Wstęp.

Administratorem danych osobowych (dalej ,Administrator”) jest Fundacja Widzialni z siedzibą w Częstochowie, Aleja Najświętszej Maryi Panny nr 34, lok. 8, w imieniu której działa Zarząd Fundacji Widzialni, a reprezentacja została określona zapisami Statutu Fundacji Widzialni. Na dzień sporządzenia niniejszego dokumentu Fundacje Widzialni reprezentuje oraz oświadczenia woli w jej imieniu może składać: Prezes Fundacji Widzialni samodzielnie lub pozostali Członkowie łącznie.

Polityka bezpieczeństwa jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne oraz informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione.

Poprzez bezpieczeństwo danych osobowych należy rozumieć zapewnienie ich poufności, integralności, dostępności oraz rozliczalności, poprzez wdrożenie i eksploatację niezbędnych do tego celu mechanizmów technicznych i procedur organizacyjnych, gdzie przez:

  1. rozliczalność - rozumie się właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
  2. integralność danych - rozumie się właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  3. poufność danych -rozumie się właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym podmiotom.

Zakres przedmiotowy stosowania niniejszej dokumentacji obejmuje wszystkie zbiory danych osobowych przetwarzane przez Administratora, zarówno w formie elektronicznej, jak i papierowej, oraz dane osobowe przetwarzane poza zbiorami danych.

Zakres podmiotowy stosowania niniejszej dokumentacji obejmuje wszystkich pracowników oraz osoby, przy pomocy których Administrator wykonuje swoje czynności, mające dostęp do danych osobowych.

Podstawa prawna.

  1. Konstytucja Rzeczypospolitej Polskiej art. 47, 51;
  2. Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych;
  3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Polityka bezpieczeństwa została oparta również na zapisach Polskiej Normy PN-ISO/IEC 17799, określającej praktyczne zasady zarzadzania bezpieczeństwem informacji w obszarze technik informatycznych, która jako cel polityki bezpieczeństwa wskazuje "zapewnienie kierunków działania i wsparcie kierownictwa dla bezpieczeństwa informacji".

Cele.

Celem wprowadzenia niniejszego dokumentu jest ochrona danych osobowych przetwarzanych oraz gromadzonych przez Administratora i dotyczy:

  1. zabezpieczenia przed dostępem do danych osób nieupoważnionych, na każdym etapie ich przetwarzania tj. wprowadzania, aktualizacji lub usuwania, wyświetlania lub drukowania zestawień i raportów, przemieszczania danych w sieci lokalnej pomiędzy programami i osobami je przetwarzającymi,
  2. ustalenia i wdrożenia zabezpieczeń przed dostępem osób niepowołanych do pomieszczeń, w których są eksploatowane urządzenia gromadzące i przetwarzające dane,
  3. określenia polityki i sposobów dostępu do tych pomieszczeń przez pracowników, personel pomocniczy oraz serwis zewnętrzny,
  4. procedur niszczenia niepotrzebnych wydruków lub nośników z danymi,
  5. określenia zakresu obowiązków pracowników - w części dotyczącej bezpieczeństwa danych,
  6. podnoszenia świadomości pracowników i ich pełnego zaangażowania w ochronę przetwarzanych danych,
  7. zmniejszenia ryzyka utraty informacji oraz ochrony przed przypadkowymi lub celowymi działaniami stwarzającymi zagrożenia dla danych.

Procedury i zasady określone w tym dokumencie stosuje się do wszystkich osób biorących udział w procesie przetwarzania danych osobowych, a w szczególności osób upoważnionych do przetwarzania danych osobowych oraz podmiotów współpracujących z Administratorem.

Deklaracja Polityki Bezpieczeństwa.

Administrator, dbając o ochronę prywatności oraz przeciwdziałając możliwości naruszenia bezpieczeństwa danych zawartych w przetwarzanych zbiorach, deklaruje zaangażowanie w realizację zadań związanych ze spełnieniem wymagań Polityki Bezpieczeństwa. Zapewnia wszelkie niezbędne środki dla skutecznej i efektywnej realizacji celów polityki. Podejmuje działania konieczne do zapobiegania zagrożeniom wobec przetwarzanych danych. Deklaruje także przyjęcie za zasadę nadrzędną pełne zaangażowanie w respektowanie praw osób, których dane dotyczą. Administrator dąży do maksymalizacji bezpieczeństwa przetwarzanych informacji poprzez ciągły proces ewaluacji i doskonalenia zastosowanych rozwiązań. Doskonalenie polega na m.in. weryfikacji i ulepszaniu stosowanych środków technicznych i organizacyjnych oraz na aktualizacji wiedzy i kompetencji swoich pracowników.

Środki techniczne i organizacyjne zabezpieczające przetwarzanie danych osobowych

§1

Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych prowadzi Administrator.

