WSTĘP
Zarząd, świadomy praw osób fizycznych do prywatności, zobowiązuje się do właściwej i skutecznej ochrony danych osobowych przetwarzanych w Automobilklubie Wielkopolskim (AW). W celu zapewnienia bezpieczeństwa przetwarzanych danych w ramach zadań statutowych Zarząd Automobilklubu Wielkopolska deklaruje:
W związku z tym, że w Automobilklubie Wielkopolskim przetwarzane są również dane wrażliwe, a system informatyczny posiada szerokopasmowe połączenie z Internetem, niniejsza polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa danych. Jest zgodna z ustawą o ochronie danych osobowych oraz RODO
Niniejszy dokument opisuje niezbędny do uzyskania tego poziomu bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych.
ROZDZIAŁ I: OGÓLNE ZASADY POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH
1.1. Postanowienia ogólne
1.1.1. Normy prawne i techniczne:
1.1.2. Procedury i zasady określone w niniejszym dokumencie mają zastosowanie do:
1.1.3. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych.
1.1.4 Skuteczność przetwarzania danych osobowych osiąga się przy zachowaniu szczególnej staranności w ochronie interesów osób, których dane dotyczą oraz przestrzeganiu zasad:
1.2. Podstawowe definicje
Ilekroć w niniejszym dokumencie jest mowa o:
1) Ustawie- rozumie się przez to ustawę o ochronie danych osobowych (Dz. U. z 2018 r., poz.1000);
2) Rozporządzeniu- rozumie się przez to rozporządzenie PE (RODO);
3) AUTOMOBILKLUB WIELKOPOLSKI- rozumie się przez to Automobilklub Wielkopolski w Poznaniu;
4) Administratorze Danych Osobowych (ADO)- rozumie się przez to Automobilklub Wielkopolski, reprezentowane przez Prezesa;
5) Prezes AW- rozumie się przez to Prezesa AW;
6) Specjaliście ds. bezpieczeństwa informacji- rozumie się przez to wyznaczonego przez Administratora Danych Osobowych pracownika AUTOMOBILKLUB WIELKOPOLSKI nadzorującego przestrzeganie zasad ochrony przetwarzania danych osobowych;
7) Administratorze Sytemu Informatycznego (ASI)- rozumie się przez to pracownika zatrudnionego na stanowisku informatyka, lub podmiot świadczący usługi w zakresie obsługi informatycznej na podstawie umowy cywilnoprawnej, nadzorującego/nadzorujący przetwarzanie danych osobowych w systemie informatycznym;
8) osobie upoważnionej do przetwarzania danych osobowych- rozumie się przez to osobę, która została upoważniona na piśmie przez Prezesa AUTOMOBILKLUB WIELKOPOLSKI lub inną osobę upoważnioną do przetwarzania danych osobowych;
9) użytkowniku- rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
10) przetwarzającym- rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy;
11) odbiorcach danych- rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a. osoby, której dane dotyczą,
b. osoby upoważnionej do przetwarzania danych osobowych,
c. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
12) identyfikatorze- rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
13) haśle- rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
14) sieci telekomunikacyjnej- rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt. 35 ustawy z dnia 16 lipca 2004 r.- Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 ze zmianami);
15) sieci publicznej- rozumie się przez to publiczną siec telekomunikacyjną w rozumieniu art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r.- Prawo telekomunikacyjne (Dz. U. z 2014r., poz. 243 ze zmianami);
16) teletransmisji- rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
17) rozliczalności- rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
18) integralności danych- rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
19) poufności danych- rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
20) raporcie- rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych;
21) uwierzytelnianiu- rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
22) przetwarzaniu danych osobowych- rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, w szczególności w systemach informatycznych;
23) zbiorze danych osobowych- rozumie się przez to każdy posiadający strukturę zestaw (zasób) danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
24) zasobie danych osobowych- rozumie się przez to wszystkie dane osobowe, niezależnie od sposobu ich utrwalenia, zarówno w formie elektronicznej jak i papierowej, występujące zarówno w zbiorach danych osobowych jak i w formie nieuporządkowanej, przetwarzane przez komórkę organizacyjną AUTOMOBILKLUB WIELKOPOLSKI w celu realizacji jej zadań;
25) systemie informatycznym- rozumie się przez to zespół urządzeń, sprzętu komputerowego, oprogramowania oraz baz danych wykorzystywanych do przetwarzania danych osobowych;
26) danych sensytywnych- rozumie się przez to dane określone w art. 8-10 RODO, podlegające szczególnej ochronie;
27) trwałym usunięciu danych osobowych- rozumie się przez to sposób niszczenia danych komputerowych polegający na wykorzystaniu oprogramowania opartego na algorytmie niszczenia danych określającym liczbę cykli i rodzaj nadpisanych bitów jednostek informacyjnych. W przypadku danych osobowych przetwarzanych w sposób tradycyjny- zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
28) ryzyku- możliwość zaistnienia zdarzenia, które będzie miało negatywny wpływ na bezpieczeństwo przetwarzania danych osobowych, tzn. na ich poufność, rozłączalność i integralność;
29) zarządzaniu ryzykiem- działania podejmowane w celu identyfikacji, oceny określenia reakcji na ryzyko utraty bezpieczeństwa przetwarzania danych osobowych.
