery przenośne użytkowane w Centrum Sportu i Rekreacji w Świeciu zabezpieczone muszą być 8 znakowym hasłem. Hasło podlega zmianie co 90 dni.
- Instrukcja posługiwania się wymiennymi nośnikami informacji.
Instrukcja określa zasady posługiwania się wymiennymi nośnikami danych. Ilekroć w instrukcji jest mowa o wymiennych nośnikach danych, należy prze to rozumieć: płyty CD/DVD, pendrive, dysk twardy zewnętrzny, telefon, aparat fotograficzny, karta SD oraz inne urządzenia, które po podłączeniu do komputera udostępniają pamięć do przechowywania danych.
- Zasady dotyczące nośników zawierających dane osobowe:
- w centrum dopuszcza się podłączenie nośników danych wyłącznie tych, które są własnością Centrum Sportu i Rekreacji w Świeciu;
- nośniki danych będące własnością centrum nie mogą być wynoszone poza obszar przetwarzania i nie mogą być używane na obcym sprzęcie (np. domowych komputerach pracowników lub komputerach należących do innych firm/instytucji itp.);
- użycie dysku zewnętrznego możliwe jest tylko po wyrażeniu zgody przez administratora danych;
- dopuszcza się podłączenie dysku wymiennego wyłącznie wtedy, gdy jest to niezbędne, wynika z potrzeby wypełnienia obowiązków służbowych oraz zostało uzgodnione z Administratorem danych;
- po podłączeniu dysku należy natychmiast przeprowadzić kontrolę antywirusową;
- kategorycznie zabrania się korzystania z nośników w przypadku, gdy:
– nieznane jest źródło jego pochodzenie,
– istnieje podejrzenie zawirusowania jego zawartości,
– wiąże się z łamaniem przepisów i regulaminów,
– nośnik nie jest własnością Centrum,
- g) nośnik zawierające dane osobowe przechowujemy w miejscach niedostępnych dla osób nieupoważnionych.
- W przypadku używania nośników zawierających dane osobowe obowiązują następujące środki ostrożności:
- wymienne nośnik z danymi osobowymi można użytkować wyłącznie w obszarze przetwarzania danych – teren Centrum,
- wymienne nośniki przechowuje się w miejscach bezpiecznych jak zamykane szafy, biurka, ograniczając dostęp do nich przez osoby nieupoważnione,
- w trakcie używania nośników należy zachować szczególną ostrożność, ażeby nie dopuścić do jego zagubienia lub udostępnienia osobom nieupoważnionym,
- wszelkie nośniki danych, na których są zapisane dane osobowe powinny być oznaczone i ujęte w ewidencji prowadzonej przez ASI,
- dopuszcza się zapisywanie danych osobowych wyłącznie na następujących nośnikach: dysk twardy zewnętrzny, pendrive, płyty CD/DVD.
- Zasady korzystania z Internetu.
Instrukcja określa zasady korzystania z Internetu. Ilekroć w instrukcji jest mowa o „korzystaniu z Internetu” należy przez to rozumieć: „korzystanie z jakichkolwiek programów wymagających połączenia internetowego, w tym zwłaszcza przeglądarek internetowych, gadu-gadu, skype, ftp, programów do obsługi poczty elektronicznej”.
Zasady ogólne:
- z Internetu można korzystać wyłącznie w związku z wypełnianiem obowiązków służbowych i tylko na stanowiskach wyznaczonych przez Administratora danych;
- użytkownik nie jest uprawniony do samodzielnego podłączania do Internetu innych stanowisk;
- przed rozpoczęciem korzystania z Internetu należy upewnić się, czy jest uruchomiony i aktualny program antywirusowy;
- użytkownik nie jest uprawniony do samodzielnego modyfikowania ustawień w oprogramowaniu antywirusowym;
- użytkownik nie jest uprawniony do samodzielnego modyfikowania ustawień połączeń sieciowych (adresów IP, adresów serwerów DNS, bramy itd.);
- użytkownik nie jest uprawniony do dokonywania zmian w ustawieniach przeglądarki internetowej i programu pocztowego w części dotyczącej zabezpieczeń;
- nie należy modyfikować żadnych innych ustawień systemowych.
- niedozwolone jest przesyłanie za pośrednictwem Internetu niezaszyfrowanych danych osobowych;
- nie należy pobierać, instalować, uruchamiać oprogramowania, ani też pobierać plików, w przypadku, gdy:
– nie zostało to uzgodnione z Administratorem danych i IOD,
– nie jest to związane z obowiązkami służbowymi,
– wiąże się to z łamaniem prawa (zakaz pobierania i instalowania nielegalnego oprogramowania),
– zmniejszałoby znacznie wydajność komputera,
– powodowałoby zmianę ustawień lub parametrów systemu, mających wpływ na pracę innych programów użytkowych lub systemu operacyjnego,
– źródło pochodzenia oraz sam program/plik budzi jakiekolwiek wątpliwości, co do zawartości czy bezpieczeństwa wewnętrznej sieci komputerowej albo bezpieczeństwa zbiorów danych,
10) w przypadku, gdy pobrane pliki okażą się nieprzydatne należy je usunąć.
11) nie należy korzystać z programów typu peer to peer (są to programy umożliwiające wymianę plików pomiędzy różnymi nieznanymi sobie użytkownikami; najczęściej są to nielegalne pliki lub zawierające wirusy).
