Polityka ochrony danych osobowych Fundacji
Polityka Bezpieczeństwa
Fundacja Strumienie Życia – Polska
Niniejsza Polityka Bezpieczeństwa jest polityką ochrony danych osobowych w rozumieniu RODO tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) oraz obowiązujących przepisów krajowych. Treść niniejszego dokumentu ma charakter wewnętrzny i nie podlega ujawnieniu osobom trzecim.
Niniejsza Polityka Bezpieczeństwa zawiera zasady dotyczące:
a) bezpieczeństwa zasobów ludzkich — m.in. warunków na jakich uczestnicy programów, personel oraz usługodawcy uzyskują i tracą prawo do przetwarzania danych osobowych oraz nabywają i tracą uprawnienia do przetwarzania danych w systemach informatycznych, obowiązków personelu, usługodawców oraz Fundacji w zakresie przetwarzania danych;
b) bezpieczeństwa fizycznego i środowiskowego — m.in. zapewnienia ochrony budynków Fundacji, kontroli ruchu osobowego, procedur dotyczących bezpieczeństwa oraz eksploatacji sprzętu stanowiącego elementy systemu informatycznego, procedury zarządzania incydentami bezpieczeństwa, zasad zachowania poufności informacji oraz powierzenia danych osobowych innym podmiotom;
c) zarządzania systemem informatycznym — m.in. utrzymania i ochrony systemu informatycznego przed zagrożeniami wewnętrznymi i zewnętrznymi, monitorowania pracy kluczowych jego elementów oraz posługiwania się elektronicznymi nośnikami danych;
d) kontroli dostępu do systemu informatycznego — m.in. tworzenia kont użytkowników i udzielenia dostępu do poszczególnych zasobów systemu informatycznego oraz ich zabezpieczenia poprzez przestrzeganie reguł dotyczących polityki haseł oraz właściwego korzystania ze stanowisk komputerowych;
e) rejestrowania czynności przetwarzania danych oraz kategorii czynności przetwarzania dokonywanych w imieniu administratora.
Polityka Bezpieczeństwa ma zastosowanie do uczestników programów, personelu oraz usługodawców.
§1 Definicje
Użyte w niniejszej Polityce Bezpieczeństwa określenia oznaczają:
1) Fundacja – „Fundacja Strumienie Życia – Polska” wpisana do Krajowego Rejestru Sądowego pod numerem: 0000667609;
2) system informatyczny — zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych w Fundacji;
3) personel — osoby świadczące na rzecz Fundacji pracę na podstawie stosunku pracy lub stosunku cywilnoprawnego, praktykanci, stażyści, wolontariusze;
4) usługodawcy- podmioty świadczący usługi na rzecz Fundacji;
5) pracownicy — osoby świadczące na rzecz Fundacji pracę na podstawie stosunku pracy;
6) ustawa — ustawa o ochronie danych osobowych z dnia 10 maja 2018r. (Dz.U. 2018, poz. 1000);
7) RODO — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119,s. 1);
8) dane osobowe — informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
9) dane wrażliwe — oznaczają dane specjalne i dane karne;
10) dane specjalne — oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
11) dane biometryczne — dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby takie jak wizerunek twarzy lub dane daktyloskopijne;
12) dane dotyczące zdrowia — dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o korzystaniu z usług opieki zdrowotnej — ujawniające informacje o stanie jej zdrowia;
13) dane karne — oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa;
14) naruszenie ochrony danych osobowych — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, mogące stanowić incydent bezpieczeństwa;
15) przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
16) profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
17) IOD — Inspektor Ochrony Danych;
18) Zespół IT — personel Fundacji, do którego zadań należy wsparcie informatyczne w obszarze IT;
19) użytkownik systemu informatycznego — osoba, której Zespół IT nadał uprawnienie do poszczególnych zasobów w systemie informatycznym;
20) RCP – Rejestr Czynności Przetwarzania;
21) RKO — Rejestr Kategorii Odbiorców;
22) zasób informatyczny — wydzielony zbiór informacji przetwarzany w systemie informatycznym,
23) procesor/podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, w tym na zasadzie dalszego podpowierzenia – na podstawie umowy o powierzeniu przetwarzania danych;
24) incydent bezpieczeństwa — pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji Fundacji, które stwarzają wysokie prawdopodobieństwo zakłócenia działań biznesowych lub zagrażają bezpieczeństwu informacji w Fundacji lub naruszają prawa lub wolności osób fizycznych, w tym prawo do ochrony danych osobowych;
25) informacja poufna — informacja o charakterze handlowym, organizacyjnym, prawnym, technologicznym, finansowym, informacje zawierające dane osobowe i dotyczące sposobów zabezpieczania danych osobowych, a ponadto koncepcje biznesowe, a także inne informacje posiadające wartość gospodarczą, strategie marketingowe, plany rozwoju działalności, knowhow, strategie biznesowe, budżet i rachunkowość, raporty wymagane przepisami prawa, własność intelektualna, opłaty licencyjne, bazy danych klientów oraz szczegóły umów z nimi zawartych, a także informacje na temat personelu oraz usługodawców, w tym informacje stanowiące tajemnicę przedsiębiorstwa, do których dostęp ma ograniczony krąg osób;
26) nośnik informacji — medium magnetyczne, optyczne, półprzewodnikowe lub papierowe, na którym zapisuje się i przechowuje informacje;
27) administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; użyty zwrot w niniejszym dokumencie oznacza Fundację Strumienie Życia – Polska;
28) współadministrator — podmiot współadministrujący danymi osobowymi, który wspólnie z pozostałymi administratorami / administratorem ustala cele i sposoby przetwarzania danych;
29) organ nadzorczy — Prezes Urzędu Ochrony Danych Osobowych, adr.: ul. Stawki2, 00-193 Warszawa;
30) bezpośredni przełożony: prezes Fundacji
31) zbiór danych — uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
32) pseudonimizacja — przetwarzanie danych osobowych w taki sposób, aby nie można było ich już przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji pod warunkiem, że takie informacje są przetwarzane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie;
33) sprzęt komputerowy — komputery stacjonarne, laptopy, tablety, urządzenia mobilne przekazane personelowi lub usługodawcom w celu wykonywania obowiązków służbowych;
34) gość — interesariusz Fundacji;
35) Najemca — podmiot, z którym Fundację wiąże umowa najmu lokalu;
36) budynki Fundacji:
a) Główna siedziba Fundacji: ul. Jana Kowalczyka 16/ 835, 03-193 Warszawa,
37) eksport danych — przekazanie danych poza obszar EOG lub do organizacji międzynarodowej;
38) EOG — Europejski Obszar Gospodarczy;
39) atak sieciowy — próba wtargnięcia do systemu operacyjnego zdalnego komputera;
40) atak phishingowy — metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia osoby atakowanej do określonych działań;
41) aplikacja — każdy samodzielny program lub element pakietu oprogramowania, który nie jest zaliczany do oprogramowania systemowego lub programów usługowych (narzędziowych);
42) interfejs – rodzaj portu, gniazda umożliwiającego przyłączenie zewnętrznego urządzenia;
43) UTM – wielofunkcyjne zapory sieciowe zintegrowane w postaci jednego urządzenia;
44) firewall – jeden ze sposobów zabezpieczania sieci i systemów przed nieuprawionym dostępem;
45) VPN- połączenie, przez które płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet);
46) IPS (Intrusion Prevention System) – jeden ze sposobów zabezpieczenia sieci komputerowej, poprzez wykrywanie, lub wykrywanie i blokowanie ataków w czasie rzeczywistym;
47) spyware – oprogramowanie szpiegujące, złośliwe oprogramowanie, którego celem jest gromadzenie informacji o użytkowniku, a także ich przesyłanie bez jego wiedzy innym osobom;
48) malware – oprogramowanie, które usiłuje zainfekować komputer lub urządzenie mobilne, wykorzystywane do np. wykradania danych osobowych, haseł i pieniędzy oraz blokowania dostępu do urządzeń;
49) oprogramowanie backup — oprogramowanie służące do wykonywania kopii zapasowych konfiguracji np. urządzeń sieciowych;
50) protokół SSL – narzędzie poświadczające wiarygodność domeny bądź domeny oraz jej właściciela, potwierdza bezpieczeństwo szyfrowania danych przesyłanych pomiędzy użytkownikiem a serwerem, jest gwarantem zachowania poufności danych i całej komunikacji;
51) TLS – rozwinięcie protokołu SSL, zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie wiarygodności domeny bądź domeny i właściciela;
52) GPO – Group Policy – funkcja systemów rodziny Windows, pozwalająca na kontrolowanie środowiska pracy kont użytkowników i komputerów. Group Policy zapewnia scentralizowane zarządzanie i konfigurację systemów operacyjnych, aplikacji i ustawień użytkowników;
53) maszyna wirtualna – plik komputerowy (obraz), który zachowuje się jak rzeczywisty komputer, może być utworzona w obrębie innego komputera;
54) macierz dyskowa – urządzenie wyposażone w kilka lub kilkanaście dysków twardych połączonych razem; wykorzystywana jest do przechowywania, administrowania oraz udostępniania przetwarzanych danych;
55) stacja robocza – komputer przeznaczony do bezpośredniej pracy;
56) windows serwer – system operacyjny pozwalający na zcentralizowane zarządzanie poprzez uruchomienie na nim wielu funkcji, ról czy usług np. katalogowych (Active Directory) umożliwiającymi zarządzanie ustawieniami komputerów) z systemem operacyjnym Windows. Umożliwia korzystanie z zasobów informatycznych takich jak udostępnianie plików i drukarek, zdalny dostęp czy zabezpieczenia;
57) upoważniony — osoba, której zostało nadane upoważnienie do przetwarzania danych osobowych w Fundacji;
58) uczestnik programu – osoba fizyczna biorąca udział w programach realizowanych przez Fundację, konferencjach, rekolekcjach.
