Polityka bezpieczeństwa danych osobowych

Polityka bezpieczeństwa przetwarzania danych osobowych w firmie Expertus BHP Lublin

Rozdział  1

Postanowienia ogólne

§ 1

Głównym założeniem Polityki Bezpieczeństwa przetwarzania danych osobowych w firmie Expertus Dariusz Nowak jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe.

§ 2

Polityka bezpieczeństwa została stworzona w oparciu o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

§ 3

Ochrona danych osobowych  realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników.

§ 4

  1. Utrzymanie bezpieczeństwa przetwarzania danych osobowych na każdym etapie ich użytkowania w firmie Expertus BHP Lublin  opiera się na  zapewnieniu  poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
  2. Wszelkie zastosowane środki ochrony danych osobowych, zarówno techniczne jak i organizacyjne, którymi dysponuje firma mają na celu zapewnić:
  3. poufność danych –dane, którymi dysponuje firma Expertus BHP Lublin, nie zostaną udostępnione osobom niepowołanym
  4. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  5. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
  6. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
  7. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
  8. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

§ 5

  1. Nie powołano Inspektora Ochrony Danych Osobowych 

Rozdział 2

Definicje

§ 6

Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:

  1. administrator danych osobowych – jest to osoba odpowiedzialna za ochronę danych osobowych w firmie, a także odpowiadająca przed organem nadzorczym.
  2. dane osobowe – są to wszystkie informacje, dzięki którym możemy zidentyfikować daną osobę np. imię i nazwisko, PESEL itp.
  3. zbiór danych osobowych – każdy posiadający strukturę  zestaw  danych  o  charakterze  osobowym,  dostępnych  według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
  4. przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  5. system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
  6. system tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia, i środków trwałych w celu przetwarzania danych osobowych na papierze;
  7. zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
  8. administrator systemu informatycznego – rozumie się przez to osobę lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi;
  9. użytkownik – rozumie się przez to upoważnionego przez administratora danych osobowych lub IOD  (o ile został powołany), wyznaczonego do przetwarzania danych osobowych pracownika;
  10.  identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  11. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

Rozdział 3

Zakres stosowania

§ 7

  1. Firma Expertus BHP Lublin przetwarza w szczególności dane osobowe zebrane w zbiorach danych osobowych.
  2. Dane te są przetwarzane zarówno w postaci dokumentacji papierowej, jak i elektronicznej.
  3. Polityka bezpieczeństwa zawiera dokumenty dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. 

§ 8

Politykę bezpieczeństwa stosuje się w szczególności do:

  1. danych osobowych przetwarzanych w systemie: Vadamecum BHP, Infor, Microsoft Office
  2. wszystkich informacji dotyczących danych osobowych
  3. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych;
  4. rejestru osób dopuszczonych do przetwarzania danych osobowych;
  5. innych dokumentów zawierających dane osobowe.

§ 9

  1. Zakresy ochrony danych osobowych określone przez dokumenty Polityki bezpieczeństwa mają zastosowanie do systemów informatycznych, w  których są przetwarzane dane osobowe, a w szczególności do:
  2. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie;
  3. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie;
  4. wszystkich pracowników, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
  5. Do stosowania zasad określonych przez dokumenty Polityki bezpieczeństwa zobowiązani są wszyscy pracownicy, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie.

Rozdział 4

Wykaz zbiorów danych osobowych

§ 10

1 . Dane osobowe gromadzone są w zbiorach zaświadczeń:

  1. Protokoły powypadkowe
  2. Faktury wystawiane kontrahentom
  3. Zaświadczenia o odbyciu szkolenia wstępnego bądź okresowego
  4. Analiz i statystyk ryzyka występującego na danym stanowisku
    1. Akta osobowe pracowników;
    1. Ewidencja zwolnień lekarskich;
    1. Skierowania na badania okresowe, specjalistyczne;
    1. Ewidencja urlopów, karty czasu pracy;
    1. Listy płac pracowników;
    1. Deklaracje ubezpieczeniowe pracowników;
    1. Deklaracje i kartoteki ZUS pracowników;
    1. Deklaracje podatkowe pracowników;
    1. Rejestr wypadków, ewidencja podejrzeń o chorobę zawodową itp.;
    1. Umowy zawierane z osobami fizycznymi;

§ 11

Zbiory danych osobowych wymienione w § 10 ust. 1 pkt  podlegają przetwarzaniu zarówno w  sposób tradycyjny jak i elektroniczny.

Rozdział 5

Wykaz budynków, pomieszczeń i stref do przetwarzania danych osobowych

§ 12

1. Dane osobowe przetwarzane są w budynku, mieszczącym się w siedzibie firmy Expertus BHP Lublin przy ulicy Bolesława Prusa 8 budynek B w Lublinie;

2.

