Co trzeba wiedzieć i zrobić przed 25 maja 2018
RODO odnośnie dokumentacji przetwarzania danych osobowych – poza rejestrem czynności przetwarzania danych osobowych – nie precyzuje innej dokumentacji, którą należy prowadzić. W przepisach są natomiast wskazane czynności, które należy dokumentować np. jakie dane są w posiadaniu administratora, jak były pozyskane, komu są udostępniane lub powierzane, oceny ryzyka, oceny skutków przetwarzania, jak są raportowane incydenty naruszenia ochrony danych osobowych, przekazywanie danych do państw trzecich. W opiniach ekspertów z tego tematu zaleca się dalsze prowadzenie dotychczasowej dokumentacji tj. polityki bezpieczeństwa przetwarzania danych osobowych, instrukcji zarządzania systemem informatycznym, w którym są przetwarzane dane osobowe, wykazu upoważnień do przetwarzania danych osobowych, indywidualnych upoważnień, itd. – po ich dostosowaniu do wymogów RODO.
Określając zakres, sposoby i operacje przetwarzania danych osobowych administrator danych osobowych musi wdrożyć w swojej organizacji – w celu ochrony całego procesu - odpowiednie i adekwatne dla niej środki techniczne i organizacyjne, biorąc pod uwagę:
-
stan wiedzy technicznej,
-
koszty wdrażania,
-
charakter, zakres i cele przetwarzania danych,
-
ryzyko naruszenia praw lub wolności osób fizycznych.
W przypadku kontroli organ nadzorczy /GIODO, a od 25 maja 2018 r. UODO/ będzie weryfikował jak administrator ochrony danych dba o realizację obowiązków wynikających z RODO. Sprawdzonym i najlepiej nadającym się do tego narzędziem, wykazującym podjęte działania jest „Polityki bezpieczeństwa przetwarzania danych osobowych w organizacji”.
Poniżej jest przedstawiony dość rozbudowany wzór Polityki bezpieczeństwa. Opracowując przedmiotowy dokument dla własnej organizacji należy wybrać te elementy i regulacje, które są niezbędne i dostosowane do jej specyfiki.
Wzór
Polityka bezpieczeństwa przetwarzania danych osobowych
w ………………….…………………………………….
Rozdział 1
Postanowienia ogólne
§ 1
Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką bezpieczeństwa” w …………………….., zwanej dalej „Organizacją”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
§ 2
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
-
Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
-
Ustawie z dnia ......... 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. ..../,
-
.............................
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§ 4
-
Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
-
Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
-
poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
-
integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
-
rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
-
integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
-
dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
-
zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 5
-
Administratorem danych osobowych przetwarzanych w ......................... jest ……………………………………...
-
Administrator danych osobowych powołał inspektora ochrony danych, zgodnie art. 37 RODO. Zadania inspektora ochrony danych zawarte są w art. 39 RODO. /*/
Rozdział 2
Definicje
§ 6
Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:
-
administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
-
inspektor ochrony danych – osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych,
-
ustawa – ustawa z dnia ........ 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. .......),
-
RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
-
dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
-
zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
-
przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
-
system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
-
system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
-
zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
-
administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
-
odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
-
strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
-
identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
-
hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Rozdział 3
Zakres stosowania
§ 7
-
W Organizacji przetwarzane są dane osobowe ………………………………………. / np. pracowników, pracowników młodocianych, kandydatów do pracy, klientów/ zebrane w zbiorach danych osobowych.
-
Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej. /*/
-
Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
-
Innymi dokumentami regulującymi ochronę danych osobowych w Organizacji są: /*/
1) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji,
2) ewidencja osób upoważnionych do przetwarzania danych osobowych,
3) rejestr czynności przetwarzania danych osobowych,
4) procedura postępowania w przypadku naruszenia ochrony danych osobowych,
5) ......................
§ 8
Politykę bezpieczeństwa stosuje się w szczególności do:
-
danych osobowych przetwarzanych w systemie: …………………………..(należy wskazać wszystkie systemy w których przetwarzane są dane osobowe np. Symfonia, Płatnik, Microsoft Office itp.),
-
wszystkich informacji dotyczących danych ………………………………………… /wymienić wszystkie podmioty, których dane są przetwarzane np. pracownicy, klienci, członkowie/,
-
odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia /np. biuro rachunkowe, specjalistyczna przychodnia lekarska/,
-
informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
-
rejestru osób trzecich /np. pracownicy/ mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych,
-
innych dokumentów zawierających dane osobowe.
§ 9
-
Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
-
wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
-
wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
-
wszystkich pracowników, stażystów, …………………………………. i innych osób mających dostęp do informacji podlegających ochronie.
-
Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, stażyści, ........................ oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.
Rozdział 4
Wykaz zbiorów danych osobowych
§ 10
1. Dane osobowe gromadzone są w zbiorach (należy wymienić wszystkie zbiory danych osobowych przetwarzane w Organizacji, podane poniżej nazwy zbiorów i ich podział są przykładowe):
-
Ewidencja osób upoważnionych do przetwarzania danych osobowych,
-
Akta osobowe pracowników,
-
Zbiory informacji o pracownikach, oświadczenia na potrzeby ZFŚS,
-
Ewidencja zwolnień lekarskich,
-
Skierowania na badania okresowe, specjalistyczne,
-
Ewidencja urlopów, czasu pracy, wyjść,
-
Kartoteki wydanej odzieży ochronnej i środków ochrony indywidualnej,
-
Rejestr delegacji służbowych,
-
Listy płac pracowników,
-
Deklaracje ubezpieczeniowe pracowników,
-
Deklaracje i kartoteki ZUS pracowników,
-
Deklaracje podatkowe pracowników,
-
Rejestr wypadków,
-
Umowy cywilno-prawne,
-
Umowy zawierane z kontrahentami,
-
Rejestr klientów,
-
Dokumenty archiwalne, /*/
-
……………………………………………………
-
……………………………………………………
§ 11
Zbiory danych osobowych wymienione w § 10 ust. 1 pkt …… podlegają przetwarzaniu w sposób tradycyjny, a zbiory określone w pkt ……..... gromadzone są i przetwarzane przy użyciu systemu informatycznego …………………………………………………………..