§2
Cel Polityki Bezpieczeństwa
1) Niniejszy dokument określa zasady przetwarzania danych w Fundacji.
2) Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony podstawowych praw i wolności osób fizycznych, których dane dotyczą, w szczególności prawa do ochrony danych osobowych. W/w obowiązek realizowany jest poprzez wprowadzenie odpowiednich środków technicznych i organizacyjnych mających na celu ochronę danych m.in. przed nieupoważnionym udostępnieniem, uszkodzeniem, utratą lub ziszczeniem oraz przetwarzaniem z naruszeniem przepisów powszechnie obowiązujących.
§3
Zasady ochrony danych osobowych
Fundacja przetwarza dane osobowe z poszanowaniem następujących zasad:
1) zasada legalności – Fundacja przetwarza dane osobowe zgodnie z obowiązującymi przepisami prawa,
2) zasada przejrzystości — dane osobowe są przetwarzane w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą („transparentność’”),
3) zasada minimalizacji przetwarzanych danych — Fundacja przetwarza dane wyłącznie w takim zakresie, jaki jest niezbędny do realizacji poszczególnych celów,
4) zasada prawidłowości — Fundacja dba o prawidłowość przetwarzanych danych i w tym celu podejmuje wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe (biorąc pod uwagę cel ich przetwarzania) zostały niezwłocznie usunięte lub sprostowane,
5) zasada czasowości — dane osobowe są przetwarzane wyłącznie przez okres niezbędny do realizacji poszczególnych celów przetwarzania,
6) zasada integralności i poufności — przetwarzanie danych osobowych odbywa się w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed ich niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem – za pomocą odpowiednich środków technicznych lub organizacyjnych,
7) zasada rozliczalności – Fundacja jest odpowiedzialna za przestrzeganie przepisów regulujących ochronę danych osobowych i w tym zakresie jest zobowiązana wykazać ich przestrzeganie,
8) „privacy by design” – Fundacja uwzględnia konieczność dokonania oceny wpływu Programów, projektów, wydarzeń o charakterze religijnym na ochronę danych osobowych osób, których dane dotyczą i zapewnia zgodność ich przetwarzania – już w fazie ich projektowania;
9) „privacy by default” – Fundacja wprowadza ustawienia zapewniające ochronę danych Osobowych jako pierwotnych ustawień systemu informatycznego.
§4
Administrator
Fundacja jako administrator danych osobowych które przetwarza, uwzględniając charakter, zakres i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych których dane dotyczą – wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z obowiązującymi przepisami oraz tak, aby móc to wykazać (zasada rozliczalności). Zastosowane środki są na bieżąco poddawane przeglądom i uaktualniane.
Fundacja, w szczególności:
a) określa obowiązki i odpowiedzialność personelu oraz usługodawców w zakresie przetwarzania danych osobowych;
b) określa zakres stosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
c) określa zasady monitorowania działania zabezpieczeń technicznych wdrożonych w celu ochrony danych osobowych w systemach informatycznych;
d) udziela odpowiedniego wsparcia dla działań podejmowanych przez Inspektora Ochrony Danych w wypełnianych przez niego zadaniach.
§5
Odpowiedzialność oraz obowiązki personelu oraz usługodawców
1) Pracownicy, a także pozostały personel i usługodawcy są zobowiązani do zapoznania się z treścią niniejszego dokumentu i przestrzegania zawartych w nim zapisów.
2) Naruszenie przez pracownika niniejszej Polityki Bezpieczeństwa może zostać potraktowane jako naruszenie obowiązków pracowniczych i może powodować określoną przepisami kodeksu pracy odpowiedzialność. Naruszenie niniejszej Polityki Bezpieczeństwa przez personel inny niż pracownicy albo przez usługodawców może skutkować odpowiedzialnością na zasadach wynikających z umów zawartych z tymi podmiotami lub właściwych przepisów prawa.
3) Przetwarzać dane osobowe może jedynie personel, którzy posiada stosowne upoważnienie do przetwarzania danych osobowych, a w przypadku przetwarzania danych osobowych w systemach informatycznych – dodatkowo uprawnienie do przetwarzania danych osobowych w systemach informatycznych Fundacji
Użytkownicy systemu informatycznego.
4) Pracownicy, a także pozostały personel i usługodawcy na zasadach wynikających z zawartej z Fundacją umowy – są zobowiązani, w szczególności do:
a) terminowej zmiany haseł użytkownika i utrzymania ich w tajemnicy wraz z informacją o częstotliwości ich zmiany oraz szczegółów technicznych systemów, także po ustaniu zatrudnienia lub współpracy z Fundacja;
b) korzystania ze sprzętu komputerowego powierzonego przez Fundacje oraz systemu informatycznego w sposób bezpieczny, zgodny z obowiązującymi procedurami zapewniającymi bezpieczeństwo przetwarzanych danych;
c) zachowania w tajemnicy informacji powziętych w związku z pełnioną funkcją lub wykonywaną pracą;
d) niezwłocznego powiadomienia IOD, w razie wykrycia lub podejrzenia wystąpienia naruszenia ochrony danych osobowych lub zdarzenia mogącego stanowić incydent bezpieczeństwa zgodnie z procedurą zarządzania incydentami bezpieczeństwa w Fundacji określoną w §22;
e) ochrony danych osobowych przed dostępem do nich osób nieuprawnionych przed przypadkowym lub zawinionym zniszczeniem, utratą lub modyfikacją,
f) ochrony wydruków komputerowych i innych nośników zawierających informacje chronione,
g) zwracania uwagi na zachowanie osób wchodzących i wychodzących z siedziby Fundacji,
h) reagowania na wejście do siedziby Fundacji, przebywanie w nim osób będących pod wpływem alkoholu lub innych środków odurzających poprzez niezwłoczne poinformowanie bezpośredniego przełożonego,
i) reagowania na próby niszczenia, wynoszenia, wywożenia mienia z siedziby Fundacji oraz wnoszenia do budynku przedmiotów niebezpiecznych, materiałów lub substancji budzących podejrzenie itp. np. poprzez zatrzymanie osób budzących podejrzenie i niezwłoczne poinformowanie o tym fakcie bezpośredniego przełożonego;
j) informowania bezpośredniego przełożonego lub odpowiednich służb o wszelkich zaobserwowanych próbach stworzenia zagrożenia dla życia lub zdrowia personelu Fundacji.
Pracownikom, a także pozostałemu personelowi, uczestnikom programów i usługodawcom Fundacji zabrania się:
a) przekazywania za pośrednictwem sieci komputerowej do stron trzecich jakichkolwiek danych stanowiących własność Fundacji,
b) pobierania i instalowania za pośrednictwem sieci komputerowej jakiegokolwiek nieautoryzowanego oprogramowania,
c) ingerowania w konfigurację sprzętową urządzeń,
d) kopiowania bazy danych lub ich części poza kopiami przewidzianymi dokumentacją bezpieczeństwa,
e) wykorzystywania sprzętu służbowego (w tym sprzętu komputerowego) do celów prywatnych,
f) trwałego usuwania danych z nośników utrzymywanych na rzecz Fundacji,
g) instalowania oprogramowania niezwiązanego z wykonywaniem obowiązków służbowych,
h) wynoszenia dokumentów oraz składników majątkowych Fundacji poza siedzibę Fundacji,
i) zakłócania pracy systemu informatycznego lub sieci teleinformatycznej,
j) przetwarzania informacji w sposób mogący narażać na utratę bezpieczeństwa danych.
6) Wszelkie dane przechowywane w systemie informatycznym i w postaci papierowej są własnością Fundacji i podlegają ochronie prawnej.
7) Na wypadek naruszenia zakazów określonych w ust. 5 powyżej – w przypadku, gdy zachowanie nosi znamiona przestępstwa lub wykroczenia — o podejrzeniu ich popełnienia zostaną powiadomione właściwe organy.
§6
Zespół IT:
Zespół IT zapewnia i monitoruje bezpieczeństwo przetwarzanych danych w systemach informatycznych FUNDACJA.A., w szczególności poprzez:
a) bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
b) optymalizację wydajności systemu informatycznego oraz baz danych,
c) instalację i konfigurację sprzętu sieciowego oraz serwerowego wraz z oprogramowaniem,
d) współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie w zawieranych przez Fundację umowach zapisów dotyczących ochrony danych osobowych,
e) zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego oraz danych,
f) przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
g) prowadzenie profilaktyki antywirusowej,
h) kontrolę przepływu informacji pomiędzy systemem informatycznym, a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej a systemem informatycznym,
i) nadawanie/modyfikację/odwoływanie uprawnień do przetwarzania danych osobowych w systemach informatycznych FUNDACJI.
