Załącznik nr 1 do Zarządzenia Zarządu nr 1/2020
z dnia 23 stycznia 2020 r.
POLITYKA BEZPIECZEŃSTWA
W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
CENTRUM GIEŁDOWEGO BALICKA SP. Z O.O.
Z SIEDZIBĄ W KRAKOWIE
SPIS TREŚCI
CZĘŚĆ ORGANIZACYJNA.
ROZDZIAŁ I. Postanowienia ogólne i definicje.
ROZDZIAŁ II. Podstawowe zasady ochrony danych, narzędzia ochrony, postępowanie z naruszeniami.
ROZDZIAŁ III. Korzystanie z komputerów przenośnych i monitoring.
ROZDZIAŁ IV. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych.
ROZDZIAŁ V. Zasady gromadzenia danych osobowych.
ROZDZIAŁ VI. Implementacja obowiązku informacyjnego i zgoda.
ROZDZIAŁ VII. Udzielanie informacji o przetwarzaniu danych osobowych.
ROZDZIAŁ VIII. Ochrona przetwarzania danych osobowych i osoby funkcyjne.
ROZDZIAŁ IX. Zasady udostępniania danych osobowych i powierzenie przetwarzania danych.
CZĘŚĆ TECHNICZNA.
ROZDZIAŁ X. Rola ISI i nadawanie uprawnień od systemu informatycznego.
ROZDZIAŁ XI. Procedury uwierzytelniania użytkowników.
ROZDZIAŁ XII. Kopie zapasowe i przechowywanie nośników.
ROZDZIAŁ XIII. Zabezpieczenia systemu informatycznego.
ROZDZIAŁ XIV. Przeglądy systemu i usuwanie danych.
ROZDZIAŁ XV. Postanowienia końcowe.
CZĘŚĆ ORGANIZACYJNA
ROZDZIAŁ I
Postanowienia ogólne i definicje
§ 1
Zawartość opracowania, podstawy prawne
1. Polityka bezpieczeństwa w zakresie ochrony danych osobowych Centrum Giełdowe Balicka Sp. z o.o. z siedzibą w Krakowie, zwana dalej polityką bezpieczeństwa, jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych administrowanych przez Centrum Giełdowe Balicka Sp. z o.o., zwana dalej CGB.
2. Podstawą do opracowania i wdrożenia polityki bezpieczeństwa są:
Konstytucja Rzeczypospolitej Polskiej (art. 47 i 51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. Dz. U. 1997 nr 78 poz. 483 z późn. zm.).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 04.05.2016).
Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018 r. poz. 1000 z późn. zm.).
Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz. U. 2018 poz. 917 z późn. zm.).
3. Polityka bezpieczeństwa CGB zawiera między innymi:
rejestr czynności przetwarzania danych – wzorzec stanowiący załącznik nr 1 do niniejszej polityki, prowadzony w wersji elektronicznej;
rejestr kategorii czynności przetwarzania danych – wzorzec stanowiący załącznik nr 2 do niniejszej polityki bezpieczeństwa, prowadzony w wersji elektronicznej;
rejestr naruszeń ochrony danych osobowych – wzorzec stanowiący załącznik nr 3 do niniejszej polityki bezpieczeństwa, prowadzony w wersji elektronicznej;
ewidencję osób upoważnionych do przetwarzania danych osobowych - wzorzec stanowiący załącznik nr 4 do niniejszej polityki bezpieczeństwa, prowadzoną w wersji elektronicznej;
wykaz udostępnień danych osobowych innym podmiotom - wzorzec stanowiący załącznik nr 5 do niniejszej polityki bezpieczeństwa, prowadzony w wersji elektronicznej lub w formie tradycyjnej; wykaz podmiotów, z którymi zawarto umowy powierzenia przetwarzania danych osobowych - wzorzec stanowiący załącznik nr 6 do niniejszej polityki bezpieczeństwa, prowadzony w wersji elektronicznej lub jako zbiór zawartych umów.
4. Przetwarzanie danych osobowych w CGB jest dopuszczalne wyłącznie pod warunkiem przestrzegania aktów prawnych wskazanych w ust. 1 powyżej oraz innych przepisów stanowiących system ochrony danych osobowych, wprowadzenia dokumentacji przetwarzania danych osobowych określającej także warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
§ 2
Definicje stosowane w polityce bezpieczeństwa
Użyte w treści polityki bezpieczeństwa określenia oznaczają:
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 04.05.2016);
Ustawa – Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018 r. poz. 1000 z późn. zm.);
dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w rozumieniu art. 4 pkt 1) RODO;
przetwarzanie danych – wszelkie czynności wykonywane na danych osobowych, w tym operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w rozumieniu art. 4 pkt 3) RODO;
zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie, w rozumieniu art. 4 pkt 6) RODO;
PUODO – Prezes Urzędu Ochrony Danych Osobowych, organ nadzorczy w rozumieniu art. 4 pkt 21);
Administrator - podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, w rozumieniu art. 4 pkt 7) RODO – w niniejszej polityce bezpieczeństwa – Centrum Giełdowe Balicka Sp. z o.o., reprezentowana zgodnie z zasadami zawartymi w umowie Spółki,
IOD – Inspektor Ochrony Danych – osoba funkcyjna wyznaczana przez Administratora, odpowiedzialna za przestrzeganie zasad ochrony danych osobowych i nadzorująca bezpieczeństwo przetwarzania danych osobowych w CGB, zgłoszona do UODO zgodnie z przepisami ustawy oraz RODO;
ISI - Inspektor Systemu Informatycznego – osoba funkcyjna wyznaczana przez Administratora odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym CGB;
podmiot przetwarzający – procesor, któremu CGB zleciło przetwarzanie danych w swoim imieniu, zawierając umowę powierzenia przetwarzania danych;
system informatyczny – sieć informatyczna wraz z zespołem współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
pracownik - osoba upoważniona do przetwarzania danych osobowych, która na podstawie zawartej umowy o pracę lub umowy cywilnoprawnej posiada z racji wykonywanych obowiązków lub powierzonych zadań dostęp do danych osobowych.