1.3. Podział obowiązków i odpowiedzialności osób w zakresie zarządzania bezpieczeństwem przetwarzania danych osobowych
1.3.1. Administrator Danych Osobowych realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:
1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza z uwzględnieniem zmian w obowiązującym prawie, organizacji AUTOMOBILKLUB WIELKOPOLSKI oraz technik zabezpieczenia danych osobowych;
2) ustala zasady przetwarzania zbiorów danych osobowych;
3) upoważnia poszczególne osoby do przetwarzania danych osobowych w stosownym, indywidualnie określonym zakresie;
4) wyznacza specjalistę ds. bezpieczeństwa informacji oraz określa zakres jego zadań;
5) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpieczeństwa przetwarzania danych osobowych;
1.3.2. Specjalista ds. bezpieczeństwa informacji, w szczególności:
1) sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych w AUTOMOBILKLUB WIELKOPOLSKI;
2) przeprowadza sprawdzenie zgodności przetwarzania danych osobowych z ustawą, rozporządzeniem i wewnętrznymi aktami normatywnymi;
3) kontroluje procesy udostępniania danych osobowych innym podmiotom;
4) kontroluje proces powierzania przetwarzania danych osobowych przez AUTOMOBILKLUB WIELKOPOLSKI innym podmiotom;
5) nadzoruje wykonywanie zadań przez Administratora Systemu Informatycznego w zakresie kontroli i zapewnienia bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;
6) prowadzi rejestr czynności przetwarzania danych osobowych i rejestr kategorii czynności przetwarzania;
7) przygotowuje projekty upoważnień do przetwarzania danych osobowych;
8) prowadzi aktualną ewidencję osób upoważnionych do przetwarzania danych osobowych;
9) uczestniczy w czynnościach kontrolnych wykonywanych w AUTOMOBILKLUB WIELKOPOLSKI przez PUODO;
10) prowadzi oraz aktualizuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych;
11) współpracuje z Administratorem Systemu Informatycznego z zakresie nadzoru i kontroli bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;
12) podejmuje odpowiednie działania w wypadku naruszenia lub podejrzenia naruszenia zasad ochrony danych osobowych;
13) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi/organizuje szkolenia osób upoważnianych do przetwarzania danych osobowych;
14) w porozumieniu z Administratorem Danych Osobowych na czas usprawiedliwionej nieobecności wyznacza swojego zastępcę.
1.3.3. Podczas realizacji swoich zadań specjalista ds. bezpieczeństwa informacji ma prawo do:
1) uzyskiwania wszelkich informacji dotyczących przetwarzania danych osobowych od wszystkich komórek organizacyjnych AUTOMOBILKLUB WIELKOPOLSKI;
2) żądania wglądu w dokumentację dotyczącą przetwarzania danych osobowych;
3) wglądu do systemu informatycznego służącego do przetwarzania danych osobowych;
4) kontrolowania wszystkich komórek organizacyjnych AUTOMOBILKLUB WIELKOPOLSKI pod kątem właściwego zabezpieczenia pomieszczeń oraz systemów informatycznych, w których przetwarzane są dane osobowe;
5) wydawania zaleceń osobom upoważnionym do przetwarzania danych osobowych w zakresie bezpieczeństwa ich przetwarzania;
6) wnioskowania o zmiany, składanie raportów i zaleceń w zakresie bezpieczeństwa przetwarzania danych osobowych w AUTOMOBILKLUB WIELKOPOLSKI.
1.3.4. Administrator Systemu Informatycznego w szczególności:
1) zarządza systemami informatycznymi AUTOMOBILKLUB WIELKOPOLSKI, w których są przetwarzane dane osobowe;
2) określa sposób wypełnienia wymagań technicznych dotyczących zabezpieczeń danych osobowych w systemie informatycznym w porozumieniu ze specjalistą ds. bezpieczeństwa informacji;
3) przeciwdziała dostępowi osób nieuprawnionych do systemu informatycznego, w którym są przetwarzane dane osobowe;
4) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;
5) podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do systemu informatycznego;
6) analizuje wszystkie zdarzenia związane z naruszeniem ochrony danych osobowych;
7) podejmuje odpowiednie działania w sytuacji stwierdzenia naruszenia ochrony danych osobowych przetwarzanych w systemie informatycznym;
8) prowadzi szczegółową dokumentację zdarzeń naruszających bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym AUTOMOBILKLUB WIELKOPOLSKI, w tym rejestr awarii i naruszeń bezpieczeństwa systemu;
9) pełni nadzór nad bezpiecznym przesyłaniem danych drogą teletransmisji;
10) aktualizuje wykaz systemów informatycznych służących do przetwarzania danych osobowych;
11) nadzoruje wykonywanie napraw, usług serwisowych oraz konserwację urządzeń komputerowych, na których zapisywane są dane osobowe;
12) sprawuje nadzór nad wykonywanie kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego AUTOMOBILKLUB WIELKOPOLSKI;
13) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji;
14) informuje na bieżąco specjalistę ds. bezpieczeństwa informacji i Administratora Danych Osobowych o stanie zabezpieczeń danych osobowych przetwarzanych w systemie informatycznym;
15) składa na żądanie specjalisty ds. bezpieczeństwa informacji wyjaśnienia, raporty, sprawozdania w zakresie realizacji swoich obowiązków dotyczących bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym.
