Rozdział I
Postanowienia ogólne
§ 1.
1. Polityka bezpieczeństwa danych osobowych w Fundacji PROFILOGOS, zwana dalej Polityką bezpieczeństwa jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych, które są administrowane przez Fundację PROFILOGOS.
2. Użyte w Polityce bezpieczeństwa określenia oznaczają:
a) administrator danych osobowych, zwany dalej ADO: Fundacja PROFILOGOS;
b) administrator bezpieczeństwa informacji, zwany dalej ABI: osoba funkcyjna, wyznaczona przez Administratora Danych Osobowych, nadzorująca całokształt zagadnień związanych z ochroną danych osobowych, w tym odpowiedzialna za przestrzeganie zasad ochrony danych osobowych oraz nadzorująca bezpieczeństwo ich przetwarzania;
c) administratorzy systemów informatycznych, zwani dalej ASI: osoby funkcyjne, odpowiedzialne za funkcjonowanie systemów informatycznych służących do przetwarzania danych osobowych, ich sprawność i konserwację, oraz za stosowanie technicznych i organizacyjnych zabezpieczeń stosowanych w tych systemach.
d) dane osobowe: zestaw wszelkich informacji jednoznacznie identyfikujących lub umożliwiających jednoznaczne zidentyfikowanie danej osoby fizycznej, takich jak: imię i nazwisko, numer telefonu, adres poczty elektronicznej;
e) GIODO: biuro Generalnego Inspektora Ochrony Danych Osobowych;
f) naruszenie ochrony danych osobowych: niedozwolone ujawnienie, pozyskanie, niepowołany dostęp, nieuzasadnioną modyfikację lub zniszczenie danych osobowych;
g) osoba upoważniona: osoba posiadająca upoważnienie wydane przez ADO lub osoba uprawniona przez niego do przeglądania lub przetwarzania danych osobowych w systemie informatycznym w zakresie wskazanym w upoważnieniu,
h) przetwarzanie danych: jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, przenoszenie, analizowanie i usuwanie, niezależnie od formy, w jakiej wykonywane są owe czynności;
i) system informatyczny: zespół współpracujących ze sobą urządzeń, programów i procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
j) usuwanie danych: zniszczenie danych osobowych lub takie ich zmodyfikowanie, które uniemożliwi jednoznaczne zidentyfikowanie tożsamości osoby, której dotyczą nie zniszczone dane (anonimizacja);
k) użytkownik: osoba posiadająca dostęp do systemów informatycznych Fundacji,
l) zabezpieczenie danych osobowych: wszelkie środki (administracyjne, techniczne i fizyczne) wdrożone w celu zabezpieczenia i ochrony zasobów przed zniszczeniem, utratą, ujawnieniem, nieuprawnionym dostępem, modyfikacją, itd.
m) zbiór danych: każdy zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, który posiada jakąś określoną strukturę; może on być również rozproszony lub podzielony funkcjonalnie
3. Celem Polityki bezpieczeństwa jest zapewnienie przez Zarząd Fundacji
PROFILOGOS należytej ochrony danych osobowych powierzanych Fundacji, zgodnie z przepisami określonymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 929 z późn. zm.).
Rozdział II
Ogólne zasady przetwarzania danych osobowych w Fundacji PROFILOGOS
§ 2.
1. Dane osobowe są przetwarzane w Fundacji tylko i wyłącznie w dozwolonym prawem zakresie niezbędnym do realizacji celów i przedsięwzięć Fundacji, z poszanowaniem wszelkich praw do prywatności osób udostępniających Fundacji swoje dane.
2. Cele, o którym mowa w ust. 1, należy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą.
3. Zasadą obowiązującą w Fundacji jest zachowanie w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania.
4. Zasada zachowania w tajemnicy wszelkich informacji dotyczących danych osobowych obowiązuje wszystkich użytkowników systemów informatycznych Fundacji bez względu na to, czy uzyskały upoważnienie do przetwarzania danych osobowych.
5. Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby upoważnione.
6. Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba że konieczność ich sporządzania wynika z nałożonych na użytkownika obowiązków i dozwolona jest przepisami prawa.
7. Dane osobowe w zbiorze można przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, że zbiór nie zawiera danych wrażliwych.
8. Zbiór zawierający dane wrażliwe można przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania.
Rozdział III
Zabezpieczenie dostępu do danych osobowych
§ 3.
1. Przetwarzanie danych osobowych może odbywać się wyłącznie w obszarach wskazanych przez Zarząd Fundacji.
2. „Obszarem” w znaczeniu niniejszej Polityki bezpieczeństwa może być:
a) wydzielona część zaplecza administracyjnego systemu informatycznego obsługującego tworzenie i publikację wydawanej przez Fundację witryny internetowej, w której przetwarzane są dane osobowe,
b) komputer osobisty osoby funkcyjnej wykonującej zadania wymagającej przetwarzania danych osobowych w związku z zadaniami Fundacji dopóty Fundacja nie będzie dysponować własnym sprzętem komputerowym,
c) miejsce w przestrzeni publicznej, np. w siedzibie Fundacji lub ośrodku, w którym realizowane jest przedsięwzięcie Fundacji.
3. Wykaz obszarów, w których dopuszczalne jest przetwarzanie danych osobowych stanowi załącznik nr 1 do niniejszej Polityki bezpieczeństwa.
4. Załącznik ten powinien być aktualizowany po każdej uchwale Zarządu dotyczącej wskazania obszarów, w których może się odbywać przetwarzanie danych osobowych. 5. W szczególnych przypadkach, po uzyskaniu zgody administratora bezpieczeństwa informacji możliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych).
§ 4.
1. Dostęp do obszarów, w których przetwarzane są dane osobowe mogą mieć wyłącznie osoby, które posiadają do tego upoważnienie.
2. Kontrolą dostępu do obszarów, w których przetwarzane są dane osobowe, zajmuje administrator bezpieczeństwa informacji.
§ 5.
1. Dane osobowe może przetwarzać wyłącznie osoba posiadająca pisemne upoważnienie Zarządu Fundacji do przetwarzania danych osobowych.
2. Zarząd Fundacji wydaje upoważnienia z inicjatywy własnej lub na wniosek koordynatora projektu, w którym niezbędne jest przetwarzanie danych osobowych.
3. Wniosek o wydanie upoważnienia składany jest do Sekretarza Zarządu lub administratora bezpieczeństwa informacji.
4. Wykaz wydanych upoważnień stanowi załącznik nr 2 do niniejszej Polityki bezpieczeństwa.
Rozdział IV
Wykaz zbiorów danych osobowych i programów stosowanych do ich przetwarzania
§ 6.
1. Wykaz zbiorów danych osobowych przetwarzanych elektronicznie lub w inny sposób wraz ze wskazaniem programów stosowanych do ich przetwarzania znajduje się w Załączniku 3 do niniejszej Polityki bezpieczeństwa.
2. Załącznik ten powinien być aktualizowany po wprowadzeniu do przetwarzania nowych zbiorów danych osobowych lub nowych programów, które je obsługują.
Rozdział V
Opis struktury zbiorów danych
§ 7.
1. Opisu struktury zbiorów danych osobowych dokonuje się w Załącznikach 4 do niniejszej Polityki bezpieczeństwa.
2. Dla każdego zbioru danych sporządza się odrębny załącznik, oznaczany kolejną literą alfabetu – 4a, 4b, itd.
3. Opis powinien zawierać ogólną informację o budowie zbioru i jego elementów, w tym szczegółowy wykaz pól informacyjnych i opis relacji między nimi, jeżeli dane przechowywane w kilku tabelach kojarzone są na podstawie kluczowych identyfikatorów.
4. Każdy załącznik powinien być aktualizowany po wprowadzeniu istotnych zmian w strukturze opisywanej bazy danych.
Rozdział VI
Przepływ danych pomiędzy poszczególnymi systemami
§ 8.