§7
Dane wrażliwe
Fundacja identyfikuje przypadki, w których przetwarza lub może przetwarzać dane wrażliwe (dane specjalne i dane karne) oraz utrzymuje mechanizmy zapewnienia zgodności z prawem przetwarzania danych wrażliwych.
§8
Obowiązek informacyjny
1) FUNDACJA jako administrator/współadministrator danych osobowych, a w niektórych przypadkach jako podmiot przetwarzający przy realizacji obowiązków wynikających z wiążących FUNDACJĘ umów – podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji dotyczących przetwarzania jej danych osobowych.
2) Fundacja zapewnia dotrzymywanie prawnych terminów realizacji obowiązków względem osób, których dane dotyczą oraz dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób fizycznych, których dane osobowe przetwarza.
§9
Realizacja żądań osób fizycznych
FUNDACJA.A., jako administrator danych osobowych realizuje prawa osób, których dane osobowe dotyczą, m.in.:
a) prawo dostępu do danych osobowych – na żądanie osoby, której dane osobowe dotyczą Fundacja udziela osobie informacji, czy przetwarza jej dane i w jakim zakresie zgodnie z art. 15 RODO, a jeżeli tak, to w takim przepadku udziela również osobie dostępu do danych jej dotyczących;
b) prawo do żądania kopii danych – dostęp do danych może być zrealizowany przez wydanie kopii danych. Fundacja wprowadza i utrzymuje cennik kopii danych, zgodnie z którym pobiera opłaty za kolejne kopie danych, za wyjątkiem pierwszej. Cena kopii danych skalkulowana jest w oparciu o oszacowany jednostkowy koszt obsługi żądania wydania kopii danych;
c) prawo do sprostowania danych – Fundacja dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą;
d) prawo do uzupełnienia danych – Fundacja uzupełnia i aktualizuje dane na żądanie osoby, której dane dotyczą, w tym wobec przedstawienia dodatkowego oświadczenia;
e) prawo do usunięcia danych („prawo do bycia zapomnianym”) – na żądanie osoby, której dane dotyczą Fundacja jest zobowiązana bez zbędnej zwłoki usunąć dane, których jest administratorem, w sytuacji, gdy:
– dane nie są niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
– zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej ich przetwarzania,
– osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych i nie istnieją nadrzędne prawnie uzasadnione podstawy ich przetwarzania,
– dane były przetwarzane niezgodnie z prawem,
– konieczność usunięcia danych wynika z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,
– żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
Fundacja realizuje prawo do usunięcia danych w taki sposób, aby zapewnić efektywne wykonanie tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a ponadto dokonuje weryfikacji czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO;
f) prawo do ograniczenie przetwarzania – Fundacja dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
– osoba kwestionuje prawidłowość danych — na okres pozwalający administratorowi sprawdzić ich prawidłowość,
– przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
– Fundacja nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
– osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją — do czasu stwierdzenia, czy po stronie Fundacji zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. W trakcie ograniczenia przetwarzania Fundacja przetwarza dane, (z wyjątkiem przechowywania), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego. Fundacja informuje osobę przed uchyleniem ograniczenia przetwarzania. Realizacja prawa do ograniczenia przetwarzania danych osobowych następuje m.in. poprzez czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych, lub czasowe usunięcie opublikowanych danych ze strony internetowej. Przetwarzanie danych osobowych w systemach informatycznych należy zasadniczo ograniczyć w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.
g) prawo do przenoszenia danych – na żądanie osoby, której dane dotyczą Fundacja wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi (jeśli jest to możliwe) dane dotyczące tej osoby, które dostarczyła Fundacji, a przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy. Warunkiem realizacji uprawnienia jest dokonywanie przetwarzania w sposób zautomatyzowany;
h) prawo do sprzeciwu – jeżeli osoba zgłosi umotywowany szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Fundację w oparciu o uzasadniony interes Fundacji lub o powierzone Fundacji zadanie w interesie publicznym, Fundacja uwzględni sprzeciw, o ile nie zachodzą po stronie Fundacji ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń;
i) prawo do sprzeciwu przy badaniach naukowych, historycznych lub celach statystycznych, jeżeli Fundacja prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. Fundacja uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;
j) sprzeciw względem marketingu bezpośredniego – jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Fundację na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), Fundacja uwzględni sprzeciw i zaprzestanie takiego przetwarzania;
k) prawo do ludzkiej interwencji przy automatycznym przetwarzaniu – jeżeli Fundacja przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, Fundacja zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie Fundacji, chyba że taka automatyczna decyzja:
– jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a Fundacją lub
– jest wprost dozwolona przepisami prawa lub
– opiera się o wyraźną zgodę odwołującej osoby.
§10
Zasada czystego biurka
1) Personel oraz usługodawcy zobowiązani są do przechowywania na biurku tylko tych dokumentów, które są niezbędne do wykonania bieżących zadań.
2) Po zakończonej pracy personel oraz usługodawcy zobowiązani są złożyć wszystkie dokumenty do zamykanej na klucz szafy.
3) Personel oraz usługodawcy zobowiązani są do niszczenia dokumentów niepotrzebnych w taki sposób, aby nie było możliwe odtworzenie zawartych w nich informacji.
§11
Powierzenie przetwarzania danych osobowych
Fundacja weryfikuje każdorazowo podmioty, którym powierza i podpowierza przetwarzanie danych na rzecz Fundacji w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Fundacji. Fundacja przyjęła minimalne wymagania co do umowy powierzenia przetwarzania danych oraz umowy podpowierzenia danych stanowiące odpowiednio załącznik nr 1 i 2 do niniejszej Polityki Bezpieczeństwa.
§12
Poufność informacji
Fundacja chroni informacje, których ujawnienie mogłoby narazić ją na szkodę oraz szanuje prywatność swoich partnerów biznesowych oraz klientów i w związku z tym wprowadza środki ostrożności w celu zapobieżenia nieupoważnionemu ujawnieniu informacji poufnych.
Fundacja przyjęła minimalne wymagania co do umowy o zachowaniu poufności informacji, stanowiące załącznik nr 3 do niniejszej Polityki Bezpieczeństwa.
§13
Eksport danych
Fundacja rejestruje przypadki eksportu danych osobowych, czyli przekazywania danych poza Europejski Obszar Gospodarczy. Aby uniknąć sytuacji nieautoryzowanego eksportu danych, w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, Fundacja okresowo weryfikuje zachowania użytkowników oraz w miarę możliwości udostępnia zgodne z prawem ochrony danych rozwiązania równoważne.
§14
Analiza Ryzyka
1) Fundacja dokonuje analizy możliwych do wystąpienia sytuacji i scenariuszy naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w ramach poszczególnych komórek organizacyjnych.
2) Na skutek dokonanej analizy Fundacja stosuje odpowiednie zabezpieczenia organizacyjne i techniczne, biorąc pod uwagę koszt ich wdrażania oraz ryzyko naruszenia danych osobowych osób fizycznych, których dane dotyczą.
3) W przypadku, gdy określony rodzaj przetwarzania, w szczególności z użyciem nowych technologii, z uwagi na swój zakres, charakter, kontekst i cele może powodować duże prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych, administrator jeszcze przed rozpoczęciem procesu przetwarzania dokonuje oceny skutków zaplanowanych operacji.
4) Administrator prowadzi dokumentację związaną z przeprowadzoną analizą ryzyka, w tym rejestr ryzyka.
§15
Rejestr czynności przetwarzania oraz Rejestr kategorii czynności przetwarzania
1) W celu zachowania zgodności z obowiązującymi przepisami prawa oraz w celu umożliwienia organowi nadzorczemu oraz administratorom monitorowania prowadzonego przetwarzania danych osobowych, FUNDACJA prowadzi rejestr czynności przetwarzania (dotyczy czynności, w których FUNDACJA jest administratorem) oraz rejestr kategorii czynności przetwarzania (dotyczy czynności w których FUNDACJA występuje jako podmiot przetwarzający).
2) W/w rejestry pełnią rolę map przetwarzania danych i są kluczowymi elementami umożliwiającymi realizację zasady rozliczalności.
3) Wzór Rejestru czynności przetwarzania stanowi załącznik nr 4 do niniejszej Polityki Bezpieczeństwa.
4) Wzór Rejestru kategorii czynności przetwarzania stanowi załącznik nr 5 do niniejszej Polityki Bezpieczeństwa.
§16
Zbiory danych osobowych w FUNDACJI
1) Prezes Fundacji prowadzi rejestr zbiorów danych osobowych przetwarzanych w ramach podległej mu komórki organizacyjnej (zarówno w formie papierowej jak i elektronicznej), zgodnie ze wzorem stanowiącym załącznik nr 6 do niniejszej Polityki Bezpieczeństwa oraz ponosi pełną odpowiedzialność za jego aktualizację.
2) Zarząd ma prawo do weryfikacji prawidłowości danych zgromadzonych w rejestrach.
§17
Udostępnianie danych osobowych
1) W przypadku złożenia wniosku o udostępnienie danych osobowych będących w posiadaniu FUNDACJI przez inny podmiot lub instytucję, każdorazowo w/w wniosek należy przekazać do bezpośredniego przełożonego.
