Polityka bezpieczeństwa przetwarzania danych osobowych w firmie BIURO TURYSTYCZNE GAUDEAMUS
Rozdział 1
Postanowienia ogólne
§ 1
Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką bezpieczeństwa” w firmie Gaudeamus, zwanej dalej „Organizacją”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
§ 2
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
- Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
- Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. 1000/,
- Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa - Generalny Inspektor Ochrony Danych Osobowych
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§ 4
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 5
Administratorem danych osobowych przetwarzanych w firmie Gaudeamus jest Artur Ragan
Rozdział 2
Definicje
§ 6
Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:
- administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
- inspektor ochrony danych – osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych,
- ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. 1000),
- RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
- zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
- przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
- system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
- system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
- zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
- administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
- odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
- strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
- identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
- hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Rozdział 3
Zakres stosowania
§ 7
- W Organizacji przetwarzane są dane osobowe pracowników i klientów zebrane w zbiorach danych osobowych.
- Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej. /*/
- Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
- Innymi dokumentami regulującymi ochronę danych osobowych w Organizacji są: /*/
2) ewidencja osób upoważnionych do przetwarzania danych osobowych,
3) rejestr czynności przetwarzania danych osobowych,
4) procedura postępowania w przypadku naruszenia ochrony danych osobowych,
5) analiza ryzyka,
§ 8
Politykę bezpieczeństwa stosuje się w szczególności do:
- danych osobowych przetwarzanych w systemie Microsoft Office
- wszystkich informacji dotyczących danych pracowników i klientów
- odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- rejestru osób trzecich mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe.
§ 9
- Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, stażyści oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.
Rozdział 4
Wykaz zbiorów danych osobowych
§ 10
1. Dane osobowe gromadzone są w zbiorach:
- Listy uczestników kursów wychowawców wypoczynku;
- Listy uczestników kursów kierowników wypoczynku
- Listy uczestników kierowników wycieczek szkolnych;
- Listy uczestników kursów przewodników górskich;
- Listy uczestników kursów przewodników krakowskich;
- Listy uczestników kursów pilotów wycieczek;
- Listy uczestników imprez turystycznych;
- Baza formularzy umów o uczestnictwie w imprezach turystycznych i szkoleniach;
§ 11
Zbiory danych osobowych wymienione w § 10 ust. podlegają przetwarzaniu w programach komputerowych MIcrosoft Office
Rozdział 5
Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych
§ 12
1. Dane osobowe przetwarzane są w biurze firmy Gaudeamus, zlokalizowanej pod adresem Plac Szczepański 8/206, 31-011, Kraków
Rozdział 6
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
§ 13
Lp. |
Zbiór danych |
Dział/ jednostka organizacyjna |
Program |
Lokalizacja bazy danych |
Miejsce przetwarzania danych |
1. |
Listy uczestników kursów wychowawców wypoczynku |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
2. |
Listy uczestników kursów kierowników wypoczynku |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
3. |
Listy uczestników kursów wycieczek szkolnych |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
4. |
Listy uczestników kursów przewodników górskich |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
5. |
Listy uczestników kursów przewodników krakowskich |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
6. |
Listy uczestników imprez turystycznych |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
7. |
Listy uczestników kursów pilotów wycieczek |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
8. |
Baza formularzy umów o uczestnictwie w imprezach turystycznych i szkoleniach |
BT Gaudeamus |
Office |
komputer biurowy |
BT Gaudeamus |
Rozdział 7
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych
§ 14
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w Organizacji przedstawia się w sposób następujący:
PRZYKŁAD
- Lista uczestników kursu wychowawców wypoczynku w Krakowie 15-17 czerwca 2018
- Imię,
- Nazwisko,
- Data urodzenia’
- Miejsce urodzenia,
- e-mail,
- Tel komórkowy,
Rozdział 8
Sposób przepływu danych między poszczególnymi systemami, współpracy systemów informatycznych ze zbiorami danych
§ 15
Przepływ danych pomiędzy poszczególnymi systemami
Program 1 |
Przepływ |
Program 2 |
Przepływ danych |
Mozilla Thunderbird |
Office |
dane wpisywane manualnie |
|
Office |
- |
dane wpisywane manualnie |
Rozdział 9
Środki organizacyjne i techniczne zabezpieczenia danych osobowych
§ 16
- Zabezpieczenia organizacyjne
- Opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych,
- Stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
- Opracowano i bieżąco prowadzi się rejestr czynności przetwarzania
- Opracowano analizę ryzyka
- Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną,
- Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
- Dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
- Zabezpieczenia techniczne
- Zabezpieczono sieć komputerową;
- Stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
- Komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą okresowo zmienianego hasła,
- Środki ochrony fizycznej:
- Obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem,
- Obszar, na którym przetwarzane są dane osobowe objęty jest monitoringiem,
- Urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
- Dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach.
Rozdział 10
Zadania administratora danych osobowych
§ 17
Do najważniejszych obowiązków administratora danych osobowych lub administratora bezpieczeństwa informacji należy:
- Organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
- Zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
- Przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
- Wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- Prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
- Nadzór nad bezpieczeństwem danych osobowych,
- Kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
Rozdział 11
Postanowienia końcowe
§ 20
- Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
- Za przeprowadzenie szkolenia odpowiada administrator danych osobowych lub inspektor ochrony danych(o ile został powołany).
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych,
- Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.