Polityka bezpieczeństwa

Podstawa prawna

§ 1

  • Konstytucja RP (art. 47 i 51).
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024 t.j.  ze zm.).
  • Rozporządzenie Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.

Podstawowe pojęcia

§ 2

W dokumencie przyjmuje się następującą terminologię:

  • Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 4 pkt 1 RODO).
  • Dane wrażliwe - dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 9 RODO).
  • Administrator Danych Osobowych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. ADO w Fundacji jest Prezes Fundacji.
  • Inspektor Ochrony Danych (IOD) - osoba nadzorująca stosowanie środków technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną.
  • Administrator Systemu Informatycznego (ASI) - osoba odpowiedzialna za funkcjonowanie systemu teleinformatycznego, oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie.
  • Użytkownik systemu - osoba upoważniona do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona w fundacji, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż w fundacji.
  • Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
  • Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
  • System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  • Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
  • Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
  • Identyfikator użytkownika - ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
  • Hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
  • Uwierzytelnianie - działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
  • Fundacja – Podkarpacka Fundacja Rozwoju Kultury w Sanoku z siedzibą przy ul. 3-go Maja 15/3, 38-500 Sanok.
  • Podmiot - spółka prawa handlowego, podmiot gospodarczy nie posiadający osobowości prawnej, jednostka budżetowa.
  • Polityka - Polityka bezpieczeństwa obowiązująca w Podkarpackiej Fundacji Rozwoju Kultury w Sanoku.

 

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1. Wprowadzenie

§ 3

Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Podkarpackiej Fundacji Rozwoju Kultury w Sanoku, określa zasady przetwarzania danych osobowych oraz środki techniczne i organizacyjne zastosowane dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa przetwarzanych danych. Polityka bezpieczeństwa dotyczy danych osobowych przetwarzanych w zbiorach manualnych oraz w systemach informatycznych.

§ 4

Administrator Danych Osobowych w Podkarpackiej Fundacji Rozwoju Kultury w Sanoku wyznacza Inspektora Ochrony Danych w celu nadzorowania i przestrzegania zasad ochrony, o których mowa w Rozporządzeniu Parlamentu Europejskiego i Rady (UE)2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

§ 5

Administrator Danych Osobowych wyznacza Administratora Systemu Informatycznego w celu nadzorowania funkcjonowania systemu informatycznego oraz stosowania technicznych środków ochrony stosowanych w tym systemie.

 

2. Wykaz miejsc przetwarzania danych

§ 6

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe określa załącznik nr 1 do Polityki Bezpieczeństwa.

 

3. Wykaz i opis struktury zbiorów danych osobowych

§ 7

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi określa załącznik nr 2 do Polityki Bezpieczeństwa.

 

4. Sposób przepływu danych między poszczególnymi systemami

 

§ 8

Sposób przepływu danych między poszczególnymi systemami określa załącznik nr 3 do Polityki Bezpieczeństwa.

 

5. Środki techniczne i organizacyjne stosowane w przetwarzaniu danych

5.1. Deklaracja intencji, cele i zakres polityki bezpieczeństwa

 § 9

Administrator Danych Osobowych wyraża pełne zaangażowanie dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz wsparcie dla przedsięwzięć technicznych i organizacyjnych związanych z ochroną danych osobowych.

§ 10

Polityka określa podstawowe zasady bezpieczeństwa i zarządzania bezpieczeństwem systemów, w których dochodzi do przetwarzania danych osobowych.

§ 11

Polityka dotyczy wszystkich danych osobowych przetwarzanych w Fundacji, niezależnie od formy ich przetwarzania (zbiory ewidencyjne, systemy informatyczne) oraz od tego czy dane są lub mogą być przetwarzane w zbiorach danych.

 §12

Polityka ma zastosowanie wobec wszystkich komórek organizacyjnych w tym oddziałów, samodzielnych stanowisk pracy i wszystkich procesów przebiegających w ramach przetwarzania danych osobowych.

§ 13

Celem Polityki jest przetwarzanie zgodnie z przepisami danych osobowych przetwarzanych w Fundacji oraz ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą.

§ 14

Ze względu na nieustannie zmieniające się zagrożenia przetwarzania danych osobowych i zmiany prawa niniejsza Polityka może być dokumentem dynamicznie zmieniającym się w czasie. Uaktualnienia procedur ochrony, oprogramowania i innych parametrów stosowanych przy przetwarzaniu danych osobowych znajdują na bieżąco odzwierciedlenie funkcjonalne w niniejszej Polityce.