ROZDZIAŁ II
Podstawowe zasady ochrony danych, narzędzia ochrony, postępowanie z naruszeniami
§ 3
Podstawowe zasady ochrony danych i zadania Administratora
1. Administrator przetwarza dane osobowe opierając się na następujących podstawach:
zgodności z prawem rozumianej jako dbałość o ochronę prywatności i przetwarzanie danych zgodnie z prawem, badając zawsze podstawę przetwarzania poszczególnych danych w oparciu o art. 6 i 9 RODO; zapewnienia bezpieczeństwa poprzez dokładanie wszelkich starań, celem zapewnienia odpowiedniego poziomu bezpieczeństwa danych;
przestrzegania praw osób, których dane dotyczą umożliwiając osobom, których dane przetwarza, wykonywanie przysługujących im praw;
rozliczalności poprzez dokumentowanie sposobów wywiązywania się z ciążących na nim obowiązków ochrony danych osobowych, celem wykazania zgodności przetwarzania danych osobowych z RODO.
2. Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
zgodności z prawem – dane osobowe przetwarzane są w oparciu o konkretną podstawę prawną i zgodnie z prawem;
rzetelności – dane osobowe przetwarzane są rzetelnie i uczciwie;
przejrzystości – dane osobowe przetwarzane są w sposób przejrzysty dla osoby, której dane dotyczą;
minimalizacji – dane osobowe przetwarzane są wyłącznie w zakresie niezbędnym do osiągnięcia zgodnych z prawem celów;
adekwatności – przetwarzanie danych osobowych jest proporcjonalne do potrzeb Administratora;
ograniczoności przechowywania – dane są przechowywane przez okres nie dłuższy niż niezbędne jest to do celów dla których dane te są przetwarzane;
prawidłowości – przetwarzanie danych osobowych odbywa się z dbałością o prawidłowość, prawdziwość i kompletność danych osobowych;
czasowości – przetwarzanie danych osobowych odbywa się w koniecznym czasie;
integralności i poufności – zapewnienie odpowiedniego bezpieczeństwa przetwarzania danych osobowych.
3. Administrator dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych, w szczególności: przypadków przetwarzania danych szczególnej kategorii, przypadków przetwarzania danych niezidentyfikowanych, przypadków przetwarzania danych dzieci, czy też wykorzystywania systemów profilowania.
4. Administrator ma obowiązek stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczać dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
5. Administrator określa zakres przetwarzanych danych osobowych w wydawanych uchwałach, regulaminach lub w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych.
6. Administrator przetwarza dane osobowe znajdujące się w administrowanych przez niego zbiorach w określonych celach i w określonym zakresie, w szczególności jeżeli:
jest to konieczne do realizacji umowy, określonych prawem zadań, obowiązków lub uprawnień,
jest to niezbędne do osiągnięcia prawnie uzasadnionych i usprawiedliwionych celów,
w innym celu i zakresie, jeśli osoba, której przetwarzane dane dotyczą, wyrazi na to zgodę w przepisanej prawem formie.
7. W przypadkach szczególnych cel i zakres przetwarzanych danych mogą określać inne obowiązujące przepisy szczegółowe.
8. Do szczegółowych zadań nałożonych na Administratora należy:
prawna odpowiedzialność za praktyczne funkcjonowanie przepisów dotyczących ochrony danych osobowych, w tym również za przestrzeganie wymagań związanych z zabezpieczeniem informacji i systemu informatycznego;
zatwierdzanie i publikowanie dokumentów związanych z ochroną informacji, dotyczących wszystkich lub znacznej grupy pracowników;
zapewnienie wsparcia organizacyjno - finansowego przy wdrażaniu mechanizmów zabezpieczenia danych osobowych i systemu informatycznego;
zapewnienie odpowiednich pomieszczeń, stosownie zabezpieczonych i wyposażonych do procesu przetwarzania i przechowywania danych osobowych;
zaznajomienie pracowników z prawnymi oraz pracowniczymi konsekwencjami naruszenia ochrony danych;
zapewnienie pracownikom szkoleń w zakresie poszerzania wiedzy i świadomości związanej z bezpieczeństwem informacji oraz stosowanymi rozwiązaniami, używanymi w CGB w celu utrzymania bądź zapewnienia odpowiedniego poziomu zabezpieczeń stosowanych w procesach przetwarzania i gromadzenia danych;
powoływanie IOD i ISI, w przypadku podjęcia takiej decyzji.
§ 4
Obowiązki związane z dostępem do danych osobowych
1. Dostęp do zbioru danych osobowych oraz ich przetwarzania także poza zbiorem mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora.
2. Osoby odpowiedzialne w CGB za przetwarzanie danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania określonego odpowiednimi przepisami prawa, uzasadnionym prawnie interesem lub wynikającego z udzielonej zgody na przetwarzanie danych osobowych.
3. Osoby odpowiedzialne w CGB za przetwarzanie danych osobowych z wykorzystaniem systemów informatycznych są zobowiązane do postępowania zgodnie z zapisami odnoszącymi się do zarządzania technicznym bezpieczeństwem systemu informatycznego.
§ 5
Prowadzenie rejestru czynności przetwarzania danych
1. Administrator we współpracy z IOD, w przypadku jego powołania, prowadzi rejestr czynności przetwarzania danych.
2. Każdy z Kierowników lub Dyrektorów Działów u Administratora zobowiązany jest do bieżącego uzupełniania lub modyfikacji dotyczących jego działu czynności przetwarzania, o czym niezwłocznie informuje IOD, w przypadku jego powołania.