1.3.5. Pracownik ds. kadr i spraw socjalnych, w szczególności:
1) zgłasza specjaliście ds. bezpieczeństwa informacji zamiar zatrudnienia nowego pracownika oraz ustanie stosunku pracy;
2) przedkłada nowozatrudnionym pracownikom do podpisu oświadczenie o zachowaniu tajemnicy danych osobowych oraz przestrzeganiu procedur i zasad ich bezpiecznego przetwarzania;
3) wnioskuje do Administratora Systemu Informatycznego o nadanie identyfikatora użytkowania w systemie.
1.3.6. Kierownicy komórek organizacyjnych AUTOMOBILKLUB WIELKOPOLSKI, w szczególności:
1) zarządzają zasobem danych osobowych w ramach zadań realizowanych przez podległą komórkę organizacyjną;
2) zgłaszają do specjalisty ds. bezpieczeństwa informacji zamiar utworzenia nowego zasobu danych osobowych oraz zmiany w zakresie i sposobach jego przetwarzania;
3) zapoznają podległych pracowników z zasadami przetwarzania i ochrony danych osobowych w podległej komórce organizacyjnej;
4) realizują proces udostępniania danych osobowych innym podmiotom, lub osobie, której dane dotyczą;
5) realizują procesy związane z powierzeniem przetwarzania danych osobowych innym podmiotom;
6) realizują obowiązek dotyczący ochrony obszaru przetwarzania danych osobowych i stosowania zabezpieczeń danych;
7) nadzorują obieg oraz przechowywania dokumentów i nośników zawierających dane osobowe.
1.3.7. Pracownicy zatrudnieni na samodzielnych stanowiskach pracy, w szczególności:
1) zarządzają zasobem danych osobowych w ramach zadań realizowanych na samodzielnym stanowisku pracy;
2) zgłaszają do specjalisty ds. bezpieczeństwa informacji zamiar utworzenia zasobu danych osobowych oraz zmiany w zakresie i sposobach jego przetwarzania;
3) realizują proces udostępniania danych osobowych innym podmiotom, lub osobie, której dane dotyczą;
4) realizują procesy związane z powierzeniem przetwarzania danych osobowych innym podmiotom;
5) realizują obowiązek dotyczący ochrony obszaru przetwarzania danych osobowych i stosowania zabezpieczeń danych.
ROZDZIAŁ 2: PROCESY PRZETWARZANIA DANYCH OSOBOWYCH W AUTOMOBILKLUB WIELKOPOLSKI
2.1. Zasady dopuszczania osób do przetwarzania danych osobowych
2.1.1. Prezes AW jest upoważniony do przetwarzania danych osobowych występujących we wszystkich zasobach AUTOMOBILKLUB WIELKOPOLSKI.
2.1.2. W trakcie nieobecności Prezesa Administratora Danych Osobowych reprezentuje pracownik AUTOMOBILKLUB WIELKOPOLSKI, zastępujący Prezesa w czasie jego nieobecności.
2.1.3. Pracownik przyjmowany do pracy w AUTOMOBILKLUB WIELKOPOLSKI, po zawarciu umowy o pracę, podpisuje oświadczenie o zachowaniu tajemnicy danych osobowych oraz przestrzeganiu procedur i zasad ich bezpiecznego przetwarzania przygotowane przez pracownika ds. kadr i spraw socjalnych. Wzór oświadczenia stanowi załącznik nr 2 do polityki bezpieczeństwa. Informację o odebraniu oświadczenia przekazuje specjaliście ds. bezpieczeństwa informacji.
2.1.4. Pracownik ds. kadr i spraw socjalnych na 2 dni robocze przed planowanym terminem zawarcia umowy o pracę przekazuje specjaliście ds. bezpieczeństwa informacji dane niezbędne do przygotowania projektu upoważnienia do przetwarzania danych osobowych.
2.1.5. Prezes AW lub inna osoba upoważniona upoważnia osoby zatrudnione w AUTOMOBILKLUB WIELKOPOLSKI do przetwarzania danych osobowych w zakresie niezbędnym do wykonywania zadań na danym stanowisku pracy. Wzór upoważnienia stanowi załącznik nr 1 do polityki bezpieczeństwa.