1. Opisu sposobu przepływu danych pomiędzy poszczególnymi systemami dokonuje się w Załącznikach 5 do niniejszej Polityki bezpieczeństwa.
2. Dla każdej pary zbiorów wymieniających dane sporządza się odrębny załącznik, oznaczany kolejną literą alfabetu – 5a, 5b, itd.
3. Każdy załącznik powinien być aktualizowany po wprowadzeniu istotnych zmian w sposobie lub zakresie wymiany danych.
Rozdział VII
Organizacyjne i techniczne środki ochrony danych osobowych
§ 9.
Środki organizacyjne
1. Wprowadzenie instrukcji dla osób upoważnionych do przetwarzania danych osobowych.
2. Powołanie administratora bezpieczeństwa informacji oraz administratorów systemu informatycznego, odpowiedzialnych za działania organizacyjne i środki techniczne zapewniające odpowiedni poziom bezpieczeństwa danych osobowych.
3. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.
4. Kontrola dostępu do obszarów, w których przetwarzane są dane osobowe oraz ścisła kontrola dostępu do urządzeń, na których przechowywane są bazy danych i ich kopie.
5. Tworzenie kopii archiwalnych baz danych zawierających dane osobowe.
6. Ocenianie przed wdrożeniem do użytku operacyjnego aplikacji służących przetwarzaniu danych osobowych pod kątem poprawności ich działania oraz podatności na uszkodzenia i „ataki” z zewnątrz.
§ 10.
Środki techniczne
1. Ustawienie odpowiednich poziomów dostępu dla użytkowników uprawnionych do prowadzenia operacji na zapleczu systemów informatycznych obsługujących witryny wydawane przez Fundację. Zmiany mogą zostać przeprowadzone tylko i wyłącznie przez administratora danego systemu (polityka ograniczonego zaufania).
2. Zabezpieczanie dostępu do urządzeń i plików z bazami danych silnymi hasłami.
3. Logowanie w dziennikach systemowych na serwerach wszelkich zdarzeń związanych z dostępem do danych.
4. Dodatkowa ochrona i monitorowanie dostępu do witryn, w których przetwarzane są dane osobowe oprogramowaniem zwiększającym bezpieczeństwo systemu (Akeeba Admin Tools, RSS Firewall, itp.).
5. Przechowywanie archiwalnych kopii baz danych na odrębnych nośnikach (klucze USB) na partycjach zabezpieczonych hasłem.
Rozdział VIII
Kontrola przestrzegania Polityki bezpieczeństwa danych osobowych
§ 11.
1. Nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz ustanowionych w Polityce bezpieczeństwa sprawuje w imieniu Fundacji administrator bezpieczeństwa informacji powołany przez Zarząd Fundacji.
2. Do obowiązków administratora bezpieczeństwa informacji należy:
a) czuwanie nad przetwarzaniem powierzanych Fundacji danych osobowych zgodnie z prawem,
b) wdrażanie niezbędnych środków technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych w Fundacji danych osobowych,
c) sprawowanie kontroli nad bezpieczeństwem oraz sposobem przetwarzania danych,
d) niezwłoczne informowanie Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych,
e) opracowanie programu i przeprowadzanie instruktaży w zakresie bezpieczeństwa systemu informatycznego i zasad ochrony danych osobowych osobom, którym udzielany jest dostęp do zaplecza systemów informatycznych obsługujących witryny wydawane przez PCJ, w szczególności upoważnianym do przetwarzania danych osobowych,
f) podejmowanie stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym,
g) prowadzenie wykazu zbiorów danych osobowych,
h) prowadzenie ewidencji osób upoważnionych do przetwarzania
danych osobowych,
i) uaktualnianie załączników, o których mowa w rozdziałach III, IV, V i VI.
j) inicjowanie zmian w Polityce bezpieczeństwa i dokumentach zależnych w celu ich dostosowania do wymogów prawa oraz aktualnych organizacyjnych i technicznych możliwości ochrony danych osobowych powierzonych Fundacji, k) czuwanie nad dopełnieniem przez Fundację obowiązków związanych z tworzeniem i utrzymywaniem zbiorów danych osobowych, których dotyczą przepisy o rejestracji w Głównym Inspektoracie Ochrony Danych Osobowych.