3. Rejestr czynności przetwarzania danych w CGB opisuje wszelkie procesy dokonywane na danych osobowych i zawiera następujące pozycje:
nazwę czynności przetwarzania;
odpowiedzialną osobę lub dział, która bierze udział w procesie przetwarzania danych;
cel przetwarzania danych;
kategorie osób, których dane są przetwarzane;
ogólny opis kategorii danych osobowych;
podstawę prawną przetwarzania danych;
źródło pozyskania danych;
jeżeli istnieje taka możliwość określenie planowanego terminu usunięcia danej kategorii danych;
nazwę i dane kontaktowe współadministratora w sytuacji jego występowania w opisywanym procesie przetwarzania danych;
nazwę podmiotów przetwarzających lub kategorie podmiotów przetwarzających;
nazwę systemu lub oprogramowania za pomocą którego odbywają się procesy przetwarzania danych;
ogólny opis zastosowanych organizacyjnych i technicznych środków bezpieczeństwa;
odniesienie się do konieczności przeprowadzenia oceny skutków dla ochrony danych;
informacje o ewentualnym transferze danych do kraju trzeciego (kraje spoza EOG) oraz zastosowanych szczególnych środkach bezpieczeństwa.
4. Rejestr czynności przetwarzania danych prowadzony jest w formie elektronicznej.
§ 6
Prowadzenie rejestru kategorii czynności przetwarzania danych
1. Administrator dla stosunków prawnych, w których pełni rolę podmiotu przetwarzającego prowadzi we współpracy z IOD, w przypadku jego powołania, rejestr kategorii czynności przetwarzania danych.
2. Każdy z Kierowników lub Dyrektorów Działów u Administratora zobowiązany jest do bieżącego uzupełniania lub modyfikacji dotyczących jego działu kategorii czynności przetwarzania, które dokonywane są w oparciu o uprzednio zawarte umowy powierzenia przetwarzania danych, o czym niezwłocznie informuje IOD, w przypadku jego powołania.
3. Rejestr kategorii czynności przetwarzania danych wykonywanych na zlecenie innego podmiotu zawiera następujące pozycje:
kategorie przetwarzań;
ogólny opis organizacyjnych i technicznych środków bezpieczeństwa zastosowanych przy poszczególnych kategoriach przetwarzań;
nazwę i dane kontaktowe podmiotu zlecającego, będącego administratorem w rozumieniu art. 4 pkt 7) RODO, nazwę i dane kontaktowe współadministratora lub przedstawiciela administratora, jeśli występują;
okres trwania stosunków prawnych obejmujących dane kategorie przetwarzania;
informacje na temat przekazywania powierzonych do przetwarzania danych do państwa trzeciego i szczególne sposoby zabezpieczenia danych przekazanych w tym trybie;
dane podmiotów podprzetwarzających, będących podwykonawcami Administratora oraz kategorie podpowierzonych przetwarzań.
4. Rejestr kategorii czynności przetwarzania prowadzony jest w formie elektronicznej i może być udostępniany podmiotowi powierzającemu przetwarzanie danych Administratorowi tylko w zakresie jego dotyczącym.
§ 7
Postępowanie w przypadku naruszenia bezpieczeństwa systemu ochrony danych osobowych oraz prowadzenie rejestru naruszeń
1. Osoby zatrudnione przy przetwarzaniu danych są zobowiązane powiadomić IOD, w przypadku jego powołania lub ISI o ewentualnych podejrzeniach lub naruszeniach bezpieczeństwa ochrony danych osobowych w każdym zbiorze danych, systemie, a także przy przetwarzaniu poza nimi.
2. O naruszeniu ochrony danych osobowych mogą świadczyć następujące symptomy:
brak możliwości uruchomienia przez użytkownika aplikacji pozwalającej na dostęp do danych osobowych,
ograniczone, w stosunku do normalnej sytuacji, uprawnienia użytkownika w aplikacji (na przykład brak możliwości wykonania pewnych operacji normalnie dostępnych użytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji,
wygląd aplikacji inny niż normalnie,
inny zakres danych niż normalnie dostępny dla użytkownika – dużo więcej lub dużo mniej danych,
znaczne spowolnienie działania systemu informatycznego,
pojawienie się niestandardowych komunikatów generowanych przez system informatyczny,
ślady włamania lub prób włamania do obszaru, w którym przetwarzane są dane osobowe,
ślady włamania lub prób włamania do pomieszczeń, w których odbywa się przetwarzanie danych osobowych, w szczególności do serwerowni oraz do pomieszczeń, w których przechowywane są nośniki kopii zapasowych,
włamanie lub próby włamania do szafek, w których przechowywane są – w postaci elektronicznej lub papierowej – nośniki danych osobowych,
zagubienie bądź kradzież nośnika danych osobowych w postaci papierowej lub elektronicznej,
kradzież sprzętu informatycznego, w którym przechowywane są dane osobowe,
informacja z systemu antywirusowego o zainfekowaniu systemu informatycznego wirusami, robakami, końmi trojańskimi,
fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu informatycznego przetwarzającego dane osobowe na skutek przypadkowych lub celowych działań albo zaistnienia działania siły wyższej,
podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w systemie informatycznym.
3. W wypadku wystąpienia powyższych symptomów, jak również innych objawów, które zdaniem pracownika mogą wskazywać na zagrożenie ochrony danych osobowych, należy natychmiast powiadomić IOD, jeśli został powołany lub ISI.
4. Informacja o pojawieniu się zagrożenia jest przekazywana przez pracownika osobiście, telefonicznie lub pocztą elektroniczną. Taka informacja powinna zawierać imię i nazwisko osoby zgłaszającej, zauważone symptomy zagrożenia lub naruszenia, a także datę i godzinę zdarzenia.
5. Po otrzymaniu zgłoszenia o wystąpieniu symptomów wskazujących na możliwość zaistnienia w CGB naruszenia ochrony danych osobowych IOD we współpracy z ISI, jest zobowiązany do podjęcia kroków w celu:
wyjaśnienia zdarzenia, a w szczególności czy miało miejsce naruszenie ochrony danych osobowych,
wyjaśnienia przyczyn naruszenia bezpieczeństwa danych osobowych i zebrania ewentualnych dowodów, w szczególności, gdy zdarzenie było związane z celowym działaniem pracownika bądź osób trzecich,
zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem się zagrożenia,
usunięcia skutków incydentu i przywrócenia pierwotnego stanu systemu informatycznego.