1. Wykaz pomieszczeń, w których przetwarzane są dane osobowe (wskazanie konkretnych numerów pomieszczeń) Biuro firmy Expertus BHP Lublin numer 6
2. Wykaz pomieszczeń, w których znajdują się komputery stanowiące element systemu informatycznego Pokój numer 6
3. Wykaz pomieszczeń, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe) Pokój numer 6
4. Wykaz programów, w których przetwarzane są dane osobowe Vadamecum BHP, program do fakturowania Infor Sys, Microsoft Office,  
5. Wykaz podmiotów zewnętrznych, które mają dostęp do danych osobowych lub je przetwarzają na podstawie umów Biuro rachunkowe Anna Żukrowska
6. Inne (proszę podać inne informacje dotyczące pomieszczeń, w których przetwarzane są dane osobowe, oraz ich zabezpieczeń) Komputery wyposażone są w aktualne oprogramowanie anty-wirusowe, dane zabezpieczone są hasłami o odpowiedniej sile zabezpieczeń, dokumentacja papierowa przechowywana jest w szafkach zamkniętych na klucz

Rozdział 6

§ 13

Lp. Zbiór danych Dział/jednostka organizacyjna Program Lokalizacja bazy danych Miejsce przetwarzania danych
1. Dane kontrahentów Firmy zewnętrzne Infor Sys Komputer przenośny Biuro, pokój 6
2. Dane pracowników kontrahentów(wypadki przy pracy i w drodze do pracy i z pracy) Jw. Vademecum bhp jw jw
3. Dane uczniów(wypadki uczniów) jw Vademecum bhp jw jw
4. Dane innych osób(potencjalnie) jw jw jw jw
5.          
6.          

Rozdział 7

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych

§ 14

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w firmie przedstawia się w sposób następujący:

  1. Program Vademecum bhp

       Dane pracowników

       Dane uczniów

  1. Program Infor Sys

        Dane kontrahentów

Rozdział 8

§ 15

Przepływ danych pomiędzy poszczególnymi systemami

Program 1 Przepływ Program 2 Przepływ danych
Office -> Vademecum brak
Office -> Infor brak
Vademeum -> Office Możliwy, rzadko
Infor -> Office jw
…… <-> …… brak
…… <-> …… brak

Rozdział 9

Środki techniczne i organizacyjne zabezpieczenia danych osobowych

§ 16

  1. Zabezpieczenia organizacyjne
  2. sporządzono i wdrożono Politykę bezpieczeństwa;
  3. sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w firmie Expertus BHP Lublin;
  4. wyznaczono miejsce bezpiecznego przechowywani d.o.;
  5. Administrator danych osobowych wyznaczył osoby posiadające uprawnienia do przeprowadzania czynności przetwarzania danych osobowych w firmie;
  6. stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;
  7. Wszystkie osoby zatrudnione w firmie Expertus BHP Lublin zostały zaznajomione z Rozporządzeniem o Ochronie Danych Osobowych;
  8. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
  9. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
  10.  przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe, jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
  11.  dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób.
  12. Zabezpieczenia techniczne:
  13. stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
  14. komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła.
  15. Środki ochrony fizycznej:
  16. obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest przez dozorcę,
  17. urządzenia służące do przetwarzania danych osobowych umieszcza się w zamykanych pomieszczeniach.

Rozdział 10

§ 17

Do najważniejszych obowiązków administratora danych osobowych lub administratora bezpieczeństwa informacji należy:

  1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy i rozporządzenia o ochronie danych osobowych,
  2. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki,
  3. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
  4. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
  5. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych, prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
  6. nadzór nad bezpieczeństwem danych osobowych,
  7. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  8. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

Rozdział 11

§ 18

  1. Administrator systemu informatycznego odpowiedzialny jest za:
  2. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych;
  3. optymalizację wydajności systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego;
  4. instalacje i konfiguracje oprogramowania systemowego, sieciowego;
  5. konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem;
  6. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych;
  7. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych;
  8. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego;
  9. zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie;
  10. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji;
  11.  przyznawanie na wniosek administratora danych osobowych lub administratora bezpieczeństwa informacji ściśle określonych praw dostępu do informacji w danym systemie;
  12.  wnioskowanie do administratora danych osobowych lub administratora bezpieczeństwa informacji w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń;
  13.  zarządzanie licencjami, procedurami ich dotyczącymi;
  14.  prowadzenie profilaktyki antywirusowej.

Rozdział 12

  1. 1.               Szkolenia użytkowników

§ 19

  1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
  2.  Za przeprowadzenie szkolenia odpowiada administrator danych.
  3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz instrukcjami obowiązującymi u administratora danych osobowych, a także o zobowiązaniu się do ich przestrzegania.
  4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.
  5. Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

Rozdział 13

  1. 1.                  Postanowienia końcowe

§ 20

  1. Administrator danych osobowych ma obowiązek zapoznać z treścią Polityki każdego użytkownika.
  2. Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.
  3. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
  4. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
  5. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy rozporządzenia.