2.1.6. Upoważnienie do przetwarzania danych osobowych osobom mającym wykonywać dla AUTOMOBILKLUB WIELKOPOLSKI czynności związane z dostępem do danych osobowych na podstawie umów cywilnoprawnych nadaje Prezes AW lub inna osoba upoważniona. Dane niezbędne do przygotowania projektu upoważnienia do przetwarzania danych osobowych przekazuje specjaliście ds. bezpieczeństwa informacji pracownik AUTOMOBILKLUB WIELKOPOLSKI merytorycznie odpowiedzialna za realizację umowy. Oświadczenie o zachowaniu tajemnicy danych osobowych oraz przestrzeganiu procedur i zasad ich zabezpieczenia odbiera specjalista ds. bezpieczeństwa informacji.
2.1.7.Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do:
2.1.8. Bezpośredni przełożony przed dopuszczeniem osób do pracy przy przetwarzaniu danych osobowych zobowiązany jest zapoznać podległych pracowników z zasadami przetwarzania i ochrony danych osobowych obowiązującymi na stanowisku pracy (szczegółowe sposoby zabezpieczenia danych osobowych obowiązujące w danej komórce organizacyjnej).
2.1.9. Oryginały upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych osobowych oraz przestrzeganiu procedur i zasad ich bezpiecznego przetwarzania pracowników przechowuje się w aktach osobowych. Natomiast dokumenty te w przypadku osób zatrudnionych przy przetwarzaniu danych osobowych na podstawie umów cywilnoprawnych przechowywane są w dokumentacji prowadzonej przez specjalistę ds. bezpieczeństwa informacji.
2.1.10. Pracownik ds. kadr i spraw socjalnych wnioskuje do Administratora Systemu Informatycznego o nadanie identyfikatora użytkownika w systemie.
2.1.11. Administrator Systemu Informatycznego nadaje osobie upoważnionej do przetwarzania danych osobowych uprawnienia w systemie informatycznym.
2.1.12. Specjalista ds. bezpieczeństwa informacji prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera następujące informacje:
2.1.13. Prezes AW lub inna osoba upoważniona może cofnąć upoważnienie do przetwarzania danych osobowych z własnej inicjatywy lub na wniosek specjalisty ds. bezpieczeństwa informacji, w szczególności w związku z naruszeniem przez osobę zasad przetwarzania i ochrony danych osobowych lub zmianą stanowiska pracy.
2.1.14. Upoważnienie do przetwarzania danych osobowych wygasa wraz z rozwiązaniem umowy o pracę lub zakończeniem wykonywania czynności związanych z przetwarzaniem danych osobowych na podstawie umowy cywilnoprawnej. Termin zakończenia wykonywania czynności związanych z przetwarzaniem danych osobowych określa pracownik merytorycznie odpowiedzialny za realizację umowy, zawiadamiając o tym terminie specjalistę ds. bezpieczeństwa informacji.
2.2. Zasady zbierania danych osobowych
2.2.1. Dopuszcza się zbierania danych osobowych jedynie w związku z realizacją zdefiniowanych celów, które powinny być zgodne z przepisami prawa i działalnością statutową AUTOMOBILKLUB WIELKOPOLSKI. Cel przetwarzania danych osobowych powinien być zdefiniowany w sposób jasny i konkretny, a także powinien być wystarczająco szczegółowy, by można było określić jakie operacje przetwarzani danych są nim objęte.
2.2.2. Zabronione jest zbieranie danych osobowych w zakresie szerszym niż jest to potrzebne do osiągnięcia danego celu przetwarzania (zasada minimalizacji celów).
2.2.3. Zabronione jest zbieranie danych osobowych na zapas dla przyszłych nieoznaczonych jeszcze celów.
2.2.4. Zabronione jest przetwarzanie danych osobowych:
2.2.5. Osoby upoważnione do przetwarzania danych osobowych mają obowiązek dbać o merytoryczną poprawność przetwarzanych danych oraz adekwatny w stosunku do celu zakres ich przetwarzania. Dopuszcza się zbieranie danych w zakresie niezbędnym do przeprowadzenia procedury walidacji danych (np. zbieranie informacji o płci i dacie urodzenia w celu stwierdzenia poprawności numeru PESEL).
2.2.6. Zmiana celu przetwarzania danych osobowych lub rozszerzenie ich zakresu wymaga spełnienia okoliczności, o których mowa w art. 23 i 27 ust. 2 ustawy (spełnienie przesłanki legalności).
2.2.7. Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Okres ten może zostać przedłużony, jeżeli przepisy ustaw szczególnych takie postępowanie dopuszczają.