6. IOD we współpracy z ISI podejmuje działania zmierzające do wyjaśnienia zgłoszonego zdarzenia, w tym w szczególności:
przeprowadzenie analizy poprawności funkcjonowania systemu informatycznego,
przeprowadzenie analizy danych osobowych przetwarzanych w systemie informatycznym,
zabezpieczenie danych przetwarzanych w systemie informatycznym, w szczególności danych konfiguracyjnych tego systemu.
7. IOD lub ISI zobowiązany jest niezwłocznie po zgłoszeniu zdarzenia dokonać jego wpisania w rejestrze naruszeń prowadzonym przez Administratora w formie elektronicznej.
8. Administrator po otrzymaniu szczegółowych informacji od IOD lub ISI o danym naruszeniu podejmuje decyzję o poinformowaniu UODO w terminie 72 godzin od wystąpienia naruszenia lub osób, których dane osobowe zostały naruszone, w sytuacji wysokiego prawdopodobieństwa naruszenia ich praw lub wolności.
9. Rejestr naruszeń ochrony danych składa się z następujących pozycji:
rodzaju i opisu naruszenia;
daty zgłoszenia podejrzenia naruszenia;
daty stwierdzenia naruszenia;
okresu istnienia naruszenia;
kategorii i liczby osób co których nastąpiło naruszenie;
zakresu lub kategorii danych których dotyczy naruszenie;
osoby zgłaszającej naruszenie;
miejsca lub obszaru naruszenia;
opisu okoliczności naruszenia;
opisu skutków naruszenia dla ochrony danych;
ryzyka naruszenia praw lub wolności osób, których danych dotyczyło naruszenie;
opisu możliwego naruszenia praw lub wolności osób, których dotyczyło naruszenie;
działu lub osoby odpowiedzialnej za naruszenie;
podjętych działań naprawczych zawierających opis zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu oraz zminimalizowaniu jego negatywnych skutków;
efektu podjętych działań naprawczych;
osoby odpowiedzialnej za wdrożenie działań naprawczych;
obowiązku poinformowania UODO wraz z datą i godziną poinformowania lub przyczyny opóźnienia;
obowiązku zawiadomienia organów ścigania;
obowiązku poinformowania osób, których danych dotyczyło naruszenie, sposób przekazania informacji wraz z zaleceniami;
monitoringu działań naprawczych.
ROZDZIAŁ III.
Korzystanie z komputerów przenośnych i monitoring
§ 8
Zasady korzystania z komputerów przenośnych służących do przetwarzania danych osobowych.
1. Przetwarzanie danych osobowych na komputerach przenośnych powinno być ograniczone do niezbędnych przypadków. Przetwarzanie danych osobowych przy użyciu komputerów przenośnych może odbywać się wyłącznie za zgodą Administratora i za wiedzą IOD, jeśli został powołany lub ISI. Zakres danych przetwarzanych na komputerze przenośnym oraz zakres uprawnień do przetwarzanych danych ustala przełożony pracownika za wiedzą IOD lub ISI.
2. Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem.
3. Użytkownik komputera przenośnego zobowiązany jest do:
transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia, a w szczególności: transportowania komputera w bagażu podręcznym, nie pozostawiania komputera w samochodzie, przechowalni bagażu, itp.;
korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych przez osoby nieupoważnione, w szczególności zakazane jest korzystanie z komputera w miejscach publicznych i w środkach transportu publicznego;
niezezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, na którym przetwarzane są dane osobowe;
zabezpieczania komputera przenośnego hasłem oraz filtrem uniemożliwiającym podejrzenie treści z ekranu;
blokowania dostępu do komputera przenośnego w przypadku gdy nie jest on wykorzystywany przez pracownika;
umożliwienia, poprzez podłączenie komputera do sieci informatycznej CGB aktualizacji wzorców wirusów w programie antywirusowym;
utrzymania konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł;
wykorzystywania haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe;
zmiany haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe.
§ 9
Monitoring
1. Administrator w celu zapewnienia ochrony i bezpieczeństwa pracowników i innych osób przebywających na jego terenie, zabezpieczenia mienia należącego do CGB, zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić Administratora na szkodę, a także zapobieżenia czynom skierowanym przeciwko osobom zatrudnionym lub mieniu CGB, wprowadza monitoring wizyjny, polegający na rejestrowaniu obrazu przez zamontowane w siedzibie Administratora kamery, jak również na terenie przez niego użytkowanym.
2. Monitoring prowadzony jest całodobowo, natomiast urządzenia rejestrujące obraz znajdują się w wyłącznej dyspozycji Administratora. Informacje o ich umiejscowieniu w określonych pomieszczeniach stanowią tajemnicę przedsiębiorstwa oraz tajemnicę związaną z przetwarzaniem danych osobowych. Wszelkie monitorowane obiekty oraz teren użytkowany przez Administratora są odpowiednio oznakowane.
3. Obraz zarejestrowany za pomocą urządzeń monitoringu jest przechowywany na zasadach określonych w przepisach RODO i Kodeksu pracy. Podlega on zniszczeniu po upływie 3 miesięcy od zarejestrowania, chyba, że zarejestrowany obraz może być użyty lub będzie użyty jako dowód w postępowaniu prowadzonym przez właściwy sąd lub inny organ publiczny. Za przechowywanie i zniszczenie materiałów po upływie określonych prawem terminów odpowiada ISI lub inne osoby upoważnione.
4. Administrator w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, wprowadza kontrolę służbowej poczty elektronicznej pracowników oraz wykorzystania sieci Internet.
5. Administrator w celu zapewnienia ochrony mienia oraz zgodnego z prawem i przepisami wewnętrznymi użytkowania samochodów służbowych instaluje systemy monitorowania i zarządzania pojazdami w oparciu o system GPS.
6. Szczegółowe informacje związane z przetwarzaniem danych osobowych poprzez zastosowane przez Administratora systemy monitoringu znajdują się w Regulaminie pracy oraz stosownych informacjach w siedzibie Administratora oraz na jego stronie internetowej.