§ 15

Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:

  1. poufność - informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom,
  2. integralność - dane nie zostają zmienione lub zniszczone w sposób nie autoryzowany,
  3. dostępność - istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot
  4. rozliczalność - możliwość jednoznacznego przypisania działań poszczególnym osobom,
  5. autentyczność - zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana,
  6. niezaprzeczalność - uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne,
  7. niezawodność - zamierzone zachowania i skutki są spójne.

 

5.2. Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych

§ 16

Za przetwarzanie danych osobowych niezgodnie z prawem, celami przetwarzania lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą grozi odpowiedzialność karna wynikająca z przepisów rozporządzenia o ochronie danych osobowych lub pracownicza na zasadach określonych w kodeksie pracy.

§ 17

Administrator Danych Osobowych (ADO):

  1. formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
  2. decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych,
  3. odpowiada za zgodne z prawem przetwarzanie danych osobowych w Fundacji,
  4. zapewnia, aby dane były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  5. wydaje upoważnienie do przetwarzania danych osobowych określając w nich zakres i termin ważności - wzór upoważnienia określa załącznik nr 4 do Polityki Bezpieczeństwa,
  6. wydaje unieważnienia upoważnienia do przetwarzania danych osobowych - wzór unieważnienia określa załącznik nr 5 do Polityki Bezpieczeństwa,
  7. prowadzi ewidencje osób upoważnionych do przetwarzania danych osobowych - wzór wykazu osób upoważnionych do przetwarzania danych określa załącznik nr 6 do Polityki Bezpieczeństwa,

 § 18

Inspektor Ochrony Danych (IOD):

  1. egzekwuje zgodnie z prawem przetwarzanie danych osobowych w Fundacji w imieniu ADO,
  2. określa potrzeby w zakresie stosowanych w Fundacji zabezpieczeń, wnioskuje do ADO o zatwierdzenie proponowanych rozwiązań i nadzoruje prawidłowość ich wdrożenia,
  3. udziela wyjaśnień i interpretuje zgodność stosowanych rozwiązań w zakresie ochrony danych osobowych z przepisami prawa,
  4. bierze udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe w Fundacji i zapewnia odpowiedni poziom przeszkolenia w tym zakresie,
  5. prowadzi wszelką dokumentację opisującą sposób przetwarzania danych w Fundacji wynikającą z przepisów prawa.

§ 19

Administrator Systemu Informatycznego (ASI):

  1. zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa i wskazówkami IOD,
  2. doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi z ich przetwarzaniem,
  3. przydziela identyfikatory użytkownikom systemu informatycznego oraz zaznajamia ich z procedurami ustalania i zmiany haseł dostępu,
  4. nadzoruje prace związane z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu,
  5. zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci i zabezpieczenie łączy zewnętrznych,
  6. prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe.

§ 20

Pracownik przetwarzający dane:

  1. zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym Fundacji i składa oświadczenie o znajomości tych przepisów - wzór potwierdzenia znajomości zasad bezpieczeństwa określa załącznik nr 7 do Polityki Bezpieczeństwa,
  2. może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez ADO lub IOD w upoważnieniu i tylko w celu wykonania nałożonych obowiązków,
  3. musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania,
  4. stosuje określone przez ADO oraz IOD procedury oraz wytyczne mające na celu zgodnie z prawem, w tym zwłaszcza adekwatnie, przetwarzanie danych,
  5. korzysta z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników,
  6. zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.

 

5.3. Zasady udzielania dostępu do danych osobowych

§ 21

Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami rozporządzenia o ochronie danych osobowych oraz zasadami zawartymi w obowiązującej w Fundacji Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym. Osoba zaznajomiona z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu. Potwierdzenie znajomości zasad bezpieczeństwa włącza się do akt osobowych danego pracownika Fundacji.

§ 22

Dostęp do danych osobowych może mieć wyłącznie osoba posiadająca pisemne oraz imienne upoważnienie wydane przez ADO.

§ 23

ADO może wyznaczyć upoważnionych do przetwarzania danych osobowych pracowników Fundacji do nadzoru nad upoważnionymi pracownikami podmiotów zewnętrznych lub innymi upoważnionymi osobami przetwarzającymi dane osobowe w Fundacji.

 

5.4. Udostępnianie i powierzanie danych osobowych

§ 24

Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa lub jeżeli w sposób wiarygodny uzasadnią one potrzebę ich posiadania, a ich udostępnienie nie naruszy praw i wolności osób, których one dotyczą.

