sds.lomza@wp.pl
Przypomnij hasło
tel. 86 219 93 00
Biuletyn Informacji Publicznej
Środowiskowy Dom Samopomocy w Łomży
drukuj

Polityka bezpieczeństwa

Polityka bezpieczeństwa  

w Środowiskowym Domu Samopomocy  w Łomży

 

 

1.    Cel .

  1. Celem polityki bezpieczeństwa jest określenie kierunków działań oraz wsparcia dla zapewnienia bezpieczeństwa przetwarzania zbiorów danych osobowych zarządzanych przez Środowiskowy Dom Samopomocy  w Łomży, zwaną dalej ŚDS
  2. Przez bezpieczeństwo danych osobowych rozumie się zapewnienie ich poufności, integralności i dostępności oraz zapewnienie rozliczalności działań, zgodnie z Polityką Bezpieczeństwa Systemu Informacyjnego.
  3. ŚDS zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnego i zgodnego z przepisami prawa wykonywania swoich zadań oraz zadań wykonywanych na podstawie umów lub powierzonych do wykonania na podstawie porozumień.
  4. Zakres przedmiotowy stosowania niniejszej Polityki obejmuje wszystkie zbiory danych osobowych przetwarzane w ŚDS, zarówno w formie elektronicznej, jak i tradycyjnej. W zakresie podmiotowym Polityka obowiązuje wszystkich pracowników ŚDS oraz inne osoby mające dostęp do danych osobowych, w tym stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło itp.
  5. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
  6. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).
  7. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922 z późn. zm.).
  8. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745).
  9. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  10. Dane osobowe – Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  11. Zbiór danych osobowych – posiadający strukturę zestaw danych o charakterze osobowym.
  12. Nazwa użytkownika – jednoznacznie przypisany jednej osobie identyfikator składający się z liter i cyfr, określający użytkownika w systemie informatycznym.
  13. Hasło - ciąg znaków, stanowiący tajemnicę użytkownika, w połączeniu z nazwą użytkownika umożliwiający uwierzytelnienie w systemie informatycznym.
  14. ŚDS zabezpiecza dane osobowe przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
  15. Administratorem Danych w ŚDS jest Dyrektor.
  16. Dyrektor ŚDS pełni rolę Administratora Bezpieczeństwa Informacji  ,jest odpowiedzialny za:

2.    Informacje wstępne

2.1          Podstawa prawna

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
  2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).
  3. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922 z późn. zm.).
  4. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745).

2.2          Terminologia

  1. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  2. Dane osobowe – Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  3. Zbiór danych osobowych – posiadający strukturę zestaw danych o charakterze osobowym.
  4. Nazwa użytkownika – jednoznacznie przypisany jednej osobie identyfikator składający się z liter i cyfr, określający użytkownika w systemie informatycznym.
  5. Hasło - ciąg znaków, stanowiący tajemnicę użytkownika, w połączeniu z nazwą użytkownika umożliwiający uwierzytelnienie w systemie informatycznym.

3.    Odpowiedzialność

a)    zapewnienie, aby do danych osobowych miały dostęp wyłącznie osoby upoważnione w zakresie wykonywanych zadań,

b)    nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe oraz kontroli przebywających w nich osób,

c)    nadzorowanie przestrzegania zasad określonych w procedurach i  instrukcjach dotyczących ochrony bezpieczeństwa danych osobowych,

d)    nadzorowanie wykonywania kopii awaryjnych, ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu,

e)    nadzorowanie przeglądów, konserwacji oraz uaktualnień systemów służących do przetwarzania danych osobowych oraz wszystkich innych czynności wykonywanych na bazach danych osobowych,

f)     nadzorowanie systemu komunikacji w sieci komputerowej oraz przesyłania danych za pośrednictwem urządzeń teletransmisji,

g)    nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe generowane przez system informatyczny,

h)    nadzorowanie funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych,

i)      podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych,

j)      analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych (jeśli takie wystąpiło) i przygotowanie  odpowiednich  zmian do Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

k)    prowadzenie rejestru wydanych upoważnień przetwarzania danych,

l)      zlecenie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania lub zmiany upoważnienia do przetwarzania danych osobowych,

m)   szkolenie osób dopuszczonych do przetwarzania danych osobowych z zakresu przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa danych osobowych,

n)    nadzorowanie podpisania odpowiednich umów o poufności z użytkownikami upoważnionymi do przetwarzania danych osobowych, firmami, którym powierzono przetwarzanie danych osobowych lub konserwacje urządzeń służących do przetwarzania danych oraz pracownikami tych firm. Przykładową treść zapisu w umowie zamieszczono w załączniku nr 1 do niniejszych Procedur.