2.2.8.Danymi osobowymi przetwarzanymi w AUTOMOBILKLUB WIELKOPOLSKI są w szczególności dane:
2.3. Zasady wypełniania obowiązku informacyjnego
2.3.2. W przypadku zbierania danych osobowych od osób, których dane dotyczą- na drukach, umowach, kwestionariuszach należy umieścić na nich klauzulę informacyjną
2.3.3. W sytuacji braku podstawy prawnej umożliwiającej przetwarzanie danych osobowych w określonym celu lub zakresie, należy pod klauzulą informacyjną umieścić klauzulę zgody.
2.3.4. Kierownicy komórek organizacyjnych oraz pracownicy na samodzielnych stanowiskach pracy odpowiedzialni za proces zbierania danych osobowych przygotowują projekt klauzuli informacyjnej według ustalonego wzoru. Projekt klauzuli zatwierdza specjalista ds. bezpieczeństwa informacji.
2.4. Zasady realizacji praw osób, których dane osobowe dotyczą
2.4.1. Zasady realizacji praw określa polityka praw i wolności.
2.4.2. Wniosek od osoby, której dane dotyczą, przekazuje się do specjalisty ds. bezpieczeństwa informacji.
4.4.3. Projekt odpowiedzi na wniosek od osoby, której dane dotyczą, przygotowuje specjalista ds. bezpieczeństwa informacji w oparciu o informacje uzyskane od kierownika komórki organizacyjne/pracownika na samodzielnym stanowisku pracy odpowiedzialnego za ochronę danych osobowych przetwarzanych w danej komórce organizacyjnej.
4.4.4. Odpowiedź na wniosek podpisuje Prezes AW lub inna osoba upoważniona. Odpowiedź przesyłana jest listem poleconym za potwierdzeniem odbioru na adres wskazany we wniosku.
4.4.6. Specjalista ds. bezpieczeństwa informacji prowadzi rejestr czynności przetwarzania
2.6. Zasady powierzenia przetwarzania danych osobowych
2.6.2. Przetwarzanie danych osobowych powierza się na podstawie umowy zawartej w formie pisemnej pomiędzy AUTOMOBILKLUB WIELKOPOLSKI a danym podmiotem, któremu zleca się czynności związane z przetwarzaniem danych osobowych.
2.6.3. Umowę powierzenia przetwarzania danych osobowych zawiera Prezes AW lub inna osoba upoważniona po uprzedniej akceptacji specjalisty ds. bezpieczeństwa informacji.
2.6.4. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie powoduje zmiany właściwego Administratora Danych Osobowych.
2.6.5. Pracownik AUTOMOBILKLUB WIELKOPOLSKI odpowiedzialny za realizację umowy, na podstawie której dochodzi do powierzenia przetwarzania danych osobowych, odpowiada za umieszczenie w umowie postanowień o powierzeniu. Dopuszcza się powierzenie przetwarzania danych osobowych w odrębnej umowie, w szczególności gdy umowa zlecenia usług innemu podmiotowi nie została zawarta na piśmie.
2.6.6. Treść postanowień umowy dotyczących powierzenia przetwarzania danych osobowych należy uzgodnić ze specjalistą ds. bezpieczeństwa informacji.
2.6.8. W przypadku gdy powierzenie przetwarzania danych osobowych związane jest z przetwarzaniem tych danych w systemie informatycznym, pracownik AUTOMOBILKLUB WIELKOPOLSKI odpowiedzialny za realizację umowy, na podstawie której dochodzi do powierzenia, uzgadnia z Administratorem Systemu Informatycznego postanowienia umowne dotyczące:
2.6.9. Tryb postępowania określony w niniejszym podrozdziale stosuje się odpowiednio w razie powierzenia AUTOMOBILKLUB WIELKOPOLSKI przetwarzania danych osobowych przez inny podmiot.
2.7. Zasady udostępniania danych osobowych
2.7.1. Udostępnianie danych osobowych jest jedną z form ich przetwarzania.
2.7.2. Dane osobowe udostępnia się innym podmiotom w następujących przypadkach:
2.7.3. Dane osobowe udostępnia się podmiotom uprawnionym na podstawie pisemnie umotywowanego wniosku, o ile przepisy szczególne nie stanowią inaczej.
2.7.4. Kopię wniosku o udostępnienia danych osobowych pracownik sekretariatu przekazuje niezwłocznie do wiadomości specjalisty ds. bezpieczeństwa informacji.
2.7.6. Osoba upoważniona do przetwarzania danych osobowych odpowiedzialna merytorycznie za załatwienie wniosku o udostepnienie danych osobowych konsultuje sposób jego rozpatrzenia ze specjalistą ds. bezpieczeństwa informacji.
2.7.7. Odpowiedź odmowną na wniosek o udostepnienie danych osobowych przygotowuje specjalista ds. bezpieczeństwa informacji. Odpowiedź powinna zawierać merytoryczne uzasadnienie uwzględniające właściwe podstawy prawne. Kopię odpowiedzi przekazuje się do komórki organizacyjnej odpowiedzialnej za rozpatrzenie sprawy.