Rozdział IX
Katalog zdarzeń wskazujących na możliwe naruszenie ochrony danych osobowych
§ 12.
O naruszeniu ochrony danych osobowych mogą świadczyć następujące symptomy i zdarzenia:
• brak możliwości uruchomienia aplikacji pozwalającej na dostęp do danych osobowych,
• brak możliwości zalogowania się do tej aplikacji,
• ograniczone lub zwiększone uprawnienia użytkownika w porównaniu z normalną sytuacją,
• inny niż zwykle wygląd aplikacji,
• inny niż zwykle zakres danych dostępny dla użytkownika – dużo więcej lub dużo mniej danych,
• znaczne spowolnienie działania systemu informatycznego,
• pojawienie się niestandardowych komunikatów systemowych,
• ślady włamania lub prób włamania do obszaru, w którym przetwarzane są dane osobowe,
• zagubienie bądź kradzież nośnika z danymi osobowymi,
• kradzież sprzętu informatycznego z danymi osobowymi,
• informacja z systemu antywirusowego o zainfekowaniu systemu,
• fizyczne zniszczenie lub uszkodzenie elementów systemu informatycznego przetwarzającego dane osobowe na skutek przypadkowych lub celowych działań albo zaistnienia działania siły wyższej,
• podejrzenie nieautoryzowanej modyfikacji danych osobowych
• ujawnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki” (backdoor), itp.,
• ujawnienie osobom nieupoważnionym danych osobowych albo procedur ochronnych objętych tajemnicą lub innych strzeżonych elementów systemu np. loginu i hasła uprawnionego użytkownika,
• ujawnienie niedozwolonej manipulacji danymi osobowymi,
• zdarzenia losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad itp.),
• zniszczenie lub uszkodzenie w wyniku niezamierzonych pomyłek operatorów, administratora systemu informatycznego, awarii sprzętu, błędów oprogramowania).
Rozdział X
Zasady postępowania w przypadku naruszenia ochrony danych osobowych
§ 13.
1. Każda osoba, która zauważyła zdarzenie mogące świadczyć o naruszeniu ochrony danych osobowych lub sytuację, która może spowodować naruszenie bezpieczeństwa danych, zobowiązana jest do natychmiastowego poinformowania administratora bezpieczeństwa informacji lub administratora systemu informatycznego albo któregokolwiek z członków Zarządu Fundacji.
2. Zgłoszenie powinno zawierać imię i nazwisko osoby zgłaszającej oraz zauważone symptomy zagrożenia.
3. W przypadku, gdy zgłoszenie o podejrzeniu incydentu otrzyma osoba inna niż administrator bezpieczeństwa informacji, jest ona zobowiązana poinformować o tym fakcie administratora bezpieczeństwa informacji.
§ 14.
1. Administrator bezpieczeństwa informacji po otrzymaniu zgłoszenia o wystąpieniu symptomów wskazujących na możliwość naruszenia bezpieczeństwa danych osobowych jest zobowiązany do podjęcia wszelkich niezbędnych kroków w celu:
a) wyjaśnienia zdarzenia, a w szczególności, czy miało miejsce naruszenie ochrony danych osobowych,
b) wyjaśnienia przyczyn naruszenia bezpieczeństwa danych osobowych i zebranie ewentualnych dowodów, a w szczególności, gdy zdarzenie było związane z celowym działaniem osoby upoważnionej bądź osób trzecich,
c) zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem się zagrożenia,
d) usunięcia skutków incydentu i przywróceniu pierwotnego stanu systemu informatycznego (to jest stanu sprzed incydentu).
2. O wszystkich faktach naruszenia bezpieczeństwa danych osobowych administrator bezpieczeństwa informacji zobowiązany jest poinformować ADO.