§ 25

Udostępnienie danych może nastąpić na pisemny wniosek zawierający następujące elementy:

  1. adresat wniosku (administrator danych),
  2. wnioskodawca,
  3. podstawa prawna (wskazanie potrzeby),
  4. wskazanie przeznaczenia,
  5. zakres informacji.

§ 26

Administrator odmawia udostępnienia danych jeżeli spowodowałoby to naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

§ 27

Powierzenie danych może nastąpić wyłącznie w drodze pisemnej umowy, w której osoba przyjmująca dane zobowiązuje się do przestrzegania obowiązujących przepisów rozporządzenia o ochronie danych osobowych. Umowa powinna precyzyjnie określać zakres danych przekazanych do przetwarzania oraz informacje o podstawie prawnej powierzenia danych, celu i sposobie ich przetwarzania.

§ 28

Podmiot, któremu powierzono przetwarzanie może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

§ 29

Podmiot przetwarzający dane na zlecenie ma obowiązek przed rozpoczęciem przetwarzania zabezpieczyć dane oraz spełnić wymagania określone w przepisach wykonawczych (tj. w szczególności prowadzić dokumentację, czyli politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym).

§ 30

Odpowiedzialność za przestrzeganie rozporządzenia o ochronie danych osobowych spoczywa na ADO, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

§ 31

Każda osoba fizyczna, której dane przetwarzane są w Fundacji, ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych, prawo do kontroli i poprawiania swoich danych osobowych, a także prawo wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz sprzeciwu wobec przekazywania ich innym podmiotom.

§ 32

Sprawy związane z udzielaniem informacji w tym zakresie prowadzi ADO, udzielając informacji o zawartości zbioru danych na piśmie.

 

5.5. Bezpieczeństwo w przetwarzaniu danych osobowych w formie tradycyjnej

§ 33

Przetwarzanie danych osobowych w Fundacji może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres uprawnień wynika z zakresu tych zadań.

§ 34

Zabrania się przetwarzania danych poza obszarem określonym w załączniku nr 1 do niniejszej Polityki.

§ 35

Przebywanie osób, nieuprawnionych w w/w obszarze jest dopuszczalne za zgodą IOD lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Wzory zgody na przebywanie w pomieszczeniach dla osób nieposiadających upoważnienia, a także odwołania tej zgody, stanowią odpowiednio załącznik nr 8 oraz załącznik nr 9 do Polityki Bezpieczeństwa.

§ 36

Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz.

§ 37

Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. 

§ 38

Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Fundacji powinno odbywać się po uzyskaniu upoważnienia lub skonsultowane z ADO w przypadku osób upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących przepisów.

§ 39

W obszarach przetwarzania danych obowiązuje zakaz korzystania z urządzeń rejestrujących obraz lub dźwięk.

§ 40

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia nawet w przypadku ustania stosunku pracy.

 

5.6. Bezpieczeństwo w przetwarzaniu danych osobowych w systemach informatycznych

§ 41

Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji zarządzania systemem informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemu informatycznego Fundacji.

 

6. Analiza ryzyka związanego z przetwarzaniem danych osobowych

6.1. Charakterystyka możliwych zagrożeń

§ 42

W przypadku danych przetwarzanych w sposób tradycyjny możemy wyróżnić następujące zagrożenia:

  • oszustwo, kradzież, sabotaż;
  • zdarzenia losowe (np. powódź, pożar);
  • zaniedbania pracowników Fundacji (niedyskrecja, udostępnienie danych osobie nieupoważnionej);
  • niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania;
  • pokonanie zabezpieczeń fizycznych;
  • podsłuchy, podglądy;
  • brak rejestrowania udostępniania danych;
  • niewłaściwe miejsce i sposób przechowywania dokumentacji.

§ 43

W przypadku danych przetwarzanych w systemach informatycznych możemy wyróżnić następujące zagrożenia:

  • nieprzydzielenie użytkownikom systemu informatycznego identyfikatorów;
  • niewłaściwa administracja systemem;
  • niewłaściwa konfiguracja systemu;
  • zniszczenie (sfałszowanie) kont użytkowników;
  • kradzież danych kont;
  • pokonanie zabezpieczeń programowych;
  • zaniedbania pracowników Fundacji (niedyskrecja, udostępnienie danych osobie nieupoważnionej);
  • niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania;
  • zdarzenia losowe (np. powódź, pożar);
  • niekontrolowane wytwarzanie i wypływ danych poza obszar przetwarzania za pomocą nośników informacji i komputerów przenośnych;
  • naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione;
  • przypadkowe bądź celowe uszkodzenie systemów i aplikacji informatycznych lub sieci;
  • przypadkowe bądź celowe modyfikowanie systemów i aplikacji informatycznych lub sieci;
  • przypadkowe bądź celowe wprowadzenie zmian do chronionych danych osobowych;
  • brak rejestrowania zdarzeń tworzenia lub modyfikowania danych.

