Niniejszy dokument, zatytułowany „Polityka ochrony danych osobowych oraz Bezpieczeństwa Systemów Informacji” (dalej: „Polityka”) stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych jak też bezpieczeństwa informacji w systemach używanych przez Administratora. Polityka stanowi opis zabezpieczania systemów informacji Administratora, jak również politykę ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”).
Administrator, wypełniający we wskazany w niniejszym dokumencie sposób swoje obowiązki nałożone na niego przez RODO jak również przepisy wprowadzające RODO do polskiego porządku prawnego, to w rozumieniu wyżej wskazanych aktów prawnych również:
Zaufanie pomiędzy Klientami a naszą firmą i współpracownikami oraz nasze dziedzictwo to elementy, które sprawiają, że wartość Administratora wyróżnia nas i tworzy naszą tożsamość, odzwierciedla naszą kulturę. Naszym obowiązkiem jest ich ochrona.
Systemy informatyczne rozwijają się coraz bardziej każdego dnia, ułatwiają wymianę informacji. Z tych powodów Systemy Informatyczne Administratora stały się głównym narzędziem w:
Nasz system IT jest kluczowym czynnikiem w rozwoju naszego dziedzictwa i rozwoju pełnego zaufania Klientów.
Jednak jesteśmy świadomi, że w dzisiejszych czasach nasze systemy IT podlegają wszelkiego rodzaju zagrożeniom, które w razie wystąpienia incydentu mogą mieć negatywne konsekwencje dla naszej działalności, w związku z czym dochowujemy należytej staranności by chronić je w odpowiedni sposób i codziennie stawiać czoła nowym wyzwaniom w tym zakresie jak również dążyć do nieustannego zwiększania bezpieczeństwa używanych przez nas systemów informatycznych.
Poziom ryzyka związanego z bezpieczeństwem IT jest ustalany na podstawie globalnej strategicznej mapy ryzyka. Głównymi zagrożeniami bezpieczeństwa IT są:
Nasze dziedzictwo i systemy informacji, które wspierają nasze krytyczne procesy biznesowe są uwzględnione w zagrożeniach bezpieczeństwa.
Tak, aby uniknąć ryzyka, musimy chronić nasze wrażliwe systemy informacyjne w praktyce. Strategia ta jest zawarta w Polityce Bezpieczeństwa Systemów Informacji i odnosi się do głównych celów bezpieczeństwa, które mają na celu zmniejszenie ryzyka na akceptowalnym poziomie.
Główne cele bezpieczeństwa są opisane szczegółowo w rozdziale 4 niniejszego dokumentu.
Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji jest podstawowym dokumentem bezpieczeństwa korporacyjnego Administratora, dostosowanym do strategicznych zagrożeń i dokumentem spójnym z RODO.
Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji Administratora ma na celu inspirowanie, zachęcanie i zwiększanie zaufania wśród użytkowników(współpracowników, Klientów, partnerów)w systemach informacji świadczonych usługach.
Mając na myśli globalne bezpieczeństwo systemów informacyjnych Administratora, wyróżniamy następujące zasady motywowania:
Architektura bezpieczeństwa Administratora jest oparta na wzorcowym dokumencie odniesienia. Wzorzec ten składa się z:
Ta architektura bezpieczeństwa jest wdrożona u Administratora i przyjmuje ona formę Polityki Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji tak, aby umożliwić realizację konkretnych celów.
Niniejszy dokument odnosi się do wszystkich systemów informacyjnych, używanych przez Administratora, w tym w szczególności do:
W celu zapewnienia jej stałej przydatności, adekwatności i skuteczności, Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemów Informacji Administratora jest uaktualniana co dwa lata, lub w przypadku istotnych zmian przy procesie ponownej oceny jej zasadności i w procesie określenia ryzyk strategicznych.
Osoby współpracujące z Administratorem są głównymi elementami w systemach bezpieczeństwa informacji. To oni stanowią trzon w strategii bezpieczeństwa. Jednak ich działania mogą również prowadzić do poważnych wypadków z powodu nieznajomości ryzyka i nieprzestrzegania najlepszych praktyk.