2.7.8. Odpowiedź wyrażającą zgodę na udostepnienie danych osobowych przygotowuje komórka organizacyjna merytorycznie odpowiedzialna za rozpatrzenie sprawy.
2.7.9. Udostępniając dane osobowe na wniosek, w treści odpowiedzi należy zamieścić informację, że dane można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
2.7.10. W przypadku udostępniania danych drogą elektroniczną procedurę nadzoruje Administrator Systemu Informatycznego.
2.7.11. Odpowiedź na wniosek o udostępnienie danych osobowych podpisuje Prezes AW lub inna osoba upoważniona.
2.8. Archiwizowanie i przechowywanie dokumentów i nośników zawierających dane osobowe
2.8.1. Archiwizacja dokumentów i nośników zawierających dane osobowe prowadzona przez pracownika AUTOMOBILKLUB WIELKOPOLSKI.
2.8.2. Dokumenty i nośniki zbędne dla prowadzonych w AUTOMOBILKLUB WIELKOPOLSKI spraw niszczone są po upływie terminu określonego w rzeczowym wykazie akt i odrębnych przepisach, zgodnie z procedurą obowiązującą w tym zakresie u Administratora Danych Osobowych.
ROZDZIAŁ 3: OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZANOŚCI PRZY PRZETWARZANIU DANYCH
4.1. Zabezpieczenia we własnym zakresie
Niezwykle ważne dla bezpieczeństwa jest wyrobienie przez każdą osobę upoważnioną do przetwarzania danych osobowych lub użytkownika nawyku:
1) kasowania po wykorzystaniu danych na dyskach przenośnych;
2) nieużywania powtórnego jednostronnie zadrukowanych dokumentów;
3) niepodawania w rozdzielniku pism do widomości stronom informacji o adresach innych stron;
4) zachowania tajemnicy danych, w tym także wobec osób najbliższych;
5) niepozostawiania bez kontroli dokumentów lub nośników danych;
6) ustawiania ekranów komputerowych tak, aby osoby niepowołane nie mogły oglądać ich zawartości, a zwłaszcza nie naprzeciwko wejścia do pomieszczenia;
7) niezapisywania hasła wymaganego do uwierzytelniania się w systemie informatycznym na papierze lub innym nośniku;
8) niepodłączania do listew podtrzymujących napięcie, przeznaczonych dla sprzętu komputerowego, innych urządzeń, szczególnie tych łatwo powodujących spięcia (np. wentylatorów, radia);
9) dbania o prawidłową wentylację komputerów (nie zasłaniania kratek wentylatorów meblami, zasłonami, itp.);
10) powstrzymywania się od samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzętu, nawet gdy z pozoru mogłoby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych;
11) przestrzegania swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń specjalisty ds. bezpieczeństwa informacji i Administratora Systemów Informatycznych;
12) niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej do przetwarzania danych osobowych;
13) opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub zablokowaniu stacji roboczej w inny sposób;
14) kopiowania jednostkowych danych (pojedynczych plików), a nie robienia kopii całych zbiorów danych lub takich ich części, które nie są konieczne do wykonywania obowiązków przez pracownika; jednostkowe dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich zaszyfrowaniu;
15) udostępniania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej;
16) nie wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej;
17) wykonywania kopii roboczych danych, na których się właśnie pracuje, tak często, aby zapobiec ich utracie;
18) kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie obszary serwera, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera;
19) niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszystkich wydruków zawierających dane osobowe, przed opuszczeniem miejsca pracy po zakończeniu dnia pracy;
20) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy;
21) zamykania okien po zakończeniu dnia pracy;
22) zamykaniu drzwi na klucz po zakończeniu pracy w danym dniu i składania kluczy w wyznaczonym miejscu.
4.2. Postępowanie z nośnikami i ich bezpieczeństwo
Osoby upoważnione do przetwarzania danych osobowych powinny w szczególności pamiętać o tym, że:
1) dane z nośników po wprowadzeniu ich do systemu informatycznego AUTOMOBILKLUB WIELKOPOLSKI powinny być trwale usuwane z tych nośników przez fizyczne zniszczenie lub skasowanie danych. Jeśli istnieje uzasadniona konieczność, to dane pojedynczych osób mogą być przechowywane na specjalnie oznaczonych nośnikach;
2) uszkodzone nośniki przed ich wyrzuceniem należy zniszczyć fizycznie lub przekazać do zniszczenia na podstawie umowy do specjalistycznego podmiotu zajmującego się likwidacją nośników danych;
3) po wykorzystaniu wydruki zawierające dane osobowe należy codziennie po zakończeniu pracy zniszczyć w niszczarce; jeżeli to niemożliwe, nie należy przechowywać takich wydruków na biurku ani wynosić poza siedzibę AUTOMOBILKLUB WIELKOPOLSKI;
4) nośniki danych powinny być przechowywane w zamykanych szafach lub sejfach w obszarach zapewniających kontrolę dostępu;
5) przenośne nośniki danych (pendrive) przyznawane pracownikom do użytku służbowego powinny mieć możliwość kryptograficznej ochrony danych zapisywanych na nich.