 

6.2. Sposób zabezpieczenia danych

§ 44

W przypadku danych przetwarzanych w sposób tradycyjny zastosowane są następujące sposoby zabezpieczeń:

  • przechowywanie danych w pomieszczeniach zamykanych na zamki patentowe;
  • przechowywanie danych osobowych w szafach zamykanych na klucz;
  • przetwarzanie danych wyłącznie przez osoby posiadających upoważnienie nadane przez ADO;
  • zapoznanie pracowników z zasadami przetwarzania danych osobowych oraz obsługą systemu służącego do ich przetwarzania.

§ 45

W przypadku danych przetwarzanych w systemach informatycznych zastosowane są następujące sposoby zabezpieczeń:

  • kontrola dostępu do systemów;
  • zastosowanie programów antywirusowych, zapór ogniowych (firewall) i innych regularnie aktualizowanych narzędzi ochrony;
  • stosowanie ochrony zasilania;
  • systematyczne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych;
  • składowanie danych wrażliwych oraz nośników wymiennych i nośników kopii zapasowych w odpowiednio zabezpieczonych szafach;
  • przydzielenie pracownikom indywidualnych kont użytkowników i haseł;
  • stosowanie indywidualnych haseł logowania do poszczególnych programów;
  • właściwa budowa hasła.

 

6.3. Określenie wielkości ryzyka

§ 46

Poziom ryzyka naruszenia bezpieczeństwa danych jest niski. Zastosowane techniczne i organizacyjne środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych osobowych.

 

7. Instrukcja postępowania w sytuacji naruszenia danych

7.1. Istota naruszeń danych osobowych

§ 47

Naruszeniem danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:

  1. nieautoryzowany dostęp do danych,
  2. nieautoryzowane modyfikacje lub zniszczenie danych,
  3. udostępnienie danych nieautoryzowanym podmiotom,
  4. nielegalne ujawnienie danych,
  5. pozyskiwanie danych z nielegalnych źródeł.

 

7.2. Sytuacje świadczące o naruszeniu zasad bezpieczeństwa

§ 48

Sytuacje świadczące o naruszeniu zasad bezpieczeństwa:

  1. przełamane zabezpieczeń tradycyjnych (np. zerwane plomby na drzwiach, szafach, segregatorach, uszkodzone zamki w drzwiach, szafach),
  2. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej),
  3. niewłaściwe parametry środowiska, (np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych),
  4. awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru,
  5. jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,
  6. naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,
  7. próba lub modyfikacja danych oraz zmiana w strukturze danych bez odpowiedniego upoważnienia (autoryzacji),
  8. niedopuszczalna manipulacja danymi osobowymi w systemie,
  9. ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedur ochrony przetwarzania albo innych strzeżonych elementów systemu,
  10. praca w systemie lub jego sieci komputerowej wykazująca nieprzypadkowe odstępstwa od założonego rytmu pracy oraz wskazująca na przełamanie lub zaniechanie ochrony danych osobowych (np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi),
  11. ujawnienie istnienia nieautoryzowanych kont dostępu do danych,
  12. podmiana lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony kasowania lub kopiowanie danych,
  13. rażące naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, prace na danych osobowych w celach prywatnych).

 

7.3. Postępowanie w przypadku naruszenia danych osobowych

§ 49

Każdy pracownik Fundacji, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to IOD lub ADO.

§ 50

Każdy pracownik Fundacji, który stwierdzi fakt naruszenia bezpieczeństwa danych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony oraz ustalić przyczynę i sprawcę naruszenia ochrony.

§ 51

W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia IOD.

§ 52

IOD podejmuje następujące kroki:

  1. zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Fundacji,
  2. może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,
  3. powiadamiania o zaistniałym naruszeniu ADO,
  4. nawiązuje kontakt ze specjalistami spoza Fundacji (jeśli zachodzi taka potrzeba).

§ 53

IOD dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport wg wzoru stanowiącego załącznik nr 10 do Polityki Bezpieczeństwa i przekazuje go ADO.

§ 54

IOD zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych).

 

7.4. Sankcje karne

§ 55

Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne.

§ 56

Kara dyscyplinarna, wobec osoby uchylającej się od powiadomienia o naruszeniu danych osobowych nie wyklucza odpowiedzialności karnej tej osoby zgodnie z rozporządzeniem o ochronie danych osobowych.