W konsekwencji tego, powinien być realizowany program informacyjny i szkoleniowy tak, aby szerzyć kulturę bezpieczeństwa u wszystkich pracowników Administratora z uwzględnieniem osób trzecich (partnerów, podwykonawców, itd.) przez cały okres spędzony u Administratora i na wyjeździe.
Systemy informatyczne są przedmiotem licznych regulacji prawnych (o ochronie danych osobowych, ochrony informacji finansowej) lub przepisów o ochronie informacji (płatność kartą kredytową).
Regulacje prawne nie są opcją, lecz obowiązkiem. W związku z tym, monitorowanie regulacyjne odnoszące się do bezpieczeństwa IT musi być zgodne z lokalnymi przepisami prawnymi. Doradztwa w zakresie wymogów prawnych należy szukać u radców prawnych.
Co więcej, w systemach informacji muszą być stosowane wszystkie niezbędne środki bezpieczeństwa uwzględniające wymogi regulacyjne.
System Informacji przechowuje większość danych, co więcej, niektóre informacje są w większym stopniu niż inne narażone na wyciek ze względu na swoją treść, ale również ze względu na nieustannie zmieniające się zagrożenia informatyczne. Niektóre spośród tych danych podlegają regulacji lub zobowiązaniom prawnym (dane Klienta itd.). Dostęp do informacji poufnych musi być w naturalny sposób ściśle ograniczony.
W związku z tym, procedury oraz działania operacyjne są wprowadzone w celu kontrolowania dostępu do systemu Informacji, tam, gdzie jest to konieczne. Są to następujące zasady:
Liczne wrażliwe operacje przechodzą przez system informacyjny. Warto wymienić tutaj operacje finansowe, operacje na Kliencie lub zarządzanie pracownikami. Operacje te mają być monitorowane zgodnie z zaadaptowanym procesem przepływności.
W konsekwencji, możliwość śledzenia operacji wrażliwych jest zapewniana przez:
Administrator przetwarza dane osobowe mając na uwadze przede wszystkim, by przetwarzanie danych następowało:
System ochrony danych osobowych u Administratora składa się przede wszystkim takich składników, jak:
Administrator nie identyfikuje przypadków, w których przetwarza lub może przetwarzać dane szczególnych kategorii lub dane karne w związku z czym nie jest niezbędne utrzymywanie mechanizmów dedykowanych zapewnieniu zgodności przetwarzania tych kategorii danych osobowych z prawem.
Administrator rozpoznaje przypadki, w których przetwarza lub może przetwarzać dane niezidentyfikowane, w związku z czym gdy zachodzi taka konieczność, podejmuje wszystkie niezbędne czynności ułatwiające realizację praw osób, których dotyczą dane niezidentyfikowane.
Administrator identyfikuje przypadki, w których dokonuje profilowania przetwarzanych danych w związku z czym podejmuje wszelkie środki i starania, by ten proces odbywał się zgodnie z prawem i poszanowaniem praw osób fizycznych, których dane są przetwarzane.
Administrator nie identyfikuje przypadków współadministrowania danymi osobowymi.
Administrator dba o minimalizację przetwarzania danych z punktu widzenia zasad, takich jak:
Administrator stosuje ograniczenia dostępu do danych osobowych, które mają charakter prawny (zobowiązania współpracowników do poufności, upoważnienia współpracowników posiadających dostęp do danych osobowych), fizyczny (dostęp do plików z danymi osobowymi tylko dla osób upoważnionych w sposób by możliwie zminimalizować ryzyko wycieku danych, zamykanie pomieszczeń) i logistyczny(przydzielenie odpowiednich haseł dostępu do danych osobowych w ten sposób, by zminimalizować ryzyko dostępu do danych osób nieupoważnionych).
Administrator stosuje również kontrolę dostępu fizycznego poprzez niedopuszczanie do miejsc pracy klientów i osób, które nie podpisały z Administratorem umowy współpracy i odpowiednich aneksów upoważniających ich do dostępu do danych jak również oświadczeń w zakresie zachowania poufności.
Administrator dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających.
Administrator dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.
Administrator wdraża mechanizmy kontroli przetwarzania danych osobowych na wszystkich etapach przetwarzania, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w RCPD jak również w obowiązkach informacyjnych, przekazywanych osobom, których dane osobowe są przetwarzane.
Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów informatycznych Administratora jak też z miejsc przechowywania dokumentów, zawierających dane osobowe.
Dane, o których mowa powyżej mogą być archiwizowane w uzasadnionych przypadkach oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez Administratora.
Przy wdrażaniu do funkcjonowania Administratora RODO, Administrator zweryfikował zakres pozyskiwanych danych, zakres w jakim przedmiotowe dane są przetwarzane jak również ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania.
Administrator zobowiązuje się dokonywać okresowego przeglądu treści przetwarzanych danych osobowych, ich ilości i zakresu ich przetwarzania nie rzadziej niż raz na rok.
Administrator przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych osobowych, w sposób o którym mowa powyżej, w ramach procedur zarządzania przedmiotową zmianą (privacy by design).
Administrator zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw osób fizycznych w związku z charakterem danych osobowych, które są przetwarzane jak również miejsc, w których dane są przechowywane.
Administrator przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa danych osobowych. W tym celu:
Administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka (stanowiącą załącznik do RCPD), ryzyko naruszenia praw i wolności osób jest wysokie.
Administrator stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka, właściwych dla poszczególnych kategorii przetwarzania danych jak również adekwatności podejmowanych środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
Środki bezpieczeństwa danych osobowych stanowią element środków bezpieczeństwa informacji i zapewnienia cyber bezpieczeństwa przez Administratora.
Administrator stosuje procedury pozwalające na identyfikację, ocenę i zgłoszenie zidentyfikowanego naruszenia ochrony danych Urzędowi Ochrony Danych w terminie 72 godzin od ustalenia naruszenia jak również zawiadomienie osoby, której dane osobowe przetwarzane przez Administratora zostały naruszone, tak by zainteresowana osoba mogła podjąć niezbędne kroki w celu ochrony swoich praw.
Administrator posiada zasady doboru i weryfikacji podmiotów przetwarzających dane osobowe na rzecz i w imieniu Administratora. Przedmiotowe zasady i procedury zostały opracowane w celu zapewnienia, aby przetwarzający zapewniali gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Administratorze, w sposób o którym stanowią postanowienia RODO, dostosowany jednocześnie do specyfiki Administratora tak, by jak najskuteczniej chronić przetwarzane dane osobowe.
Administrator przyjął odpowiednie wymagania co do umowy powierzenia przetwarzania danych, która stanowi Załącznik nr 2 do Polityki – „Wzór umowy powierzenia przetwarzania danych”.
Administrator rozlicza przetwarzających z wykorzystania podwykonawców przetwarzania danych osobowych, jak też z innych wymagań wynikających z zasad powierzenia danych osobowych. W tym celu Administrator nakłada na podmioty przetwarzające obowiązki przestrzegania reguł bezpieczeństwa u podwykonawców przetwarzania w zakresie w jakim mowa o nałożeniu na te podmioty dokładnie takich samych wymagań faktycznych i prawnych jak na podmioty przetwarzające dane osobowe w imieniu administratora.
Administrator rejestruje w RCPD przypadki eksportu danych, czyli przekazywania danych poza Europejski Obszar Gospodarczy (EOG w 2018 r. = Unia Europejska, Islandia, Lichtenstein i Norwegia).
Aby uniknąć sytuacji nieautoryzowanego eksportu danych do państw trzecich, w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, Administrator okresowo weryfikuje zachowania użytkowników.
Administrator w sposób aktywny reaguje na zmiany w zakresie przetwarzania danych osobowych, które mają lub mogą mieć wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.
W tym celu zasady prowadzenia projektów i przedsięwzięć przez Administrator odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych. Administrator planując nowe projekty, uwzględnia bezpieczeństwo i minimalizację przetwarzania danych od początku projektu.
Ten dokument jest sklasyfikowany jako “dokument wewnętrzny Administratora” i nie powinien być ujawniany na zewnątrz firmy bez formalnej zgody zarządu Administratora.
Niniejsza Polityka Ochrony Danych Osobowych i Bezpieczeństwa Systemu Informacji jest własnością Administratora. Aktualizacja tego dokumentu jest wykonywana przez zarząd Administratora lub osoby do tego upoważnione.