Rozdział 5
Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych
§ 12
1. Dane osobowe przetwarzane są w budynku, mieszczącym się w .......... przy ulicy .....................
1.
|
pomieszczenia, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń)
|
np. pokój nr 1, 2, 3, 4
sekretariat
|
2.
|
pomieszczenia, w których znajdują się komputery stanowiące element systemu informatycznego
|
np. pokój nr 1, 2
|
3.
|
Pomieszczenia, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe)
|
np. pokój nr 1, 2, 3
|
4.
|
pomieszczenia, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery)
|
np. pokój 3
|
5.
|
pomieszczenia archiwum
|
np. pokój 4
|
Rozdział 6 /*/
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
§ 13
Lp.
|
Zbiór danych
|
Dział/ jednostka organizacyjna
|
Program
|
Lokalizacja bazy danych
|
Miejsce przetwarzania danych
|
1.
|
|
|
|
|
|
2.
|
|
|
|
|
|
3.
|
|
|
|
|
|
4.
|
|
|
|
|
|
5.
|
|
|
|
|
|
6.
|
|
|
|
|
|
Rozdział 7 /*/
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych
§ 14
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w Organizacji przedstawia się w sposób następujący:
PRZYKŁAD
-
Program Kancelaryjny
-
Nazwa firmy,
-
Nr wpisu,
-
Imię,
-
Nazwisko,
-
Województwo,
-
Miejsce zamieszkania,
-
Miejscowość zamieszkania,
-
Adres do korespondencji,
-
Tel,
-
Fax,
-
e-mail,
-
Tel komórkowy,
-
Data wpisu,
-
Data urodzenia,
-
Numer legitymacji służbowej.
Rozdział 8 /*/
Sposób przepływu danych między poszczególnymi systemami, współpracy systemów informatycznych ze zbiorami danych
§ 15
Przepływ danych pomiędzy poszczególnymi systemami
Program 1
|
Przepływ
|
Program 2
|
Przepływ danych
|
Office
|
<->
|
……
|
brak
|
Office
|
<->
|
……
|
brak
|
Office
|
<->
|
……
|
brak
|
……
|
<->
|
……
|
brak
|
……
|
<->
|
……
|
brak
|
……
|
<->
|
……
|
brak
|
/Można zapisać te przepływy również w formie graficznej/
Rozdział 9
Środki organizacyjne i techniczne zabezpieczenia danych osobowych
§ 16
-
Zabezpieczenia organizacyjne
-
opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych,
-
sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji,
-
stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
-
opracowano i bieżąco prowadzi się rejestr czynności przetwarzania /*/
-
........... /wymienić inne dokumenty jeśli je wdrożono/
-
wyznaczono inspektora ochrony danych, /*/
-
do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną,
-
osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
-
osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
-
przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
-
przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
-
dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
-
Zabezpieczenia techniczne
-
wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą ……………..(proszę wskazać rozwiązania zapewniające bezpieczeństwo np. wykorzystanie urządzenia stanowiącego bramę DNS, FireWall itp.),
-
stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
-
komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,
-
Środki ochrony fizycznej:
-
obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem,
-
obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem,
-
urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
-
dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach.
Rozdział 10
Zadania administratora danych osobowych lub inspektora ochrony danych (jeśli został powołany)
§ 17
Do najważniejszych obowiązków administratora danych osobowych lub administratora bezpieczeństwa informacji należy:
-
organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
-
zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
-
przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
-
wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
-
prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
-
prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
-
nadzór nad bezpieczeństwem danych osobowych,
-
kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
-
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
Rozdział 11 /*/
Zadania administratora systemu informatycznego (o ile został powołany/zatrudniony np. informatyk)
§ 18
-
Administrator systemu informatycznego odpowiedzialny jest za:
-
bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
-
optymalizację wydajności systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego i serwerowego,
-
instalacje i konfiguracje oprogramowania systemowego, sieciowego,
-
konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
-
nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
-
współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
-
zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
-
zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
-
przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
-
przyznawanie na wniosek administratora danych osobowych lub inspektora ochrony danych ściśle określonych praw dostępu do informacji w danym systemie,
-
wnioskowanie do administratora danych osobowych lub inspektora ochrony danych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
-
zarządzanie licencjami, procedurami ich dotyczącymi,
-
prowadzenie profilaktyki antywirusowej.
-
Praca administratora systemu informatycznego jest nadzorowana pod względem przestrzegania RODO, ustawy o ochronie danych osobowych, ...................... oraz Polityki bezpieczeństwa Organizacji przez administratora danych lub inspektora ochrony danych.
Rozdział 12 /*/
Sprawozdanie roczne z funkcjonowania systemu ochrony danych osobowych
§ 19
-
Corocznie do dnia …………………… inspektor ochrony danych /jeśli został powołany/ przygotowuje sprawozdanie roczne z funkcjonowania systemu ochrony danych osobowych i przekazuje do administratora danych osobowych.
-
Sprawozdanie przygotowywane jest w formie pisemnej.
Rozdział 13
Postanowienia końcowe
§ 20
-
Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
-
Za przeprowadzenie szkolenia odpowiada administrator danych osobowych lub inspektor ochrony danych(o ile został powołany).
-
Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych,
-
Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.
Tagi powiązane z wiadomością:
RODO