4.3. Wymiana danych i ich bezpieczeństwo
Bezpieczeństwo danych, a w szczególności ich integralność i dostępność w dużym stopniu zależy od zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych zasobach serwera. Pozwala to na zredukowanie ilości sytuacji, w których konieczne jest wielokrotne wprowadzanie tych samych danych do systemu informatycznego. W celu zapewnienia optymalnego poziomu ochrony danych gromadzonych w systemach informatycznych AUTOMOBILKLUB WIELKOPOLSKI stosuje się zasadę przetwarzania danych w bazach danych na dedykowanych dla systemu lub aplikacji serwerach. Dane osobowe przetwarzane przy pomocy uruchamianych na poszczególnych stacjach roboczych aplikacjach bazodanowych są zapisywane bezpośrednio na serwerach. Na serwerach sieciowych wydziela się dodatkowe zasoby, na których użytkownicy mają obowiązek przechowywać pliki z danymi.
Pocztą elektroniczną wewnątrz systemu informatycznego AUTOMOBILKLUB WIELKOPOLSKI można przesyłać tylko jednostkowe dane, a nie całe bazy lub obszerne z nich wypisy i tylko w postaci zaszyfrowanej. Chroni to przesyłane dane przed „przesłuchami” na liniach teletransmisyjnych oraz przed zmianą lub utratą. Przed atakami z sieci zewnętrznej wszystkie komputery w AUTOMOBILKLUB WIELKOPOLSKI chronione są środkami dobranymi przez Administratora Systemu Informatycznego w porozumieniu ze specjalistą ds. bezpieczeństwa informacji. Użytkownicy powinni zwracać uwagę na to, czy urządzenie, na którym pracują, domaga się aktualizacji tych zabezpieczeń. O wszystkich takich przypadkach należy informować pracownika obsługi informatycznej. Administrator Systemu Informatycznego w porozumieniu ze specjalistą ds. bezpieczeństwa informacji dobiera elektroniczne środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń, a także stosownie do rozbudowy systemu informatycznego AUTOMOBILKLUB WIELKOPOLSKI i powiększania bazy danych. Jednocześnie należy zwracać uwagę, czy rozwijający się system zabezpieczeń sam nie powoduje nowych zagrożeń.
W AUTOMOBILKLUB WIELKOPOLSKI stosuje się następujące sposoby kryptograficznej ochrony danych w czasie ich teletransmisji poza obszar przetwarzania z wykorzystaniem sieci publicznej (np. za pomocą poczty elektronicznej) dla celów zapewnienia co najmniej poufności i integralności:
Administrator Systemu Informatycznego jest odpowiedzialny za:
1) reguły stosowane przy konfiguracji sieci komputerowej;
2) reguły stosowane przy konfiguracji urządzeń i oprogramowania służącego do kontrolowania i monitorowania ruchu sieciowego;
3) zasady i mechanizmy bezpieczeństwa stosowane przy dostępie do sieci zewnętrznych (np. Internet);
4) bieżące dokumentowanie typologii sieci, stosowanych w sieci zabezpieczeń oraz szczegółowych konfiguracji urządzeń sieciowych w zakresie umożliwiającym odtworzenie funkcjonalności sieci AUTOMOBILKLUB WIELKOPOLSKI.
4.4. Szkolenia osób upoważnionych do przetwarzania danych osobowych
AUTOMOBILKLUB WIELKOPOLSKI realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w AUTOMOBILKLUB WIELKOPOLSKI, a także odpowiednio z ich zmianami. Przekazanie wiedzy na temat bezpieczeństwa przetwarzania danych osobowych w AUTOMOBILKLUB WIELKOPOLSKI może odbywać się w szczególności poprzez:
W przypadku dostępu do danych osobowych przetwarzanych w systemu informatycznym, podstawowy instruktaż w zakresie procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie oraz mechanizmów zabezpieczenia stanowiska pracy prowadzi Administrator Systemu Informatycznego.
ROZDZIAŁ 5: ZARZĄDZENIE RYZYKIEM PRZY PRZETWARZANIU DANYCH OSOBOWYCH
5.1. Zarządzanie ryzykiem przy przetwarzaniu danych osobowych polega na identyfikacji ryzyka oraz jego analizie pod kątem prawdopodobieństwa jego wystąpienia oraz siły oddziaływania (skutków wystąpienia). Ważnym elementem procesu zarzadzania ryzkiem jest określenie reakcji na dane ryzyko oraz mechanizmów jego kontroli.