12) w przypadku jakichkolwiek komunikatów o stanie zabezpieczeń systemu należy zaprzestać korzystania z internetu oraz powiadomić Administratora danych.
Zasady bezpieczeństwa podczas korzystania z poczty elektronicznej.
1) Obowiązuje zakaz otwierania załączników i klikania w linki (odnośniki) we wiadomościach pocztowych, które:
- a) pochodzą od nieznanych osób/firm/instytucji (należy weryfikować pochodzenie maila po adresie mailowym, a nie po nazwie nadawcy korespondencji),
- b) zawierają treść zachęcającą/prowokującą do kliknięcia w link lub załącznik, np.:
– „nie zapłaciłeś faktury…otwórz załącznik…”
– „nie odebrałeś paczki od kuriera …zobacz, gdzie jest Twoja paczka…”
– „włamano się na Twoje konto bankowe… kliknij tutaj…”
– „zaloguj się do swojego banku…”
– itp. itd.
- c) zawierają załącznik zabezpieczony hasłem, a hasło podane jest w mailu (jest to sposób na to, by programy antywirusowe pominęły skanowanie załącznika),
- d) zawierają treści napisane w obcym języku lub łamaną polszczyzną,
- e) zawierają treści, których nie potrzebujemy, w tym różnego rodzaju oferty, reklamy,
- f) zawierają treści niezwiązane z obowiązkami służbowymi.
W przypadku wątpliwości, otwarcie wiadomości należy skonsultować z Administratorem Bezpieczeństwa Informacji.
- Należy natychmiast usuwać (bez klikania w linki i załączniki) – wiadomości, które mają cechy opisane w w/w punktach od „1)” do „5)”.
- Bezpieczeństwo linków oraz załączników należy sprawdzić (przed ich otwarciem) oprogramowaniem antywirusowym oraz usługą sprawdzania złośliwego oprogramowania dostępnej pod adresem:
https://www.virustotal.com
– sprawdzanie plików – wybrać opcję „File”, następnie [Upload and scan file], wskazać plik do sprawdzenia (2x klik),
– sprawdzanie linków – wybrać opcję „URL”,
– następnie wpisać lub wkleić adres strony (link) i nacisnąć Enter.
- W przypadku, gdy program antywirusowy znajdzie zagrożenie we wiadomości, należy odłączyć komputer od internetu i niezwłocznie powiadomić Administratora danych, który podejmuje działania zabezpieczające i uniemożliwiające eskalację zagrożenia.
Zasady bezpieczeństwa podczas korzystania ze stron internetowych.
- Obowiązuje zakaz pobierania plików instalacyjnych służących do instalacji różnego rodzaju oprogramowania, filmów, muzyki i innych multimediów
- Pobieranie plików powinno być ograniczone wyłącznie do różnego rodzaju dokumentów (np. PDF, Word, Excel, OpenOffice)
- Obowiązuje zakaz uruchamiania gier i aplikacji internetowych.
- Zakaz odwiedzania stron oferujących rozrywkę.
- Zakaz odwiedzania stron w przypadku pojawienia się komunikatu informującego o jakimkolwiek zagrożeniu lub braku certyfikatu.
- W miarę możliwości należy korzystać tylko ze znanych serwisów internetowych – serwisy informacyjne (np. wp, onet itd.)., strony innych instytucji (np. strony ministerialne z końcówką „. gov.pl”, strony ośrodków, urzędów itp.), serwisy prawne (np. sejm.gov.pl, lex.pl). Należy w pierwszej kolejności korzystać z tych znanych stron, a potem, jeśli jest to naprawdę niezbędne, z tych mniej znanych, pamiętając o ryzyku. W tym przypadku należy bezwzględnie sprawdzić bezpieczeństwo stron wg. wytycznych zawartych w p. 7.
Uwaga – nawet na znanych serwisach internetowych (zwłaszcza komercyjnych) mogą znajdować się reklamy, które pośrednio mogą zaprowadzić użytkownika na inne, zagrożone strony.
- Bezpieczeństwo stron należy sprawdzić pod adresem: https://www.virustotal.com
– wybierając opcję „URL”, następnie wpisując lub wklejając adres strony i naciskając Enter.
W przypadku wykrycia jakiegokolwiek zagrożenia należy niezwłocznie odłączyć komputer od internetu i sieci komputerowej. Następnie należy powiadomić administratora danych, aby zapobiec eskalacji zagrożenia.
Postanowienia końcowe
- Każda osoba upoważniona do przetwarzania danych osobowych obowiązana jest zapoznać się z niniejszą „Procedurami Bezpieczeństwa Przetwarzania Danych Osobowych w Centrum Sportu i Rekreacji w Świeciu” przed rozpoczęciem pracy oraz złożyć stosowne oświadczenie dotyczące zapoznania się z jej treścią.
- Użytkownik nie przestrzegający zasad określonych w niniejszej Polityce Bezpieczeństwa ponosi odpowiedzialność dyscyplinarną.
- Wszelkie zmiany w polityce bezpieczeństwa, w tym uzupełnienie wykazu rejestru czynności przetwarzania rejestru kategorii czynności przetwarzania polegać będą na uzupełnieniu tych informacji, bez zmiany całego dokumentu