Realizując obowiązek, o którym mówi Rozporządzenie (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Administrator w załącznikach do Polityki Bezpieczeństwa określił sposób przepływu danych pomiędzy systemami informatycznymi.

Administrator prowadzi następujące wykazy:

  1. Ewidencję osób upoważnionych do przetwarzania danych osobowych.
  2. Wykaz podmiotów i osób, którym udostępniono dane.

§2
Upoważnienie do przetwarzania danych osobowych.

Osoby przetwarzające dane osobowe muszą posiadać upoważnienie do przetwarzania danych osobowych nadane przez Administratora oraz podpisać oświadczenie o zachowaniu poufności przetwarzanych danych.

Upoważnienie powinno zwierać:

  1. datę, z którą zostało nadane;
  2. datę, z którą upoważnienie wygasa jeżeli jest ono nadane na czas określony;
  3. zakres upoważnienia.

Upoważnienie do przetwarzania danych osobowych wygasa z chwilą upływu terminu wypowiedzenia lub rozwiązania umowy zawartej przez Administratora z osobą, której zostało nadane lub w przypadku, gdy zostało nadane na czas określony z upływem czasu na jaki zostało nadane.

Osoba upoważniona przez Administratora nie ma prawa do nadawania dalszych upoważnień, chyba że upoważnienie do przetwarzania danych osobowych nadane przez Administratora zawiera upoważnienie do nadawania dalszych upoważnień.

Każda upoważniana osoba powinna zostać przeszkolona z zakresu ochronnych danych osobowych w zakresie niezbędnym do pełnienia wyznaczonych obowiązków.

Odpowiedni kierownicy bezpośrednio kierują pracą upoważnionych pracowników lub wolontariuszy i zastępują Administratora w sytuacjach określonych w ich zakresie obowiązków, w tym mogą nadawać upoważnienia do przetwarzania.

Osoby upoważnione do przetwarzania danych osobowych mają obowiązek przetwarzać dane zgodnie z obowiązującymi przepisami prawa oraz procedurami obowiązującymi u Administratora.

Każda osoba przetwarzająca dane ponosi odpowiedzialność wynikającą z zakresu jej czynności, w szczególności za zniszczenie, nieprawidłową modyfikacje, udostepnienie danych osobom trzecim, ujawnienie stosowanych elementów zabezpieczeń organizacyjnych i fizycznych stosowanych przez Administratora.

W przypadku konieczności dostępu do obszaru przetwarzania osób nieposiadających upoważnienia, o jakim mowa powyżej, a które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują one oświadczenie o zachowaniu poufności.

§3
Obszar przetwarzania.

Za obszar, w którym są przetwarzane dane osobowe uznaje się budynki, pomieszczenia lub części pomieszczeń, w których znajdują się stanowiska pracy lub dokumenty związane z przetwarzaniem danych osobowych, urządzenia łączności lub dostępu do sieci telekomunikacyjnych, którymi są przesyłane dane osobowe, własne lub najmowane przez Fundacje Widzialni na mocy odrębnych umów, w których Fundacja Widzialni prowadzi swoją działalność, tj. lokal nr 8 w budynku nr 34 przy Aleji Najświętszej Maryi Panny, użytkowany przez Fundację na podstawie umowy najmu.

Przebywanie w obszarze przetwarzania danych osobowych osób nieupoważnionych do przetwarzania danych osobowych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych.

Pomieszczenia w obszarze przetwarzania danych osobowych są chronione fizycznie w sposób uniemożliwiający dostęp do nich osób nieupoważnionych do przetwarzania danych osobowych. Tylko upoważnione przez Administratora osoby posiadają klucze do pomieszczeń biura. Klucze od szafek, gdzie przechowywana jest dokumentacja, są w posiadaniu pracowników, zapasowy komplet jest zabezpieczony u administratora danych.

Administrator może dodatkowo wyznaczyć obszar czasowego przetwarzania danych osobowych. W obszarze tym dane przetwarzają osoby upoważnione w określonym czasie. Osoba ta może także czasowo przechowywać dane w tym obszarze pod warunkiem ich zabezpieczenia w sposób uniemożliwiający dostęp osobom nieupoważnionym.

Przebywanie osób nieupoważnionych w obszarze czasowego przetwarzania danych bez nadzoru jest możliwe, o ile wszelkie dane osobowe zostały zabezpieczone w sposób uniemożliwiający do nich dostęp.

§4
Przetwarzanie danych osobowych poza obszarem.

Przetwarzanie danych osobowych poza obszarem przetwarzania jest możliwe w ramach wyznaczonych obowiązków, za zgodą lub na wyraźne polecenie Administratora. Przetwarzanie takie powinno odbywać się z zachowaniem należytej staranności w zakresie zabezpieczenia danych.