5.2. Identyfikacji ryzyka utraty bezpieczeństwa przetwarzania danych osobowych dokonuje się w następujących obszarach:
5.3. Ocena siły oddziaływania zidentyfikowanego ryzyka polega na przypisaniu każdemu z ryzyk punktacji w skali od 1 do 4, gdzie:
5.4. Każdemu z poziomów ryzyka wskazanych w rejestrze czynności przetwarzania została przypisana następująca kolorystyka:
5.9. Specjalista ds. bezpieczeństwa informacji w porozumieniu z Administratorem Systemu Informatycznego:
ROZDZIAŁ 6: Sposób i tryb sporządzania sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych
6.1. Sprawdzenie ma na celu weryfikację zgodności przetwarzania danych osobowych w AUTOMOBILKLUB WIELKOPOLSKI z przepisami o ochronie danych osobowych.
6.2. Sprawdzenie przeprowadza specjalista ds. bezpieczeństwa informacji zgodnie z planem sprawdzenia.
6.3. Sprawdzeniu podlegają w szczególności:
6.4. Plan sprawdzeń jest przygotowywany przez specjalistę ds. bezpieczeństwa informacji do końca stycznia roku, w którym będzie przeprowadzane dane sprawdzenie. Czynności z zakresu sprawdzenia realizacji obowiązku zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym przeprowadza Administrator Systemu Informatycznego.
6.6. Specjalista ds. bezpieczeństwa informacji w planie sprawdzenia określa:
6.7. Dopuszcza się przeprowadzenie sprawdzeń pozaplanowych, w sytuacji powzięcia informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia a także po wdrożeniu nowego systemu informatycznego. Decyzję o przeprowadzeniu sprawdzenia podejmuje Prezes AW lub specjalista ds. bezpieczeństwa informacji.
6.8. Po zakończeniu sprawdzenie specjalista ds. bezpieczeństwa informacji w ciągu 30 dni sporządza raport. Administrator Systemu Informatycznego sporządza raport ze sprawdzenia realizacji obowiązku zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym.
6.9. Raport ze sprawdzenia zawiera:
6.10. Raport ze sprawdzenia zatwierdza Prezes AW.
ROZDZIAŁ 7: Postępowanie w sytuacji naruszenia zasad ochrony danych osobowych
7.1. Sytuacją naruszenia zasad ochrony danych osobowych jest wystąpienie zagrożenia lub domniemanie nieautoryzowanego dostępu, powielenia, ujawnienia, modyfikacji, wykorzystania, zniszczenia, utraty, kradzieży oraz zatajenia informacji zawierającej dane osobowe.
7.2. Za naruszenie lub uzasadnione podejrzenie naruszenia zasad ochrony danych osobowych uznaje się w szczególności:
7.3. Osoba, która stwierdziła lub podejrzewa naruszenie zasad ochrony danych osobowych ma obowiązek niezwłocznie:
7.4. Po otrzymaniu zawiadomienia o naruszeniu lub podejrzeniu naruszenia zasad ochrony danych osobowych specjalista ds. bezpieczeństwa informacji podejmuje odpowiednie działania, a w szczególności:
7.5. W sytuacji naruszenie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym Administrator Systemu Informatycznego podejmuje odpowiednie działania, a w szczególności:
7.6. O naruszeniu zasad ochrony danych osobowych specjalista ds. bezpieczeństwa informacji zawiadamia niezwłocznie Prezesa, który podejmuje działania zmierzające do przywrócenia/zapewnienia stanu bezpieczeństwa przetwarzania danych osobowych. Gdy jest taka potrzeba, o zaistniałej sytuacji Prezes AW zawiadamia odpowiednie organy.
7.7. Do obowiązku specjalisty ds. bezpieczeństwa informacji należy nadzorowanie wdrożenia działań naprawczych oraz minimalizowanie prawdopodobieństwa wystąpienia podobnych zdarzeń w przyszłości.
7.8. Administrator Systemu Informatycznego sporządza notatkę służbową z sytuacji naruszenia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym i przekazuje ją specjaliście ds. bezpieczeństwa informacji.
7.9. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych specjalista ds. bezpieczeństwa informacji sporządzą raport i przekazuje go Prezes AWowi.
ROZDZIAŁ 8: POSTANOWIENIA KOŃCOWE
8.2. Niezależnie od odpowiedzialności przewidzianej w przepisach prawa, naruszenie zasad ochrony danych osobowych obowiązujących w AUTOMOBILKLUB WIELKOPOLSKI, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych.
8.3. Polityka bezpieczeństwa jest dokumentem wewnętrznym AUTOMOBILKLUB WIELKOPOLSKI i jest objęta obowiązkiem zachowania w poufności przez wszystkie osoby, którym zostanie ujawniona.
8.4. Do spraw nieuregulowanych w polityce bezpieczeństwa stosuje się powszechnie obowiązujące przepisy dotyczące ochrony danych osobowych.