POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
Fundacja Inicjatyw Społecznych
z siedzibą przy ul. Grota Roweckiego 27 lok. 47, 10-693 Olsztyn
Polityka Bezpieczeństwa Danych Osobowych w Fundacji Inicjatyw Społecznych (FIS) została wprowadzona w celu podniesienia transparentności procesów przetwarzania danych osobowych i zapewnienia zgodności wewnętrznych procedur i infrastruktury z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych. Polityka Bezpieczeństwa Fundacji Inicjatyw Społecznych odpowiada standardom krajowym i europejskim dotyczącym ochrony danych osobowych.
1. Podstawa prawna
Polityka bezpieczeństwa danych osobowych Fundacji Inicjatyw Społecznych została opracowana na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwane dalej RODO. Ponadto podstawą prawną przedmiotowego dokumentu jest ustawa z dnia 10 maja 2018 o ochronie danych osobowych.
2. DEFINICJE
Administrator (danych) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem zatem jest Fundacja Inicjatyw Społecznych z siedzibą w Olsztynie (10-693) przy ul. Grota Roweckiego 27 lok. 47.
RODO – rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 4 maja 2016 r.).
Dane osobowe to wszelkie informacje pozwalające zindywidualizować osobę fizyczną. Możliwymi identyfikatorami mogą być nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jakikolwiek specyficzny czynnik dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego zidentyfikowania tożsamość osoby fizycznej.
Przetwarzanie danych osobowych to dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.
Ograniczenie przetwarzania – polega na oznaczeniu przetwarzanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Anonimizacja – zmiana danych osobowych, w wyniku której dane te tracą charakter danych osobowych.
Zgoda osoby, której dane dotyczą – oświadczenie woli lub konkretne działanie wyrażające zgodę na przetwarzanie danych osobowych z nim związanych. Co do zasady zgoda musi być wyrażona pismem.
Klauzula informacyjna – informacja wystawiona przez administratora danych o podstawowych uprawnieniach osoby fizycznej i zakresie przetwarzania danych osobowych.
Ocena skutków ochrony danych to proces przeprowadzany przez Administratora, jeśli jest wymagany przez obowiązujące prawo i, jeśli to konieczne, z uczestnictwem inspektora ochrony danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych.
Podmiotem danych jest każda osoba fizyczna, której dane są przetwarzane.
Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe.
Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu Administratora.
Inspektor Ochrony Danych (IOD) to osoba formalnie wyznaczona przez Administratora w celu informowania i doradzania Administratorowi / podmiotowi przetwarzającemu / pracownikom w zakresie obowiązującego prawa o ochronie danych i tej polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla podmiotów danych i organu nadzorczego.
Szczególne kategorie danych osobowych – ujawniają pochodzenie rasowe lub etniczne i obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia.
Naruszenie ochrony danych osobowych – incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
3. Przetwarzanie danych
Przetwarzanie danych osobowych polega na gromadzeniu danych w systemie informatycznym oraz poza nim i wykorzystywanie ich do formułowania dokumentów. Fundacja Inicjatyw Społecznych przetwarza przede wszystkim dane osobowe uczestników szkoleń organizowanych przez FIS, dane kontaktowe, dane osobowe pracowników, wykonawców, zleceniobiorców FIS oraz dane osób współpracujących z FIS a także dane odbiorców działań statutowych FIS. Dane osobowe gromadzone są w zbiorach danych w postaci dokumentacji tradycyjnej lub elektronicznej.
4. Zakresy przetwarzania
Zakresy ochrony danych osobowych, określone przez Politykę Bezpieczeństwa FIS oraz inne z nią związane dokumenty, mają zastosowanie do:
- aktualnych, lub przyszłościowych systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe;
- wszystkich sprzętów wykorzystywanych przez FIS do przetwarzania danych;
- wszystkich lokalizacji, pomieszczeń, w których są lub będą przetwarzane dane ochronione;
- wszystkich osób wchodzących w skład organów FIS, osób świadczących pracę bądź usługi na rzecz FIS, które uzyskały upoważnienie do przetwarzania danych osobowych.