2) Po dokonaniu weryfikacji wniosku żądane dane są przekazywane wnioskodawcom lub wobec braku podstawy prawnej do ich wydania — następuje odmowa ich wydania.
3) Ewidencję udostępnień informacji dotyczących danych osobowych prowadzi Prezes Fundacji.
§18
Ocena skutków przetwarzania dla ochrony danych osobowych
1) W przypadku, gdy w Fundacji zostały zidentyfikowane rodzaje operacji przetwarzania danych osobowych wymagające dokonania oceny skutków przetwarzania dla ich ochrony — ich oceny dokonuje Administrator.
2) Ocena skutków przetwarzania danych osobowych jest dokonywana wobec rodzaju przetwarzania, które z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych — jeszcze przed rozpoczęciem ich przetwarzania.
§19
Strefy bezpieczeństwa
W FUNDACJI wyróżniamy następujące strefy bezpieczeństwa:
1) Strefa ogólnodostępna — do której mają dostęp personel, usługodawcy i goście — w miarę możliwości pod nadzorem personelu, na granicach której odbywa się kontrola ruchu osobowego na podstawie listy osób upoważnionych (tj. personelu lub usługodawców) w zakresie dostępu do pomieszczeń oraz właściwych ewidencji,
2) Strefa administracyjna — zawężona jest do miejsc przechowywania dokumentacji Fundacji, w tym dokumentacji zawierającej dane osobowe.
§20
Postępowanie z kluczami oraz zabezpieczanie pomieszczeń w FUNDACJI.
1) Klucze do poszczególnych pomieszczeń FUNDACJI wraz z listą osób upoważnionych do pobierania kluczy, która obejmuje personel i usługodawców przechowywane są pod nadzorem Prezesa Fundacji.
2) Klucze do poszczególnych pomieszczeń FUNDACJI wydawane są na podstawie listy osób upoważnionych do pobierania kluczy.
3) Po zakończeniu pracy personel, usługodawcy, którzy jako ostatni opuszczają pomieszczenie – zdają klucz Prezesowi.
4) W/w osoby, którym zostały powierzone klucze do pomieszczeń FUNDACJA zobowiązane są wykorzystywać je wyłącznie zgodnie z przeznaczeniem oraz nie kopiować ich i nie udostępniać osobom trzecim.
5) Wszelkie wyjścia prywatne i służbowe personelu w trakcie wykonywanej pracy ewidencjonowane są w księdze wejść i wyjść.
6) Fakt zgubienia klucza należy zgłosić bezpośrednio przełożonemu.
7) Pomieszczenie służbowe zajmowane przez personel oraz osoby upoważnione, w którym chociażby chwilowo nie przebywa żadna osoba powinno być zamknięte na klucz.
8) Klucze od biurek stanowiskowych, szaf biurowych, sejfów itp. znajdujących się w pomieszczeniach zajmowanych przez personel oraz usługodawców – są w posiadaniu personelu oraz usługodawców, którzy ponoszą pełną odpowiedzialność za ich należyte zabezpieczenie.
9) Po zakończeniu pracy personel oraz usługodawcy zobowiązani są do wykonania czynności zabezpieczających polegających, w szczególności na zabezpieczeniu komputerów i wszelkich nośników danych, wyłączenia wszystkich urządzeń elektrycznych (nie wymagających stałego zasilania) oraz zamknięcia wszystkich drzwi i okien znajdujących się w pomieszczeniach zajmowanych przez personel lub usługodawców.
10) Personel oraz usługodawcy zabezpieczają dokumenty w szafach biurowych posiadających zamki o skomplikowanym mechanizmie zamykającym uniemożliwiającym łatwe przełamanie tego zabezpieczenia, a klucz do zabezpieczonej szafy biurowej zdają na portiernię wraz z kluczem do pokoju.
11) Personel sprzątający, który dysponuje kluczami do wszystkich pomieszczeń FUNDACJI, ponosi pełną odpowiedzialność za zabezpieczenie kluczy przed utratą.
§21
Procedura zarządzania incydentami bezpieczeństwa w FUNDACJI
1) Incydentem bezpieczeństwa jest pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji Fundacji, które stwarzają wysokie prawdopodobieństwo zakłócenia działań biznesowych lub zagrażają bezpieczeństwu informacji w Fundacji lub naruszają prawa lub wolności osób fizycznych, w tym prawo do ochrony danych osobowych; incydent bezpieczeństwa stanowi w szczególności:
a) w zakresie pracy przy komputerze:
– udostępnianie haseł do komputera, poczty lub innych systemów nieupoważnionemu personelowi lub usługodawcom,
– nieblokowanie ekranu komputera, w sytuacji oddalenia się od stanowiska pracy,
– pozostawienie wydruków dokumentów na drukarce zawierających informacje poufne, w szczególności dane osobowe,
– wykorzystywanie służbowej dokumentacji do celów niezwiązanych z wykonywaniem obowiązków służbowych na rzecz FUNDACJI,
– niewylogowanie się z systemów informatycznych i/lub pozostawienie uruchomionego
komputera po zakończeniu pracy,
b) włamanie oraz próby włamań do systemów informatycznych,
c) pozostawienie kluczy do pomieszczeń FUNDACJI bez nadzoru,
d) przywłaszczenie lub celowe uszkodzenie urządzeń przetwarzających informacje oraz nośników danych,
e) działanie z użyciem złośliwych kodów (ataki wirusów, robaków, koni trojańskich, rozsyłanie wirusów),
f) ograniczenie dostępności zasobów sieciowych (ataki typu DoS),
g) wszelkie uszkodzenia fizyczne (np. przecięte kable, porysowane zamki),
h) sytuacje losowe np.: wybuch gazu, zalanie pomieszczeń.
2) W przypadku zaistnienia któregokolwiek ze zdarzeń określonych w ust. 1 powyżej lub innych zdarzeń, które mogą stanowić incydent bezpieczeństwa, personel oraz usługodawcy zobowiązani są natychmiast powiadomić o tym fakcie Inspektora Ochrony Danych oraz Zespół IT, a w przypadku nieobecności IOD — osobę sprawującą zastępstwo.
3) Zgłoszenie zdarzenia powinno być przekazane drogą mailową na adres strumienie.koordynator@gmail. W treści wiadomości należy wskazać osobę zgłaszającą, okoliczności zdarzenia takie jak miejsce naruszenia oraz datę i godzinę jego wykrycia/wystąpienia, a w miarę możliwości informację, czy doszło do naruszenia ochrony danych osobowych i kategorię danych oraz przybliżoną liczbę osób których dane dotyczą.
4) Zgłaszający incydent bezpieczeństwa nie powinien podejmować działań na własną rękę, z wyjątkiem sytuacji, w których ma możliwość i odpowiednią wiedzę z zakresu zabezpieczenia materiału dowodowego. Działanie zgłaszającego w zakresie zabezpieczania materiału dowodowego nie może wpłynąć w żaden sposób na jego stan tj. na zmianę, zafałszowanie lub częściową utratę materiału dowodowego.
5) Zespół IT oraz osoby posiadające wiedzę dotyczącą zdarzenia (np. zgłaszający) wspólnie dokonują analizy zgłoszenia ustalając m.in. na jakie dane wpłynęło, z jakiej przyczyny doszło do jego powstania oraz ustalają osoby odpowiedzialne za powstanie zdarzenia. W przypadku, gdy zgłoszone zdarzenie nie zostało zakwalifikowane jako incydent bezpieczeństwa ima charakter fałszywego alarmu lub zostało określone jako zdarzenie o niskim poziomie krytyczności – osoby dokonujące analizy informują o tym fakcie zgłaszającego.
6) W sytuacji, gdy zdarzenie zostało określone jako incydent bezpieczeństwa i ma wpływ na ciągłość działania FUNDACJI oraz wypełnienie jego zadań statutowych IOD i/lub Zespół niezwłocznie informują o tym fakcie Zarząd FUNDACJI.
7) W przypadku zakwalifikowania zdarzenia jako incydentu bezpieczeństwa Inspektor Ochrony Danych i Zespół IT gromadzą oraz zabezpieczają w odpowiedni sposób rzeczowy materiał dowodowy tj. nagrania monitoringu, logi komputerów, logi systemów, kopie poczty e-mail, książki wejść i wyjść, a ponadto, gdy jest to możliwie, materiał w postaci komputerów, laptopów i pozostałych nośników danych, a oprócz tego mają prawo odebrać wyjaśnienia od osób, które posiadają wiedzę na temat incydentu. Na jego podstawie incydent jest oceniany pod kątem krytyczności i rozmiaru wpływu na całą organizację, bądź na jej poszczególne procesy biznesowe (ocena poziomu istotności). Zgodnie z niniejszą procedurą krytyczne będą incydenty, które naruszają w sposób istotny bezpieczeństwo infrastruktury teleinformatycznej i systemów, od których zależy ciągłość operacyjna przedsiębiorstwa lub których skutkiem mogą być znaczne straty finansowe lub wizerunkowe FUNDACJI.
8) Po dokonaniu analizy zgromadzonego materiału Zespół IT bezzwłocznie podejmuje działania naprawcze i zabezpieczające mające na celu ochronę przed skutkami incydentu oraz zapobieżeniu powstania podobnych zdarzeń w przyszłości.