3. Informacja, o której mowa w ust. 2, powinna zawierać:
a) opis stwierdzonego naruszenia bądź zagrożenia,
b) wyjaśnienie przyczyn zdarzenia,
c) zestawienie dowodów w przypadku, gdy w wyniku zdarzenia nastąpiło naruszenie prawa, szczególnie w przypadku, gdy incydent spowodowany był celowym działaniem albo rażącym zaniedbaniem, które może być podstawą wystąpienia ADO do organów ścigania przestępstw,
d) opis działań naprawczych podjętych w celu usunięcia zagrożenia lub likwidacji skutków zdarzenia.
4. System informatyczny, którego prawidłowe działanie zostało odtworzone powinien zostać poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usunięcia symptomów incydentu.
§ 15.
1. Administrator bezpieczeństwa informacji prowadzi ewidencję interwencji związanych z zaistniałymi incydentami w zakresie bezpieczeństwa danych osobowych.
2. Ewidencja o której mowa w ust. 1, obejmuje następujące informacje:
a) imię i nazwisko osoby zgłaszającej incydent,
b) imię i nazwisko osoby przyjmującej zgłoszenie incydentu,
c) datę zgłoszenia incydentu,
d) przeprowadzone działania wyjaśniające przyczyny zaistnienia incydentu,
e) wyniki przeprowadzonych działań,
f) podjęte akcje naprawcze i ich skuteczność.
§ 16.
1. Administrator bezpieczeństwa informacji przeprowadza przynajmniej raz w roku analizę zaistniałych incydentów w celu:
a) określenia skuteczności podejmowanych działań wyjaśniających i naprawczych,
b) określenie wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów,
c) określenie potrzeb w zakresie szkoleń administratorów systemu i użytkowników systemu informatycznego przetwarzającego dane osobowe.
Rozdział XI
Zasady wykorzystania do przetwarzania danych osobowych komputerów przenośnych
§ 17.
1. Przetwarzanie danych osobowych na komputerach przenośnych powinno być ograniczone do niezbędnych przypadków.
2. Przetwarzanie danych osobowych przy użyciu komputerów przenośnych może odbywać się wyłącznie za zgodą ADO i za wiedzą ABI.
3. Zakres danych przetwarzanych na komputerze przenośnym oraz zakres uprawnień do przetwarzanych danych ustala Zarząd Fundacji.
§ 18.
1. Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem.
2. Użytkownik komputera przenośnego zobowiązany jest szczególnie do:
a) transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia (transportowania w bagażu podręcznym, nie pozostawiania w samochodzie, przechowalni bagażu, itp.)
b) korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i w środkach transportu publicznego,
c) niezezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, na którym przetwarzane są dane osobowe,
d) zabezpieczania komputera przenośnego hasłem,
e) kopiowania danych osobowych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii awaryjnej tych danych,
f) utrzymanie konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł,
g) wykorzystywanie haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe,
h) zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe
i) przeprowadzanie aktualizacji oprogramowania antywirusowego.
§ 19.
1. Administrator bezpieczeństwa informacji zobowiązany jest do podjęcia działań mających na celu zabezpieczenie komputerów przenośnych, w szczególności aby:
a) dokonano konfiguracji oprogramowania na komputerach przenośnych w sposób wymuszający korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakości oraz okresową zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe,
b) zabezpieczono dane osobowe przetwarzane na komputerach przenośnych poprzez zastosowanie oprogramowania szyfrującego te dane. Dostęp do danych powinien być możliwy wyłącznie po podaniu tego hasła,
c) dokonano instalacji i konfiguracji oprogramowania antywirusowego na komputerze przenośnym,
d) przeprowadzano aktualizację oprogramowania antywirusowego.
§ 20.
Administrator bezpieczeństwa informacji jest odpowiedzialny za prowadzenie ewidencji komputerów przenośnych wykorzystywanych do przetwarzania danych osobowych, w szczególności ewidencja obejmuje:
a) typ i numer seryjny komputera przenośnego,
b) imię i nazwisko osoby będącej użytkownikiem komputera,
c) rodzaj i zakres danych osobowych przetwarzanych na komputerze przenośnym.