ROZDZIAŁ IV
Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych
§ 10
Odpowiedzialność karna, służbowa, cywilna i administracyjna
1. Pracownik, który przetwarza dane osobowe do których przetwarzania nie jest upoważniony lub których przetwarzanie jest niedopuszczalne - podlega odpowiedzialności karnej zgodnie z przepisami art. 107 i 108 Ustawy.
2. Pracownik, który poprzez naruszenie przepisów RODO lub Ustawy oraz wydanych aktów wykonawczych, jak również dokumentacji wewnętrznej CGB dopuszcza się ujawnienia lub wykorzystania informacji będących danymi osobowymi, z którymi zapoznał się w związku z pełnioną funkcją lub wykonywaną pracą, podlega odpowiedzialności karnej na podstawie art. 266 § 1 Kodeksu karnego.
3. Pracownik, z wyłączeniem osób zatrudnionych na podstawie umów cywilnoprawnych, który dopuszcza się naruszenia przepisów RODO lub Ustawy oraz wydanych aktów wykonawczych, jak również dokumentacji wewnętrznej CGB podlega odpowiedzialności służbowej na podstawie Kodeksu pracy, włącznie z możliwością zastosowania rozwiązania stosunku pracy w trybie natychmiastowym z winy pracownika na podstawie art. 52 § 1 Kodeksu pracy.
4. Pracownik który dopuszcza się naruszenia przepisów RODO lub Ustawy oraz wydanych aktów wykonawczych, jak również dokumentacji wewnętrznej CGB, podlegać może odpowiedzialności odszkodowawczej za wyrządzoną szkodę oraz utracone korzyści, jak również za krzywdę ze względu na naruszenie dóbr osobistych, na podstawie przepisów Kodeksu cywilnego, w szczególności w przypadku, gdy ze względu na bezprawne działania lub zaniechania pracownika na CGB zostanie nałożona kara administracyjna, zgodnie z przepisami RODO oraz Ustawy.
ROZDZIAŁ V
Zasady gromadzenia danych osobowych
§ 11
Uzyskiwanie danych osobowych
Dane osobowe przetwarzane w CGB mogą być uzyskiwane bezpośrednio od osób, których te dane dotyczą lub z innych źródeł, w granicach dozwolonych przepisami prawa.
§ 12
Wykorzystanie danych osobowych
1. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być trwale usunięte lub przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą poprzez ich anonimizację.
2. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.
3. W sytuacji otrzymania danych osobowych, co do których CGB nie wnioskowała o ich przekazanie, pracownik otrzymujący takie dane ma obowiązek niezwłocznego poinformowania osoby lub podmiotu od którego dane otrzymał o braku uprawnień do ich przetwarzania oraz żądania nieprzesyłania w przyszłości dokumentów zawierających takie dane osobowe, ewentualnie uzyskania informacji o podstawie prawnej do ich przetwarzania, a w przypadku jej braku niezwłocznego usunięcia danych.
4. Jeżeli dane osobowe, co do których CGB nie posiada uprawnień do ich przetwarzania znajdują się w treści dokumentu niezbędnego do wykonania innych czynności lub obowiązków, pracownik otrzymujący taki dokument zobowiązany jest do dokonania ich anonimizacji poprzez zamazanie lub zaklejenie tych danych, wykonanie kserokopii dokumentu oraz zniszczenie pierwotnego dokumentu i usunięcie go z systemu informatycznego.
ROZDZIAŁ VI
Implementacja obowiązku informacyjnego i zgoda
§ 13
Odpowiedzialność osób na stanowiskach kierowniczych
1. Kierownicy Działów, w których są zbierane i przetwarzane dane osobowe, są odpowiedzialni za poinformowanie osób, których dane osobowe przetwarzają o wszelkich informacjach wynikających z art. 13 ust. 1 i 2 RODO.
2. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobie tej należy przekazać wszelkie informacje wskazane w art. 14 ust. 1 i 2 RODO.
3. Obowiązki informacyjne w stosunku do osób wskazanych w ust. 1 powyżej powinny być wykonane w momencie pozyskiwania danych, natomiast w stosunku do osób, o których mowa w ust. 2 powyżej w rozsądnym terminie, nie później niż w ciągu 1 miesiąca, chyba że dojdzie do bezpośredniej komunikacji z taką osobą, wówczas obowiązki te winny zostać wykonane podczas takiej komunikacji.
4. Obowiązek informacyjny określony w ust. 1 i 2 niniejszego paragrafu jest wyłączony w całości lub w części w przypadku, gdy osoba, której dane dotyczą posiada informacje, o których mowa we wskazanych przepisach.
5. Obowiązek informacyjny w stosunku do pracowników wykonywany jest poprzez stosowne zapisy Regulaminu pracy, natomiast w stosunku do osób trzecich, których dane są przetwarzane przez Administratora, poprzez umieszczenie informacji na stronie internetowej Administratora oraz bezpośrednio w formie tradycyjnej w siedzibie Administratora.
6. W przypadku podejmowanego kontaktu z Administratorem drogą pisemną, elektroniczną lub telefonicznie, każda osoba informowana jest o szczegółach dotyczących przetwarzania jej danych osobowych.
§ 14
Zgoda na przetwarzanie danych osobowych
1. W sytuacjach faktycznych, gdy podstawą dla przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, dla uniknięcia jakichkolwiek wątpliwości co do treści zgody, jak również dla celów dowodowych, udzielana zgoda powinna zostać utrwalona w formie papierowej lub elektronicznej.
2. Szczególne przypadki przetwarzania danych na podstawie zgody obejmują m.in. procesy rekrutacyjne oraz dalsze przetwarzanie danych rekrutacyjnych po zawarciu z kandydatem stosownej umowy, a w przypadku pracownika przy przetwarzaniu danych prywatnych niewskazanych w przepisach szczególnych, jak również w sytuacji udostępnienia danych odbiorcom, którzy nie posiadają podstawy prawnej dla ich przetwarzania bez zgody osoby, której dane dotyczą.