9) Jeżeli zaistniały incydent narusza ochronę danych osobowych oraz może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane w FUNDACJI należy bez zbędnej zwłoki zawiadomić o tym fakcie osobę, której dane dotyczą oraz w wyznaczonym ustawowo czasie organ nadzorczy (nie dłużej niż w ciągu 72 godzin po stwierdzeniu naruszenia), z wyłączeniem sytuacji wskazanych w przepisach prawa. W sytuacji, gdy jest podmiotem przetwarzającym dane na podstawie odrębnej umowy, należy zawiadomić o tym fakcie administratora danych osobowych – zgodnie z zapisami umownymi, a w braku odpowiednich uregulowań — bez zbędnej zwłoki.
10) Jeżeli doszło do wystąpienia incydentu bezpieczeństwa w wyniku zawinionych działań personelu lub usługodawców – IOD oraz Zespół IT przekazuje Zarządowi FUNDACJI wyniki dokonanej analizy wraz z zabezpieczonym materiałem dowodowym. W takim przypadku FUNDACJA ma prawo wyciągnąć wobec pracownika ewentualne konsekwencje dyscyplinarne wynikające z odpowiedzialności porządkowej lub materialnej za szkodę wyrządzoną pracodawcy, a na wypadek wypełnienia przesłanek ustawowych rozwiązać umowę o pracę bez zachowania terminu wypowiedzenia, wobec zaś personelu niebędącego pracownikiem lub usługodawców dochodzić roszczeń na zasadach wynikających z zawartych umów lub przepisów prawa, ponadto, w przypadku gdy zachowanie nosi znamiona przestępstwa/ wykroczenia to ma również prawo złożyć zawiadomienie o podejrzeniu jego popełnienia.
11) Jeżeli incydent bezpieczeństwa dotyczył procedur organizacyjnych obowiązujących w FUNDACJI Zespół IT przekazuje do wszystkich pracowników informację wraz z opisem incydentu i zaleceniami mającymi na celu zapobieżenie wystąpienia podobnych zdarzeń w przyszłości.
12) Zespół przeprowadzający działania związane z obsługą incydentu sporządza raport końcowy dot. incydentu bezpieczeństwa, według wzoru, który stanowi załącznik nr 10 do niniejszej procedury, który to raport może stanowić podstawę do przygotowania zgłoszenia dla organu nadzorczego, zgodne z treścią art. 33 ust. 3 RODO. Raporty są przekazywane kwartalnie Zarządowi FUNDACJI.
13) Rejestr incydentów wraz z całą dokumentacją prowadzi i przechowuje IOD.
§22
Przetwarzanie danych osobowych przez personel oraz usługodawców
1) Nowoprzyjęty personel przed przystąpieniem do pracy podlega przeszkoleniu m.in. w zakresie ochrony danych osobowych, bezpiecznego korzystania z przekazanego mu sprzętu komputerowego, systemów informatycznych oraz Internetu, a ponadto szkolenia z zakresu BHP i ochrony przeciwpożarowej. Szkolenie w zakresie ochrony danych osobowych oraz systemów informatycznych i Internetu może być przeprowadzone w formie e-learningu lub prowadzone bezpośrednio przez Inspektora Ochrony Danych lub Zespół IT.
2) Bezpośredni przełożony nowoprzyjętego personelu – przed przystąpieniem personelu do pracy – jest zobowiązany do:
a) nadania upoważnienia do przetwarzania danych osobowych, złożenia do Zespołu IT wniosku o nadanie uprawnień do zasobów informatycznych FUNDACJI w zakresie wynikającym z udzielonego upoważnienia do przetwarzania danych osobowych wraz z wnioskiem o założenie służbowego konta poczty elektronicznej – jeżeli dotyczy oraz odebranie oświadczenia od nowoprzyjętego personelu w przedmiocie ochrony danych osobowych — według wzoru stanowiącego załącznik nr 12 do niniejszej Polityki Bezpieczeństwa i na zasadach określonych zapisami §24,
b) złożenia do Zespołu IT wniosku o przyznanie sprzętu informatycznego — według wzoru stanowiącego załącznik nr 11 do niniejszej Polityki Bezpieczeństwa.
3) Poza obowiązkami wskazanymi w ust. 1 i 2 powyżej – bezpośredni przełożony jest zobowiązany do:
a) zapoznania nowoprzyjętego personelu z opisem stanowiska, przydzielonymi zadaniami i sposobami ich realizacji,
b) wskazania personelowi jego obowiązków, uprawnień i odpowiedzialności,
c) zapoznanie nowoprzyjętego personelu z aktami wewnętrznymi obowiązującymi w Fundacji, a w szczególności z Polityką Bezpieczeństwa, zaś w przypadku pracownika także z Regulaminem Pracy,
d) udzielenia informacji na temat zasad współpracy obowiązujących w Fundacji pomiędzy poszczególnymi komórkami organizacyjnymi oraz podmiotami zewnętrznymi.
4) Wykaz sprzętu komputerowego jest prowadzony przez Dział Administracyjny. Informacji w zakresie jego dostępności udziela kierownik/dyrektor w/w Działu lub osoba przez niego wyznaczona.
5) Wnioski o przyznanie/odebranie sprzętu informatycznego są przechowywane przez Zespół IT.
6) W przypadku usługodawców, którzy świadcząc usługi na rzecz FUNDACJI uzyskują dostęp do danych osobowych przetwarzanych przez Fundację, w tym w zasobach informatycznych FUNDACJI przed dopuszczeniem ich do przetwarzania niezbędne jest zawarcie umowy o powierzeniu przetwarzanych lub podpowierzeniu danych osobowych, zgodnie ze wzorem stanowiącym odpowiednio załącznik nr 1 lub załącznik nr 2 do niniejszej Polityki Bezpieczeństwa.
§23
Nadawanie upoważnień do przetwarzania danych osobowych
1) Upoważnienie do przetwarzania danych osobowych nadaje personelowi bezpośredni przełożony działając w imieniu FUNDACJI na podstawie udzielonego pełnomocnictwa, zgodnie ze wzorem upoważnienie stanowiącym załącznik nr 12, wskazując w treści upoważnienia:
– imię i nazwisko upoważnionego,
– stanowisko,
– komórkę organizacyjną,
– procesy, w ramach których są przetwarzane dane osobowe, obejmujące czynności służbowe personelu, do których wykonania niezbędne jest przetwarzanie danych osobowych osób fizycznych,
– podstawy nadawania upoważnienia (podstawa prawna zatrudnienia personelu),
– okres obowiązywania upoważnienia,
– datę nadania upoważnienia do przetwarzania danych osobowych,
– podpis bezpośredniego przełożonego ze wskazaniem, że działa on jako pełnomocnik reprezentujący FUNDACJĘ przy dokonywaniu czynności udzielenia upoważnienia do przetwarzania danych osobowych.
2) Przed przystąpieniem do realizacji czynności służbowych upoważniony zapoznaje się z wewnętrzną dokumentacją FUNDACJA dotyczącą ochrony danych osobowych tj. Polityką Bezpieczeństwa i podejmowanymi w tym zakresie uchwałami Zarządu FUNDACJI oraz zarządzeniami Prezesa FUNDACJI. Po zapoznaniu się z w/w dokumentacją upoważniony składa stosowne oświadczenia według wzoru zawartego w załączniku nr 12 do niniejszej Polityki Bezpieczeństwa.
3) Bezpośredni przełożony, po nadaniu personelowi upoważnienia do przetwarzania danych osobowych i odebraniu oświadczenia, o którym mowa w ust. 2 powyżej — na wypadek, gdy personelowi w celu realizacji czynności służbowych niezbędny jest dostęp do zasobów informatycznych FUNDACJA lub posiadanie konta poczty elektronicznej – składa do Zespołu IT wniosek o nadanie uprawnień do zasobów informatycznych FUNDACJA w zakresie wynikającym z udzielonego upoważnienia do przetwarzania danych osobowych wraz z wnioskiem o założenie służbowego konta poczty elektronicznej — według wzoru stanowiącego załącznik nr 12 do niniejszej Polityki Bezpieczeństwa.
4) Ewidencję osób upoważnionych do przetwarzania danych osobowych prowadzi IOD.
5) Każde nowo nadane upoważnienie zgodnie z niniejszymi zapisami zastępuje poprzednio obowiązujące.
§24
Realizacja wniosku o nadanie uprawnień do zasobów informatycznych
1) Zespół IT dokonuje weryfikacji złożonego przez bezpośredniego przełożonego wniosku o nadanie uprawnień do zasobów informatycznych FUNDACJA i nadaje w/w uprawnienia w granicach udzielonego personelowi upoważnienia do przetwarzania danych osobowych, a na wypadek, gdy zakres wnioskowanych uprawnień przekracza zakres udzielonego personelowi upoważnienia do przetwarzania danych osobowych — odmawia pozytywnego rozpatrzenia wniosku i zgłasza stosowne zastrzeżenia bezpośredniemu przełożonemu, dokonując zwrotu wniosku w celu dokonania jego odpowiedniej modyfikacji.
2) Zespołu IT po pozytywnym rozpatrzeniu wniosku o nadanie uprawnień do zasobów informatycznych FUNDACJA— tworzy nowe konto, wprowadza do systemu identyfikator upoważnionego, przydziela tymczasowe hasło oraz nadaje prawa dostępu do wyszczególnionych we wniosku zasobów i systemów informatycznych. Jeśli specyfika programu stosowanego do przetwarzania danych osobowych tego wymaga nadawane są dodatkowe hasła dostępu.