  1. Każdy pracownik przetwarzający dane osobowe zarządzane przez Administratora Danych posiada odpowiednie upoważnienie do przetwarzania danych osobowych zawierające:

a)    imię i nazwisko,

b)    datę nadania i okres jego obowiązywania,

c)    zakres danych, które osoba może przetwarzać (zbiory danych),

  1. Każdy pracownik przetwarzający dane osobowe zobowiązany jest zapewnić ich należytą ochronę, a w szczególności przestrzegać zasad ochrony, o których mowa w części 7 – „System zabezpieczeń danych osobowych” niniejszych Procedur.

 

4.    Opis struktury zbiorów

 

Tabela 4.1 przedstawia zawartość informacyjną zbiorów: zakres danych o osobach przetwarzanych w zbiorach ŚDS

 

Tabela 4.1 Zawartość informacyjna zbiorów danych przetwarzanych w ŚDS w Łomży

 

L.p.

 

Zbiór danych

Zawartość informacyjna

1.

Dane uczestników ŚDS

Nazwisko, Imiona,  Data urodzenia,  PESEL, Adres zamieszkania, telefon . Sytuacja zdrowotna, Orzeczenie o stopniu niepełnosprawności, Data przyjęcia do ŚDS, okres i przyczyna dłuższej niż dwutygodniowej nieobecności w domu,

 

 

2

Dane rodziców/opiekunów prawnych

Nazwisko, Imiona,  Data urodzenia,  PESEL, Adres zamieszkania, telefon .

 

3

Dane pracowników

Imię i nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, data i miejsce urodzenia, obywatelstwo, PESEL, NIP, numer konta bankowego miejsce zameldowania (dokładny adres), adres do korespondencji, telefon, wykształcenie (nazwa szkoły i rok ukończenia, zawód/specjalność/tytuł naukowy lub zawodowy), wykształcenie uzupełniające, przebieg dotychczasowego zatrudnienia, dodatkowe   uprawnienia/umiejętności/ zainteresowania, stan rodzinny (imiona i nazwiska oraz daty urodzenia dzieci), powszechny obowiązek wojskowy (stosunek do powszechnego obowiązku obrony, stopień wojskowy, numer specjalności wojskowej, przynależność ewidencyjna do WKU, numer książeczki wojskowej, przydział mobilizacyjny do sił zbrojnych RP) osoba, którą należy zawiadomić w razie wypadku (imię i nazwisko, adres, telefon), seria i numer dowodu tożsamości, rodzaj dowodu, oświadczenie o prawdziwości danych, umowa o pracę, rodzaj wykonywanej pracy (stanowisko, funkcja, zawód, specjalność), miejsce wykonywania pracy, wymiar czasu pracy, wynagrodzenie, inne warunki zatrudnienia, dzień rozpoczęcia pracy, potrącenia na fundusz socjalny.

4

Umowy

imię, nazwisko, imiona rodziców, adres zamieszkania, adres zameldowania, PESEL, NIP, wartość wynagrodzenia, oświadczenia o innej pracy i wynagrodzeniach, student, rencista, czy ma podlegać ubezpieczeniom: zdrowotnemu, społeczne dobrowolne, obowiązkowe (zależnie od przypadków).

5

Płace i Kadry

Imię i nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, data i miejsce urodzenia, obywatelstwo, PESEL, NIP, miejsce zameldowania (dokładny adres), adres do korespondencji, telefon, wykształcenie (nazwa szkoły i rok ukończenia, zawód/specjalność/tytuł naukowy lub zawodowy), wykształcenie uzupełniające, przebieg dotychczasowego zatrudnienia, dodatkowe uprawnienia/umiejętności/zainteresowania, stan rodzinny (imiona i nazwiska oraz daty urodzenia dzieci), zdrowie, powszechny obowiązek wojskowy (stosunek do powszechnego obowiązku obrony, stopień wojskowy, numer specjalności wojskowej, przynależność ewidencyjna do WKU, numer książeczki wojskowej, przydział mobilizacyjny do sił zbrojnych RP) osoba, którą należy zawiadomić w razie wypadku (imię i nazwisko, adres, telefon), seria i numer dowodu tożsamości, rodzaj dowodu, oświadczenie o prawdziwości danych, umowa o pracę, rodzaj wykonywanej pracy (stanowisko, funkcja, zawód, specjalność), miejsce wykonywania pracy, wymiar czasu pracy, wynagrodzenie, inne warunki zatrudnienia, dzień rozpoczęcia pracy, potrącenia na fundusz socjalny.