5. Obowiązki administratora
Zapewnienie bezpieczeństwa ochrony danych osobowych, zgodnie z wymogami RODO, ustawy oraz innych przepisów, regulujących zasady bezpieczeństwa i ochrony danych:
- zapewnienie organizacji procesu przetwarzania danych zgodnie z postanowieniami Polityki Bezpieczeństwa;
- udzielania upoważnień do przetwarzania danych osobowych oraz ich cofnięcia;
- zapoznania osób upoważnionych do przetwarzania danych osobowych z Polityką Bezpieczeństwa FIS;
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
- prowadzenia postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych;
- kontroli działań pracowników pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
- zapewnienia ciągłości działania systemu informatycznego oraz baz danych;
- inicjowania oraz podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
- przeciwdziałania próbom naruszenia bezpieczeństwa informacji.
6. Obowiązki podmiotów przetwarzających dane osobowe
Do obowiązków podmiotów przetwarzających dane osobowe należy:
- znajomość, zrozumienie oraz stosowanie, w możliwie największym zakresie, wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieupoważnionym dostępu do swojej stacji roboczej;
- przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi w Polityce Bezpieczeństwa regulacjami;
- zachowania w tajemnicy danych osobowych, do których uzyskały dostęp oraz informacji o sposobach ich zabezpieczenia;
- ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem;
- informowania o naruszeniach bezpieczeństwa informacji bądź podejrzeniach o możliwości wystąpienia takich naruszeń;
- zapoznanie się z Polityką Bezpieczeństwa FIS.
7. Udostępnienie danych
Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa, osobom, których dotyczą bądź na żądanie Administratora, który te dane przekazuje. Przekazanie tych danych odbywa się w bezpieczny sposób, uwzględniający ryzyko naruszenia bezpieczeństwa tych danych podczas ich przekazywania.
8. Instrukcja postępowania z incydentami
Przez incydent związany z ochroną danych osobowych, rozumie się:
- nieprzestrzeganie Polityki przez osoby przetwarzające dane, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony haseł,
- niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń,
- niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą danych osobowych,
- utrata danych w wyniku awarii sprzętu, oprogramowania lub niekontrolowanego wypływu danych,
- kradzież danych,
- losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, informatyka, zgubienie danych,
- losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
- incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne).
9. Postępowanie naprawcze
W przypadku zaistnienia incydentu, przeprowadza się następujące postępowanie naprawcze:
- ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków,
- w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony danych osobowych,
- w razie konieczności zainicjowanie działań dyscyplinarnych,
- zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
- udokumentowanie prowadzonego postępowania w rejestrze naruszeń bezpieczeństwa,
- powstrzymanie się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
- zabezpieczenie elementów systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
- podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.
10. Szkolenia
- Każda osoba przed dopuszczeniem do pracy z danymi osobowymi powinna być poddana przeszkoleniu i zapoznana z przepisami RODO.
- Za przeprowadzenie szkolenia odpowiada Administrator/Inspektor Ochrony Danych.
- W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia
- Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
11. Rejestr czynności przetwarzania
W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, Administrator/Inspektor Ochrony Danych taki odpowiedni rejestr prowadzą.
12. Środki ochrony fizycznej danych
- Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
- Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min.
- Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie – drzwi klasy C.
- Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
- Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych objęty jest systemem kontroli dostępu.
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony.
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez całą dobę jest nadzorowany przez służbę ochrony.
- Zbiór danych osobowych w formie papierowej jest przechowywany w zamkniętej niemetalowej szafie.
- Zbiór danych osobowych w formie papierowej jest przechowywany w zamkniętej metalowej szafie.
- Zbiór danych osobowych w formie papierowej jest przechowywany w zamkniętym sejfie lub kasie pancernej.
- Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
- Kopie zapasowe/archiwalne zbioru danych osobowych są przechowywane w zamkniętej metalowej szafie
- Kopie zapasowe/archiwalne zbioru danych osobowych są przechowywane w zamkniętym sejfie lub kasie pancernej.
- Zbiory danych osobowych przetwarzane są w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach.
- Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
- Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
13. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
- Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego.
- Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową.
- Zastosowano urządzenia typu UPS/baterię, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
- Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/ komputerze przenośnym zabezpieczono przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS.
- Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, jest zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
- Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, jest zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena.
- Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, jest zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej.
- Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
- Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł.
- Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
- Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
- Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
- Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu.
- Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej lub regularnie sporządza się kopie bezpieczeństwa danych.
- Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
- Użyto system Firewall do ochrony dostępu do sieci komputerowej.
- Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
14. Środki ochrony w ramach narzędzi programowych i baz danych
- Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych.
- Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
- Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
- Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena.
- Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej.
- Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
- Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych.
- Zastosowano kryptograficzne środki ochrony danych osobowych.
- Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
- Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.