3) Uprawnienia do danych osobowych przetwarzanych w zasobach informatycznych muszą umożliwiać ich odczyt oraz zapis wyłącznie osobom, którym nadano upoważnienie do przetwarzania danych osobowych. Uprawnienia do zasobów informatycznych są nadawane w zakresie dostępu do danych w systemie plików, w których są przechowywane.
4) Na wypadek, gdy złożony przez bezpośredniego przełożonego wniosek obejmował założenie służbowego konta poczty elektronicznej — po pozytywnym rozpatrzeniu wniosku w przedmiocie nadania uprawnień do zasobów informatycznych FUNDACJA— Zespól IT tworzy nowe konto pocztowe.
§25
Modyfikacja/odebranie upoważnień do przetwarzania danych osobowych oraz uprawnień do zasobów informatycznych FUNDACJI.
1) O rozwiązaniu umowy o pracę lub umowy cywilnoprawnej wiążącej FUNDACJĘ z personelem lub innych zdarzeniach powodujących, że zapewnienie dalszego dostępu do danych osobowych (upoważnień do przetwarzania danych) dla tego personelu nie jest uzasadnione, w tym w szczególności na wypadek zmiany stanowiska lub komórki organizacyjnej personelu — Dział Administracyjny w odpowiednim terminie informuje w tym przedmiocie bezpośredniego przełożonego personelu oraz Zespół IT.
2) Na wypadek zdarzeń, o którym mowa w ust. 1 powyżej — bezpośredni przełożony odpowiednio modyfikuje albo odbiera nadane personelowi upoważnienie do przetwarzania danych osobowych oraz składa do Zespołu IT wniosek odpowiednio o modyfikację albo odebranie uprawnień do zasobów informatycznych FUNDACJI w zakresie wynikającym z modyfikacji albo odebrania upoważnienia do przetwarzania danych osobowych wraz z wnioskiem o odebranie służbowego konta poczty elektronicznej – jeżeli jest to uzasadnione; według wzoru stanowiącego załącznik nr 12 do niniejszej Polityki Bezpieczeństwa; w terminie dwóch dni roboczych po otrzymaniu informacji od Działu Administracyjnego, o której mowa w ust. 1 powyżej, ale nie dalej na dwa dni przed terminem rozwiązania umowy lub zmiany stanowiska, o ile jest to możliwe.
3) Na wypadek zdarzeń, o których mowa w ust. 1 powyżej — bezpośredni przełożony składa do Zespołu IT wniosek o odebranie sprzętu komputerowego, jeżeli jest to uzasadnione, według wzoru stanowiącego załącznik nr 11 do niniejszej Polityki Bezpieczeństwa; w terminie dwóch dni roboczych po otrzymaniu informacji od Działu Administracyjnego, o której mowa w ust. 1 powyżej, ale nie dalej na dwa dni przed terminem rozwiązania umowy lub zmiany stanowiska, o ile jest to możliwe.
4) Odebranie upoważnienia do przetwarzania danych należy wyraźnie zaznaczyć w treści dokumentu upoważnienia, na wypadek zaś modyfikacji upoważnienia do przetwarzania danych osobowych – zakres modyfikacji (dodanie i odjęcie czynności/ zasobów/ dostępów) powinien zostać w treści dokumentu upoważnienia wyróżniony odrębnym kolorem czcionki.
5) W sytuacji, gdy zakres wniosku o modyfikację uprawnień do zasobów informatycznych FUNDACJA przekracza zakres udzielonego personelowi upoważnienia do przetwarzania danych osobowych — Zespół IT odmawia pozytywnego rozpatrzenia wniosku i zgłasza stosowne zastrzeżenia bezpośredniemu przełożonemu dokonując zwrotu wniosku w celu dokonania jego odpowiedniej modyfikacji przez bezpośrednio przełożonego.
6) W przypadku odebrania upoważnienia do przetwarzania danych osobowych – Zespół IT usuwa konto z systemu po wcześniejszym zabezpieczeniu danych. W przypadku czasowej utraty upoważnienia konto zostaje zablokowane, co również uniemożliwia zalogowanie.
7) W przypadku odebrania służbowego konta poczty elektronicznej – Zespół IT usuwa konto z systemu po wcześniejszym zabezpieczeniu danych. W przypadku czasowej utraty upoważnienia konto zostaje zablokowane, co również uniemożliwia zalogowanie.
8) W przypadku odebrania sprzętu komputerowego — rozliczenie się z powierzonego mienia odbywa się na zasadach odrębnie określonych.
9) Bezpośredni przełożony jest uprawniony do wcześniejszego odebrania personelowi upoważnienia do przetwarzania danych osobowych na wniosek Zarządu FUNDACJA.A, wówczas bezpośredni przełożony składa do Zespołu IT wniosek o odebranie uprawnienia do zasobów informatycznych FUNDACJA wraz z wnioskiem o odebranie służbowego konta poczty elektronicznej – jeżeli jest to uzasadnione, a także o ile jest to uzasadnione wniosek o odebranie sprzętu komputerowego — które procedowane są na zasadach określonych w ust. 4-8 powyżej.
§26
Bezpieczeństwo sprzętu komputerowego wydanego personelowi oraz usługodawcom
1) Środki przetwarzania informacji spełniają następujące wymagania bezpieczeństwa:
a) lokalizacja sprzętu komputerowego powinna zapewnić ograniczenie dostępu do informacji poufnych, w tym danych osobowych — stanowiska komputerowe muszą znajdować się pomieszczeniach zamykanych na klucz, niedopuszczalne jest pozostawianie pomieszczenia bez nadzoru personelu lub usługodawców,
b) lokalizacja środków przetwarzania powinna minimalizować ryzyko podejrzenia przez nieuprawnione osoby — ustawienie monitorów w sposób uniemożliwiający podgląd przetwarzanych danych osobom nieuprawnionym,
c) lokalizacja urządzeń przechowujących informacje powinna zabezpieczać przed nieautoryzowanym dostępem — urządzenia infrastruktury zapewniające ciągłość procesów FUNDACJI muszą znajdować się w pomieszczeniach chronionych, wyposażonych w zabezpieczeniach techniczne.
§27
Bezpieczeństwo przekazanego sprzętu komputerowego poza budynkami FUNDACJI.
1) Przemieszczanie sprzętu komputerowego zawierających informacje prawnie chronione poza budynki FUNDACJI wymaga stosowania środków ochrony gwarantujących ich zabezpieczenie przed nieuprawnionym dostępem i ujawnieniem informacji. Wybór środków ochrony należy do Zespołu IT.
2) Sprzęt komputerowy podlega szczególnej ochronie. Jego używanie poza budynkami RARR S.A. musi mieć uzasadnienie w realizowanych przez personel i usługodawców zadaniach służbowych.
3) Zgodę na użytkowanie sprzętu komputerowego poza budynkami FUNDACJA wydaje bezpośredni przełożony na pisemny, uzasadniony wniosek podlegającego mu personelu lub usługodawców. Zgoda obowiązuje przez okres 6 miesięcy, ale nie dłużej niż okres obowiązywania umowy o pracę/ umowy cywilnoprawnej albo okres na jaki sprzęt komputerowy został personelowi przekazany, w zależności od tego, który z okresów kończy się wcześniej. Po upływie w/w okresu personel lub usługodawcy mają możliwość ponownego złożenia wniosku.
4) Kontrolę w zakresie czasu obowiązywania w/w zgody sprawuje Zespół IT.
§28
Zasady korzystania ze sprzętu komputerowego poza budynkami FUNDACJA.
1) Personel FUNDACJA oraz usługodawcy obowiązani są do ochrony sprzętu komputerowego użytkowanego poza budynkami Fundacji. Niedopuszczalne jest pozostawianie sprzętu komputerowego bez opieki w samochodach, przedziałach kolejowych oraz innych miejscach, gdzie personel lub usługodawcy nie mają możliwości sprawowania nad nim skutecznego nadzoru.
2) Informacje prawnie chronione przechowywane na przenośnym sprzęcie komputerowym należy zabezpieczyć poprzez ich zaszyfrowanie korzystając np. z oprogramowania szyfrującego typu Bitlocker i nowszych (należy szyfrować całe foldery, a nie poszczególne pliki).
3) W przypadku utraty komputera przenośnego personel oraz usługodawcy niezwłocznie powiadamiają o tym fakcie swojego bezpośredniego przełożonego. Dalsze działania powinny być podejmowane z uwzględnieniem procedury zarządzania incydentami bezpieczeństwa.
§29
Powiadamiania służb/zabezpieczenie materiału dowodowego
1) W przypadku podejrzenia popełnienia przestępstwa obowiązują następujące zasady postępowania:
a) Poinformowanie o zaistniałym zdarzeniu IOD oraz pracowników Zespołu IT zgodnie z procedurą zarządzania incydentami bezpieczeństwa, określoną zapisami §22 niniejszej Polityki Bezpieczeństwa.
b) W przypadku, gdy istnieje możliwość, że dane zdarzenie może stanowić przestępstwo w/w osoby niezwłocznie informują o tym fakcie Zarząd FUNDACJI., który następnie podejmuje decyzję o poinformowaniu organów ścigania. Potencjalne dowody przestępstwa powinny być w odpowiedni sposób zabezpieczone.