ROZDZIAŁ VII
Udzielanie informacji o przetwarzaniu danych osobowych
§ 15
Kontrola własnych danych osobowych
1. Osobom, których dane osobowe przetwarzane są przez CGB, przysługuje, z ograniczeniami wskazanymi w RODO:
prawo dostępu do treści podanych przez siebie danych oraz uzyskania wyczerpujących informacji na temat ich przetwarzania;
prawo żądania sprostowania danych;
prawo żądania usunięcia danych – prawo do bycia zapomnianym;
prawo żądania ograniczenia przetwarzania danych;
prawo do przenoszenia danych;
prawo wniesienia sprzeciwu wobec dalszego przetwarzania danych lub podejmowania czynności profilowania, w tym związanych z podejmowaniem automatycznych decyzji w stosunku do danej osoby;
prawo wniesienia skargi do PUODO.
2. Kierownicy, Dyrektorzy Działów lub upoważnieni pracownicy powinni wykonać wnioskowane przez osobę, której dane dotyczą prawa niezwłocznie, nie później jednak niż w terminie 1 miesiąca od otrzymania wniosku lub też w tym terminie poinformować osobę o braku możliwości uczynienia zadość jej żądaniu wraz ze wskazaniem przyczyny.
§ 16
Obowiązek uzupełniania danych
W przypadku gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem RODO lub Ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia bez stosownego wniosku osoby, której dane dotyczą.
ROZDZIAŁ VIII
Ochrona przetwarzania danych osobowych i osoby funkcyjne
§ 17
Przechowywanie imiennych upoważnień do przetwarzania danych osobowych
1. Administrator zobowiązany jest do wydawania, ewidencjonowania i przechowywania imiennych upoważnień do przetwarzania danych osobowych oraz cofniętych upoważnień. Upoważnienie może zostać wydane na czas określony lub do odwołania. Wzór formularza upoważnienia do przetwarzania danych osobowych zawierającego także oświadczenie o zachowaniu tajemnicy danych osobowych oraz środków bezpieczeństwa stanowi załącznik nr 7 do niniejszej polityki bezpieczeństwa.
2. Brak ważnego upoważnienia wraz z oświadczeniem o zachowaniu tajemnicy uniemożliwia powierzenie pracownikowi wykonywania zadań i obowiązków związanych z przetwarzaniem danych osobowych.
3. Administrator winien prowadzić i na bieżąco aktualizować ewidencję osób upoważnionych, zgodnie z załącznikiem nr 4 do niniejszej polityki.
§ 18
Obowiązki IOD
1. Postanowienia niniejszego paragrafu oraz § 19 mają zastosowanie w przypadku powołania przez Administratora IOD.
2. IOD pełni nadzór i kontroluje przetwarzanie danych osobowych w CGB.
3. IOD ma obowiązek ściśle współpracować z ISI w zakresie przetwarzania danych osobowych w systemach informatycznych.
4. IOD ma obowiązek w szczególności:
a) informowania Administratora oraz pracowników o wszelkich obowiązkach spoczywających na nich z mocy przepisów prawa, w tym RODO oraz Ustawy;
b) monitorowania, nadzorowania opracowań i aktualizacji dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
c) udzielania zaleceń co do oceny skutków dla ochrony danych;
d) nadzorowania przestrzegania zasad określonych w dokumentacji, o której mowa
w punkcie b) powyżej, w szczególności poprzez weryfikację:
opracowania i kompletności tej dokumentacji;
zgodności tej dokumentacji z obowiązującymi przepisami prawa;
stanu faktycznego w zakresie przetwarzania danych osobowych;
zgodności ze stanem faktycznym przewidzianych w tej dokumentacji środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
przestrzegania zasad i obowiązków określonych w tej dokumentacji;
e) zapewnienia zapoznania osób upoważnionych przez CGB do przetwarzania danych osobowych, z przepisami o ochronie danych osobowych oraz z dokumentacją, o której mowa w punkcie b), jak również przeprowadzania stosownych szkoleń tych osób w tym zakresie;
f) prowadzenia audytów w zakresie przestrzegania przepisów, zasad i postanowień aktów prawnych oraz dokumentacji, o której mowa w punkcie b) powyżej;
g) monitorowania właściwego sposobu prowadzenia rejestrów, o których mowa w § 5 i § 6 niniejszej polityki bezpieczeństwa, jak również bieżącego prowadzenia we współpracy z ISI rejestru naruszeń ochrony danych osobowych;
h) pełnienia roli punktu kontaktowego dla wszystkich osób, których dane przetwarzane są w CGB, jak również dla PUODO, a także brania udziału we wszelkich kontrolach prowadzonych przez ten organ w CGB, a także wykonywania czynności na zlecenie tego organu w przypadkach i w zakresie wskazanym w odpowiednich przepisach.
5. IOD zobowiązany jest wypełniać obowiązki, o których mowa w ust. 3 powyżej, zgodnie z przepisami o ochronie danych osobowych, w tym w szczególności przepisami RODO, Ustawy oraz przepisami wydanych na jej podstawie aktów wykonawczych.
6. IOD zobowiązany jest do bieżącego monitorowania zmian w zakresie przepisów, o których mowa w ust. 4 powyżej, niezwłocznego dostosowywania swoich czynności do aktualnie obowiązujących przepisów i informowania o tym CGB.
§ 19
Uprawnienia i zadania IOD
1. W celu realizacji powierzonych zadań IOD ma prawo:
kontrolować poszczególne działy CGB w zakresie właściwego zabezpieczenia systemów informatycznych oraz pomieszczeń, w których przetwarzane są dane osobowe,
wydawać polecenia Kierownikom lub Dyrektorom Działów CGB w zakresie bezpieczeństwa danych osobowych,
informować Administratora o przypadkach naruszenia bezpieczeństwa danych osobowych,
żądać od wszystkich pracowników CGB wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych.