Administrator może opracować i wdrożyć szczegółowe procedury określające zakres, cel i sposób przetwarzania danych poza obszarem przetwarzania właściwy dla specyfiki Administratora.

Np.: Obowiązkiem pracownika jest poinformowanie przełożonego oraz pisemne odnotowanie w wyznaczonym miejscu faktu wyniesienia dokumentacji poza obszar przetwarzania. Przetwarzanie takie powinno odbywać się z zachowaniem należytej staranności w zakresie zabezpieczenia ochrony danych.

§5
Przechowywanie i niszczenie danych osobowych, postępowanie z nośnikami danych.

Dokumenty zawierające dane osobowe, w tym wydruki zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w szafach zamykanych na klucz.

Elektroniczne kopie wydruków oraz obrazy dokumentów mogą być archiwizowane na komputerach w ramach obszaru przetwarzania wyłącznie na indywidualnych kontach. Dokumenty takie powinny być usuwane niezwłocznie po ustaniu ich przydatności.

Dokumenty przeznaczone do usunięcia należy zniszczyć w sposób trwały, tak by danych nie można było ponownie odtworzyć. Pracownicy wiedzą, gdzie znajduje się, oraz posiadają nieograniczony dostęp do niszczarki.

Zasoby informacyjne oraz nośniki z danymi podlegają szczególnej ochronie przed kradzieżą, modyfikacją zawartości, podglądaniem i kopiowaniem.

Dane osobowe przekazywane do innego podmiotu muszą być odbierane przez uprawnione osoby. Obowiazkiem pracownika jest zweryfikowanie tożsamości odbiorcy. Potwierdzenie takie można uzyskać poprzez kontakt zwrotny z instytucją, którą osoba reprezentuje, za pośrednictwem oficjalnego numeru telefonu lub korespondencji elektronicznej.

Udostępnianie danych pracownikom upoważnionych instytucji odbywa się na zasadach ustalonych oddzielnym przepisami.

§6
Przetwarzanie danych osobowych w systemach informatycznych.

Administrator dopuszcza przetwarzanie danych osobowych w systemach informatycznych.

Szczegółowe zasady:

  1. wykorzystywania systemów informatycznych do przetwarzania danych osobowych,
  2. przechowywania i przekazywania nośników z danymi,
  3. konserwacji, naprawy i likwidacji systemów informatycznych,
  4. wykonywania kopii zapasowych,
  5. komunikacji w sieci komputerowej,
  6. używania komputerów przenośnych,

zawarte są w instrukcjach zarządzania systemami informatycznymi stanowiącymi część dokumentacji ochrony danych osobowych.

§7
Powierzenie przetwarzania danych osobowych.

Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 31 ustawy.

Podmiot, któremu dane do przetwarzania powierzono, może przetwarzać dane wyłącznie w zakresie i w celu przewidzianym w umowie.

Podmiot, któremu powierzono przetwarzanie danych, obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające przetwarzanie danych, o których mowa w ustawie oraz w rozporządzeniu.

§8
Respektowanie praw osób, których dane dotyczą.

Podmiot przywiązuje wielką wagę do respektowania praw osób, których one dotyczą. Posiada jasne procedury wypełniania obowiązku informacyjnego.

Wszyscy pracownicy Administratora zobowiązani sa do natychmiastowego przekazania wniosków dotyczących poprawienia, usunięcia, wstrzymania przetwarzania danych, sprzeciwu wobec przetwarzania, udzielenie informacji o przetwarzanych danych osobowych lub innych do swojego bezpośredniego przełożonego. W razie braku takiej możliwości zgłoszenie powinno zostać przekazane do Administratora.

§9
Postępowanie w sytuacji naruszenia ochrony danych osobowych.

W przypadku stwierdzenia naruszenia ochrony danych osobowych, w szczególności wystąpienia sytuacji omówionych w deklaracji polityki bezpieczeństwa lub sprzecznych z celami powołanej polityki, każda osoba zatrudniona przy przetwarzaniu danych osobowych jest obowiązana niezwłocznie powiadomić o tym fakcie swojego bezpośredniego kierownika, Administratora lub Administratora Bezpieczeństwa Informacji.

Zaistniałe naruszenie powinno stać się przedmiotem szczegółowej analizy z udziałem właściwego kierownika i Administratora Bezpieczeństwa Informacji. Analiza powinna zawierać wszechstronna ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości.

§10
Odpowiedzialność karna.

Nieprzestrzeganie zasad ochrony danych osobowych stanowi ciężkie naruszenie obowiązków pracowniczych i grozi odpowiedzialnością karną wynikającą z art. 49-54a ustawy o ochronie danych osobowych.

§11
Postanowienia końcowe.

W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.