2) Zabezpieczenie materiału dowodowego powinien dokonać zespół osób, które posiadają odpowiednią wiedzę umożliwiającą podjęcie skutecznych działań, w celu ewentualnego potwierdzenia okoliczności ich zabezpieczenia.
3) Nie należy wymontowywać dysków twardych, pamięci oraz innych komponentów, jak również wyłączać uruchomionego sprzętu z prądu. Zalecane jest również odpowiednie zabezpieczenie logów systemów operacyjnych lub/i aplikacji.
§30
Zabezpieczenie sprzętu komputerowego
1) FUNDACJA zapewnia odpowiednią ochronę sprzętu komputerowego przed różnymi typami zagrożeń, atakami sieciowymi i phishingowymi poprzez stosowanie licencjonowanego, komercyjnego oprogramowania. Każde zagrożenie lub atak przetwarzane jest przez dedykowany moduł dla danej kategorii zagrożeń lub ataków. Moduły mogą być włączane, wyłączane i konfigurowane niezależnie od siebie. Możliwość zmiany konfiguracji zabezpieczona jest hasłem administratora. Domyślnie aplikacja jest aktualizowana automatycznie.
2) Moduły oprogramowania zabezpieczającego sprzęt komputerowy.
a) Modułami kontroli są następujące składniki aplikacji:
– e kontrola uruchamiania aplikacji – moduł śledzi próby uruchamiania aplikacji przez użytkownika wraz z kontrolą procesu uruchamiania aplikacji;
– e kontrola uprawnień aplikacji – komponent rejestruje akcje wykonywane przez aplikacje w systemie i kontroluje aktywność aplikacji;
– e monitor wykrywania luk – wykonuje w czasie rzeczywistym zadanie wykrywania luk w uruchamianych aplikacjach oraz w tych dotychczas działających na komputerze użytkownika;
– e kontrola urządzeń – umożliwia ustawienie ograniczeń dostępu do urządzeń przechowywania danych (takich jak dyski twarde, dyski wymienne, nośniki taśmowe, płyty CD i DVD), sprzętu przesyłającego dane (takiego jak modemy), sprzętu tworzącego kopie informacji (takiego jak drukarki) i interfejsów służących do podłączania urządzeń do komputerów (takich jak USB, Bluetooth czy podczerwień).
b) Modułami ochrony są następujące składniki aplikacji:
– e moduł ochrony plików – chroni system plików komputera przed infekcją. Ochrona plików przechwytuje każdy otwierany plik i skanuje go w poszukiwaniu wirusów i innych zagrożeń;
– e kontrola systemu – moduł zbiera informacje o aktywności aplikacji na komputerze i udostępnia te informacje innym modułom w celu zapewnienia bardziej efektywnej ochrony;
– e ochrona stron WWW – skanuje ruch sieciowy przychodzący za pośrednictwem protokołu HTTP i FTP, a także sprawdza, czy adresy znajdują się na liście szkodliwych lub phishingowych adresów internetowych;
– e ochrona komunikatorów – skanuje informacje przysyłane na komputer za pośrednictwem protokołów komunikatorów internetowych oraz zapewnia bezpieczne działanie różnych aplikacji komunikatorów internetowych. Korzystanie z komunikatorów w celu realizacji czynności służbowych następuje na pisemny, uzasadniony wniosek bezpośredniego przełożonego skierowany do Zespołu IT.
– e zapora sieciowa – chroni osobiste dane przechowywane na komputerze i blokuje wszystkie rodzaje zagrożeń systemu operacyjnego, gdy komputer jest podłączony do internetu lub sieci lokalnej. Moduł filtruje całą aktywność sieciową zgodnie z dwoma typami reguł: regułami sieciowymi dla aplikacji i regułami dla pakietów sieciowych;
– e blokowanie ataków sieciowych – bada przychodząc ruch sieciowy w poszukiwaniu aktywności typowych dla ataków sieciowych.
3) Zabezpieczenie organizacyjne – w zakresie zabezpieczania sprzętu komputerowego w FUNDACJA cyklicznie są prowadzone szkolenia w zakresie bezpieczeństwa pracy (np. dostęp do Internetu), mające na celu podnoszenie świadomości użytkowników w Odniesieniu do istniejących zagrożeń. Ponadto Fundacja co najmniej raz do roku przeprowadza testy bezpieczeństwa, o których mowa w §40 niniejszej Polityki Bezpieczeństwa.
§31
Zarządzanie bezpieczeństwem sieci informatycznej
1) FUNDACJA stosuje zabezpieczenia sieci w postaci sprzętu typu UTM, dzięki którym zostały wdrożone następujące funkcje urządzenia:
a) firewall,
b) system prewencji włamań IPS, Intrusion Prevention System (IPS) – ochrona przed włamaniami,
c) moduł antywirusowy,
d) ochrona przed wyciekiem danych — DLP,
e) ochrona przed spyware/malware/ransomware – złośliwym oprogramowaniem i programami szpiegującymi
f) web Filtering Services – moduł kontrolujący witryny internetowe po których poruszają się użytkownicy,
g) szyfrowany Tunel VPN pomiędzy oddziałami FUNDACJI,
h) szyfrowany Tunel VPN dla pracowników FUNDACJI. pracujących poza siedzibą i oddziałami firmy.
2) Zabezpieczenia fizyczne – FUNDACJA stosuje zabezpieczenia fizyczne w zakresie dostępu do pomieszczeń, w których są zlokalizowane urządzenia sieciowe oraz okablowanie strukturalne.
3) Zabezpieczenia organizacyjne — jest realizowane poprzez podnoszenie świadomości użytkowników przez prowadzenie wewnętrznych szkoleń w zakresie bezpieczeństwa pracy i bezpiecznego korzystania z Internetu. Ponadto Fundacja co najmniej raz do roku przeprowadza testy bezpieczeństwa, o których mowa w §40 niniejszej Polityki Bezpieczeństwa.
§32
Polityka haseł
1) Polityka haseł w zakresie ich złożoności, minimalnej ilości znaków oraz znaków specjalnych realizowana jest poprzez ustawienia GPO kontrolerów domeny używanych w FUNDACJI ta odpowiada hasłom do logowania się użytkowników do systemu operacyjnego.
2) Wszelkie zasoby informatyczne w FUNDACJA poświadczeń za pomocą loginu oraz hasła.
3) W zakresie systemów, w których nie ma możliwości ustawienia systemu w sposób taki, by wymuszał złożoność hasła i jego minimalną długość, Zespół IT ustanawia hasła manualnie, mając na uwadze politykę haseł.
4) Zasady ustawienia haseł:
– hasło użytkownika nie może zawierać nazwy konta użytkownika, ani części jego pełnej nazwy dłuższej niż dwa kolejne znaki;
– hasło użytkownika powinno składać się z co najmniej 8 znaków;
– hasło użytkownika musi zawierać znaki z trzech spośród następujących czterech kategorii (minimum jeden znak):
– wielkie litery alfabetu łacińskiego (od A do Z),
– małe litery alfabetu łacińskiego (od a do z),
– cyfry systemu dziesiętnego (od 0 do 9),
– znaki niealfabetyczne (na przykład!, §, £, %);
– hasła nie mogą się powtarzać przez okres 12 miesięcy;
– zmiana hasła następuje co 30 dni;
– hasła użytkowników nie mogą być zapisywane w miejscach widocznych dla osób nieuprawnionych. Hasła nie można również udostępniać osobom trzecim.
5) W przypadku wystąpienia sytuacji awaryjnej administrator dysponuje pełną listą haseł użytkowników, która znajduje się w zapieczętowanej kopercie i jest przechowywana w szafie pancernej w Dziale Administracyjnym FUNDACJA POLSKA każdorazowym użyciu haseł, koperta powinna zostać ponownie zapieczętowana i umieszczona w szafie pancernej. W/w komórka ponosi odpowiedzialność za odpowiednie zabezpieczenie danych. O każdej zmianie hasła powinien zostać poinformowanych Inspektor Ochrony Danych.
§33
Bezpieczeństwo okablowania
FUNDACJA zabezpieczenia fizyczne w zakresie dostępu do pomieszczeń, w których są zlokalizowane urządzenia sieciowe oraz okablowanie strukturalne. Zabezpieczenie organizacyjne występuje w postaci zabezpieczenia dostępu do pomieszczeń przez kontrolę ruchu osobowego w FUNDACJI. W przypadku istnienia możliwości technicznych, aktywne urządzenia sieciowe powinny mieć wyłączone nieużywane zasoby.
§34
Zarządzanie usługami dostarczonymi przez strony trzecie
Umowy serwisowe zawierane ze stronami trzecimi w zakresie usług informatycznych i zabezpieczeń związanych z dostarczanymi usługami muszą zawierać klauzulę, która zapewni wdrożenie, wykonywanie oraz utrzymanie przez stronę trzecią odpowiedniego poziomu usług i jakości mechanizmów ich zabezpieczenia. Nad prawidłową realizacja umów czuwa Zespół IT.