2. Do szczegółowych zadań IOD należy:
koordynacja procesu analizy i oceny ryzyka związanego z przetwarzaniem danych w CGB, jego poszczególnych działach, sekcjach i samodzielnych stanowiskach;
określenie prawnych aspektów w procesie zabezpieczenia przetwarzania danych z uwzględnieniem zabezpieczenia systemu informatycznego;
akceptacja lub wyrażanie potrzeby obniżenia poziomu ryzyka związanego z przetwarzaniem informacji w CGB;
proponowanie sposobu realizacji mechanizmów ochrony danych z uwzględnieniem specyfiki pracy danego działu;
opiniowanie wszelkich zmian zachodzących przy procesie przetwarzania danych pod kątem ich wpływu na bezpieczeństwo tych danych;
aktywny udział w procesie reagowania na incydenty w zakresie bezpieczeństwa systemu informatycznego oraz przekazywanie Administratorowi zaleceń związanych z koniecznością wyciągnięcia konsekwencji dyscyplinarnych wobec pracowników;
§ 20
Obowiązki ISI
Do podstawowych zadań ISI należy:
implementacja odpowiednich mechanizmów bezpieczeństwa w administrowanej infrastrukturze informatycznej;
merytoryczne przygotowanie i przeprowadzenie szkoleń w zakresie zachowania bezpieczeństwa przy przetwarzaniu danych;
nadawanie uprawnień użytkownikom systemu informatycznego zgodnie z wnioskami ich przełożonych;
zapewnienie podstawowego szkolenia w zakresie korzystania z systemu informatycznego dla nowo przyjętych pracowników;
odbieranie uprawnień użytkownikom, u których zakończył się okres zatrudnienia;
zapewnienie pomocy użytkownikom przy korzystaniu z systemu informatycznego;
tworzenie kopii zapasowych danych przechowywanych w systemie informatycznym;
zarządzanie licencjami;
monitorowanie poziomu bezpieczeństwa w systemie informatycznym, a w szczególności bieżącego stanu aktualizacji systemów operacyjnych i serwerów oraz sygnatur programów antywirusowych;
monitorowanie działania systemu informatycznego i przekazywanie informacji o zagrożeniach IOD, a w przypadku jego niepowołania lub nieobecności bezpośrednio Administratorowi;
aktywny udział w procesie reagowania na incydenty i naruszenia w zakresie bezpieczeństwa oraz usuwania ich skutków;
zarządzanie określonymi rozwiązaniami technicznymi związanymi z ochroną systemu informatycznego;
kontrolowanie przestrzegania zasad bezpiecznego przetwarzania danych w systemie informatycznym;
czasowe przeglądy i weryfikacja m.in.:
ilości i wykazu pomieszczeń dopuszczonych do przetwarzania danych,
rozmieszczenia stacji roboczych w poszczególnych pomieszczeniach,
sprawności użytkowanego sprzętu,
legalności zainstalowanego oprogramowania,
poprawności instalacji łatek systemowych i aktualizacji sygnatur wirusów programu antywirusowego,
przyznanych uprawnień do baz danych;
weryfikacja harmonogramu logowania do systemu informatycznego dla poszczególnych użytkowników,
ROZDZIAŁ IX
Zasady udostępniania danych osobowych i powierzenie przetwarzania danych
§ 21
Osoby uprawnione do wglądu do danych osobowych
Administrator udostępnia przetwarzane dane osobowe tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
§ 22
Tryb udostępniania danych osobowych
1. Dane osobowe udostępnia się na wniosek przesłany w formie pisemnej lub elektronicznej, uzasadniony ustawową przesłanką umożliwiającą przekazanie danych osobowych, zawierający zakres wnioskowanych danych oraz cel przetwarzania. Wniosek winien zawierać zwięzłe uzasadnienie oraz w koniecznych przypadkach dowody wskazujące na zaistnienie okoliczności faktycznej będącej pierwotną przesłanką konieczności uzyskania danych.
2. Wniosek o udostępnienie danych osobowych powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych w zbiorze danych.
3. Wniosek o udostępnienie danych osobowych jest rozpatrywany przez IOD lub innego upoważnionego pracownika.
4. Decyzję w sprawie udostępnienia danych podejmuje IOD lub inna osoba upoważniona.
5. Wnioski o udostępnienie danych osobowych oraz dokumenty związane z udostępnieniem danych osobowych wskazanych we wniosku, należy przechowywać w osobnych teczkach lub segregatorach, a informacje o udostępnionych danych wpisywane winny być do ewidencji udostępnień danych osobowych.
§ 23
Odmowa udostępnienia danych osobowych
Administrator może odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób, a także, gdy podana podstawa przekazania danych osobowych nie istnieje lub nie usprawiedliwia udostępnienia danych żądającemu podmiotowi.
§ 24
Powierzenie przetwarzania danych osobowych
1. Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej lub elektronicznej.
2. Podmiot, o którym mowa w ust. 1, jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających powierzone dane przed dostępem osób nieupoważnionych na zasadach określonych w przepisach RODO.
3. Podmiot, o którym mowa w ust. 1, jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie określonym w umowie.
4. W przypadkach opisanych w ust. 1– 3 odpowiedzialność za ochronę przetwarzanych danych osobowych spoczywa na Administratorze, co nie wyłącza odpowiedzialności podmiotu, z którym zawarto umowę z tytułu przetwarzania danych niezgodnie z ustawą i aktami wykonawczymi.
5. Wzór umowy powierzenia przetwarzania danych osobowych stanowi złącznik nr 8 do niniejszej polityki bezpieczeństwa.
CZĘŚĆ TECHNICZNA
ROZDZIAŁ X
Rola ISI i nadawanie uprawnień do systemu informatycznego
§ 25
ISI powoływany jest przez Administratora na podstawie zarządzenia Prezesa Zarządu. W przypadku nie wyznaczenia ISI, jego funkcję pełni osoba pełniąca funkcję Administratora lub wyznaczona osoba spośród członków organu zarządzającego. Dopuszcza się możliwość łączenia funkcji IOD i ISI.