§35
Zabezpieczenie korespondencji mailowej — Office 365
1) Bezpieczeństwo danych:
a) Korespondencja mailowa personelu oraz usługodawców w FUNDACJI przetwarzana jest w chmurze, która zapewnia tym samym wysoki poziom bezpieczeństwa przesyłanych danych m.in. poprzez :
– szyfrowanie danych za pomocą protokołu SSL/TLS, gdy są one przekazywane między użytkownikiem a firmą Microsoft;
– zarządzanie zagrożeniami, monitorowanie zabezpieczeń i funkcje integralności pliku/danych zapobiegające naruszaniu danych i wykrywające wszelkie takie próby;
– zaawansowane mechanizmy ochrony informacji i poczty e-mail przed spamem i złośliwym oprogramowaniem.
2) Mechanizmy kontroli użytkownika poczty:
– e szyfrowanie wiadomości usługi Office 365 umożliwia użytkownikom wysyłanie szyfrowanych wiadomości e-mail do innych osób, niezależnie od tego, jakiej usługi e-mail używają adresaci;
– e szyfrowanie kanału za pomocą SSL/TLS.
3) Mechanizmy kontroli administratora:
– uwierzytelnianie wieloskładnikowe chroni dostęp do usługi przez użycie drugiego urządzenia, takiego jak np. telefon;
– ochrona przed utratą danych zapobiega wyciekowi poufnych danych wewnątrz organizacji lub poza nią, zapewniając jednocześnie szkolenie i autoryzację użytkowników;
– wbudowane funkcje zarządzania urządzeniami przenośnymi umożliwiają zarządzanie dostępem do danych firmowych;
– zarządzanie aplikacjami przenośnymi w aplikacjach pakietu Office Mobile obsługiwane przez usługę Intune udostępnia mechanizmy szczegółowej kontroli zapewniające bezpieczeństwo danych zawartych w tych aplikacjach;
– Wbudowane oprogramowanie antywirusowe i ochrona przed spamem wraz z zaawansowaną ochroną przed zagrożeniami zabezpieczają przed zagrożeniami zewnętrznymi;
– Usługa Office 365 Cloud App Security zapewnia ulepszony wgląd w środowisko usługi Office 365 i kontrolę nad nim.
§36
Zasady tworzenia kopii bezpieczeństwa
1) Ustala się następujące zasady tworzenia kopii bezpieczeństwa w FUNDACJI.:
a) dla urządzeń sieciowych (switche, routery, utm’y):
– kopia ustawień urządzeń sporządzana niezwłocznie po wprowadzeniu i przetestowaniu nowych funkcjonalności lub ustawień. Przyjmuje się przechowywanie min. 3 ostatnich kopii bezpieczeństwa, które są przechowywane w dwóch różnych lokalizacjach;
b) dla oprogramowania do wirtualizacji:
– kopia ustawień urządzeń sporządzana raz na 3 miesiące lub niezwłocznie po wprowadzeniu i przetestowaniu nowych funkcjonalności lub ustawień. Przyjmuje się przechowywanie min. 2 ostatnich kopii bezpieczeństwa.
c) dla maszyn wirtualnych (windowsserver, linux):
– kopia maszyn wirtualnych wykonywana niezwłocznie po wprowadzeniu i przetestowaniu nowych funkcjonalności lub ustawień, Przyjmuje się przechowywanie min. 2 ostatnich kopii bezpieczeństwa;
d) dla danych zasobów (danych użytkowników):
– kopia danych użytkowników wykonywana jest codziennie po zakończonym dniu pracy i dokonuje się w dwóch lokalizacjach. ( codziennie na macierz dyskową i co tydzień ostatnia kopia jest kopiowana na serwer kopii zapasowych);
e) profile użytkowników — znajdują się na macierzy dyskowej;
f) poczta Office 365 – system umożliwia odzyskanie usuniętych wiadomości e-mail z poziomu administratora systemu.
2) Co 6 miesięcy Zespół IT dokonuje sprawdzenia kopii zapasowych pod względem ich przydatności do odtworzenia danych. Dokumentację techniczną w tym zakresie prowadzi Zespół IT.
§37
Konserwacja sprzętu komputerowego — zasady bezpieczeństwa
1) Ustawienia BIOS serwera głównego oraz stacji roboczych pozwalają na wykrycie uszkodzeń wentylatorów oraz anomalii w postaci wysokiej temperatury układów chłodzenia. W takim przypadku uruchamiane są mechanizmy awaryjnego wyłączenia systemu.
2) Personel oraz usługodawcy w FUNDACJA STRUMIENIE ŻYCIA – POLSKA zobowiązani są do każdorazowego poinformowania Zespołu IT o fakcie samoczynnego wyłączenia się sprzętu komputerowego lub innych zdarzeń, które w ich ocenie zostaną uznane za niestandardowe.
3) W przypadku uszkodzenia systemów lub podzespołów serwera lub stacji roboczych, Zespół IT lub upoważniona osoba bazując na swoim doświadczeniu oraz wiedzy, dokonują próby jego naprawy.
4) W sytuacji, gdy próba naprawy okaże się nieskuteczna Zespół IT decyduje o zleceniu naprawy sprzętu w zewnętrznym serwisie. Dla przekazania do serwisu zewnętrznego dysków twardych lub innych nośników danych, niezależnie od tego, czy zawierają dane osobowe niezbędne jest uprzednie ich zabezpieczenie przez Zespół IT.
5) Potwierdzeniem zlecenia naprawy w zewnętrznym serwisie są zgłoszenia serwisowe lub inne dokumenty, których rejestr prowadzi Zespół IT.
§38
Zabezpieczanie nośników danych
1) FUNDACJA dopuszcza użytkowanie szyfrowanych oraz ewidencjonowanych przez Zespół IT, przenośnych nośników wymiennych tj. pendrive oraz karty SD w trybie odczytu oraz zapisu. Użytkowanie nieszyfrowanych oraz nieewidencjonowanych nośników wymiennych jest możliwe jedynie w trybie umożliwiającym odczyt, zapis jest blokowany.
2) Wszystkie przenośne nośniki informacji tj. płyty CD/DVD zawierające informacje prawnie chronione, muszą być ewidencjonowane i oznakowane, możliwość zapisu na płytach CD/DVD jest możliwa jedynie przez Zespół IT.
3) Wszelkie przenośne nośniki informacji powinny być przechowywane w szafach zamykanych na klucz uniemożliwiając tym samym dostęp osobom nieuprawnionym.
4) Nośniki wycofane z użycia zabezpieczane są przez Zespół IT, nie mogą być wynoszone poza Fundację, bez wcześniejszego trwałego usunięcia danych.
5) Wszelkie nośniki zawierające informacje prawnie chronione są komisyjnie niszczone w sposób uniemożliwiający odczytanie na nich zapisanych informacji.
§39
Testy bezpieczeństwa
Co najmniej raz do roku w FUNDACJA przeprowadzone są testy bezpieczeństwa, które mają na celu zapewnienie poufności danych, kompleksową weryfikację przestrzegania zasad bezpieczeństwa w Fundacji i zwiększenie świadomości personelu oraz usługodawców w zakresie ochrony informacji. Wyniki testów bezpieczeństwa, (w zależności od ich poziomu poufności) są przekazywane wszystkim pracownikom Fundacji lub wyłącznie Zarządowi FUNDACJI.
§40
Dostęp do Internetu
1) Dostęp do Internetu udostępnianego przez FUNDACJĘ personelowi lub usługodawcom lub gościom – dozwolony jest wyłącznie z wykorzystaniem metod i łączy udostępnionych w Fundacji.
2) Dostęp do stron komercyjnych, społecznościowych i rozrywkowych jest ograniczony oraz może być związany wyłącznie z wykonywaniem czynności służbowych.
3) Zabronione jest korzystanie ze stron WWW, na których zostają naruszone normy prawne, obyczajowe, prawo autorskie, zamieszczone są treści pornograficzne, obraźliwe, itp.
4) Zabronione jest ściąganie plików muzycznych, filmów, gier lub oprogramowania niezwiązanego z wykonywaniem obowiązków służbowych.
5) Użytkownik ma prawo do wnioskowania, za zgodą dyrektora lub osoby działającej w jego imieniu, o udostępnienie wskazanych stron internetowych.
§41
System wydruku w FUNDACJI.
1) W lokalizacjach Fundacji urządzenia drukujące znajdują się w miejscach, w których przebywa personel pod jego kontrolą i zarządzane z sieci FUNDACJI.
3) System wydruku zarządza procesem przetwarzania dokumentów organizacji, tj. procesem skanowania, kopiowania, drukowania.
4) Za bezpieczeństwo informacji , w tym danych osobowych na wydrukowanych dokumentach odpowiada personel lub odpowiednio usługodawcy.
§42
Aktualizacja Polityki Bezpieczeństwa
1) Niniejszy dokument podlega aktualizacji i przeglądowi nie rzadziej niż raz na dwa lata, a każdorazowo w przypadku:
a) zmiany przepisów prawa powszechnie obowiązującego wymagających aktualizacji Polityki Bezpieczeństwa,
b) innych znaczących zmian dotyczących bezpieczeństwa przetwarzania danych osobowych, m.in. wytycznych Prezesa Urzędu Ochrony Danych Osobowych
2) Przeglądu i aktualizacji dokonuje IOD wraz z Zespołem IT. Zatwierdzenia zaktualizowanego dokumentu dokonuje Zarząd FUNDACJI.