§ 26
ISI jest odpowiedzialny za przestrzeganie zasad bezpieczeństwa przetwarzania danych osobowych w zakresie systemu informatycznego służącego do tego celu. Do obowiązków ISI należy także kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną oraz kontrola działań inicjowanych z sieci publicznej i kontrola systemu informatycznego. Obowiązkiem ISI jest również zabezpieczenie sprzętu komputerowego przed nieuprawnionym dostępem oraz przeprowadzanie analizy ryzyka uwzględniającej realne zagrożenia dla systemu informatycznego.
§ 27
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym określa się w sposób następujący:
Pracownik zamierzający przetwarzać dane osobowe, po uzyskaniu upoważnienia stanowiącego załącznik nr 7 do niniejszej polityki bezpieczeństwa, składa wniosek do ISI poprzez elektroniczny system zgłoszeń GLPI o nadanie identyfikatora i hasła w celu umożliwienia wykonywania przetwarzania danych osobowych w systemie informatycznym. ISI zobowiązany jest przydzielić pracownikowi identyfikator i hasło. Podanie pracownikowi hasła nie może nastąpić w sposób umożliwiający zapoznanie się z nim osobom trzecim.
W przypadku wygaśnięcia przesłanek uprawniających pracownika do przetwarzania danych osobowych, w szczególności cofnięcia upoważnienia, stanowiącego załącznik nr 7 do niniejszej polityki bezpieczeństwa, ISI zobowiązany jest do dopełnienia czynności uniemożliwiających ponowne wykorzystanie identyfikatora pracownika, którego uprawnienia wygasły.
ROZDZIAŁ XI
Procedury uwierzytelniania użytkowników
§ 28
Stosuje się następujące metody oraz środki uwierzytelniania, a także procedury związane z ich zarządzaniem i użytkowaniem:
hasło składa się, z co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne;
osobą odpowiedzialną za przydział identyfikatora i pierwszego hasła jest ISI;
pracownik, po pierwszym zalogowaniu się do systemu jest zobowiązany do zmiany hasła, jest również zobowiązany do zmiany hasła, co każde 30 dni;
pracownik jest zobowiązany do zabezpieczenia swojego hasła przed nieuprawnionym dostępem osób trzecich.
§ 29
Stosuje się następujące procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla pracowników będących użytkownikami systemu:
w celu zalogowania do systemu informatycznego, pracownik podaje swój identyfikator oraz hasło;
następnie, aby zalogować się do programu przetwarzającego dane osobowe, pracownik po raz kolejny zobowiązany jest do podania drugiego identyfikatora oraz drugiego hasła;
system jest skonfigurowany w taki sposób, aby po okresie 5 minut bezczynności uruchamiany był wygaszacz ekranu. Do ponownego wznowienia pracy konieczne jest ponowne zalogowanie się przy użyciu identyfikatora i hasła;
po zakończeniu pracy pracownik jest zobowiązany do wylogowania się z programu przetwarzającego dane osobowe, a następnie do wylogowania się z systemu informatycznego oraz wyłączenia komputera.
ROZDZIAŁ XII
Kopie zapasowe i przechowywanie nośników danych
§ 30
1. Na potrzeby zachowania ciągłości działania systemów informatycznych i utrzymania
integralności danych wykonuje się kopie zapasowe zbiorów danych. Zadanie to realizowane jest codziennie w dni robocze oraz dodatkowo w weekend.
2. Kopie awaryjne są wykonywane automatycznie przez dedykowane oprogramowanie poza godzinami pracy według ustalonego harmonogramu. Harmonogram zawiera również określenie jakie zasoby i systemy są kopiowane.
3. Kopie tworzone są przyrostowo, tzn. kopiowane są pliki nowe i te których zawartość uległa zmianie. Dodatkowo kopie trafiają do biblioteki taśmowej zarządzanej przez ww. oprogramowanie. Wyniki tworzenia kopii zapasowych są rejestrowane. Zakres tworzenia kopii zapasowych obejmuje:
a) bazy danych zlokalizowane na serwerach;
b) pliki i katalogi na serwerach;
c) systemy operacyjne serwerów.
4. Kopie zapasowe, wykonane w danym dniu przechowywane są przez okres 1 miesiąca oraz
zabezpieczone są przed nieumyślnym skasowaniem i przechowywane na taśmach w sejfie poza główną lokalizacją spółki. Po ustaniu użyteczności kopii zapasowej jest ona niezwłocznie usuwana.
5. Kopie zapasowe konfiguracji systemów operacyjnych serwerów wykonuje administrator
systemu. Za prawidłowość tworzenia kopii zapasowych odpowiada ISI.
§ 31
Elektroniczne nośniki informacji zawierające dane osobowe przechowywane są w szafach zamykanych na klucz, do których dostęp ma jedynie IOD, ISI oraz osoba reprezentująca Administratora. Dane są przechowywane przez okres, w którym istnieją przesłanki do ich przetwarzania, natomiast po ustaniu przesłanek do przetwarzania, dane muszą zostać usunięte w sposób uniemożliwiający ich odtworzenie.
ROZDZIAŁ XIII
Zabezpieczenia systemu informatycznego
§ 32
System informatyczny zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu poprzez stosowanie specjalistycznego oprogramowania, o jakim mowa w lit. a niniejszego paragrafu:
oprogramowaniem antywirusowym stosowanym w jednostce organizacyjnej jest ESET AV. Definicje wirusów są bieżąco aktualizowane.
dodatkowym oprogramowaniem zabezpieczającym jest firewall sprzętowy – Juniper.
wszelkie dane znajdujące się na komputerach i nośnikach przenośnych są zaszyfrowane w taki sposób, że w przypadku kradzieży nie ma możliwości odtworzenia tych danych.
użytkownikom nie wolno otwierać na komputerach, na których odbywa się przetwarzanie danych osobowych, plików pochodzących z niewiadomego źródła bez zgody ISI;
zabronione jest podłączanie do komputera jakichkolwiek urządzeń zewnętrznych bez wcześniejszej zgody ISI.
zabronione jest instalowanie i uruchamianie dodatkowego oprogramowania