6

Płatnik

Numer identyfikacji podatkowej NIP; numer ewidencyjny PESEL; rodzaj dokumentu tożsamości; seria i numer dokumentu tożsamości; nazwisko; imię; data urodzenia; imię drugie; nazwisko rodowe; obywatelstwo; płeć; czy cudzoziemiec posiada kartę stałego pobytu; czy cudzoziemiec posiada kartę czasowego pobytu; wymiar czasu pracy; data powstania obowiązku ubezpieczeń; kod stopnia niezdolności do pracy; kod wykonywanego zawodu; kod stanowiska; kod wykształcenia; kod pracy w szczególnych warunkach; nazwa kasy chorych; data zawarcia umowy z kasą chorych; kod pocztowy; miejscowość; gmina; ulica; numer domu; numer lokalu; numer telefonu; numer identyfikacji podatkowej NIP członka rodziny; numer ewidencyjny PESEL członka rodziny; rodzaj dokumentu tożsamości członka rodziny; seria i numer dokumentu tożsamości członka rodziny; nazwisko członka rodziny; imię członka rodziny; data urodzenia członka rodziny, stopień pokrewieństwa członka rodziny.

7

Zakładowy Fundusz Świadczeń Socjalnych

Wnioski pracowników o dofinansowanie z różnych form pomocy, data, nazwisko, imię, adres zamieszkania, nazwa pracodawcy, cel pomocy, członkowie rodziny, imię i nazwisko, data urodzenia, nazwa szkoły, uwagi: dochód na członka rodziny w roku kalendarzowym, data i podpis uprawnionego pracownika.

 

5.    System zabezpieczeń danych osobowych

Zestawienie środków organizacyjnych i technicznych zapewniających ochronę danych osobowych w zakresie poufności, integralności i rozliczalności.

  1. Ochrona zbiorów danych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem.
  2. W celu ochrony danych przechowywanych w systemach informatycznych należy wykorzystywać wchodzące w ich skład mechanizmy zarówno sprzętowe jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych.
  3. Dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych mają obowiązek zachować w tajemnicy dane, które przetwarzają, oraz sposoby ich zabezpieczenia.
  4. Modyfikacji zbioru danych: struktury, lokalizacji, a także utworzenia zbioru uzgadnia się z ADO.
  5. Osoby nieupoważnione do przetwarzania danych osobowych mogą przebywać w obszarach przetwarzania danych osobowych jedynie za zgodą ADO lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Wzór upoważnienia zamieszczono w załączniku numer 3 do niniejszych  Procedur.
  6. Wszystkie pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych – także w godzinach pracy.
  7. Dane osobowe przechowywane w wersji tradycyjnej (papierowej) są przechowywane po zakończeniu pracy w zamykanych na klucz meblach biurowych. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych.
  8. Dane osobowe w wersji papierowej, a także wydruki i kopie, należy niszczyć w niszczarkach lub przekazywać do zniszczenia wynajętej do tego celu firmie. Zabronione jest usuwanie danych przez wyrzucenie ich do kosza na odpadki.
  9. W przypadku żądania udostępniania danych pracownicy ŚDS postępują zgodnie z przepisami ustawy o ochronie danych osobowych. Decyzję podejmuje ADO. Udostępnianie danych jest odnotowywane w systemach informatycznych, a w przypadku zbiorów danych w formie tradycyjne w pismach wychodzących. Wzór formularza zamieszczono w załączniku Nr 4 do niniejszych Procedur. Odnotowanie informacji o udostępnianiu przechowuje ADO.
  10. Budynek w których zlokalizowane są zbiory danych osobowych, są nadzorowane przez  system monitoringu  przez całą dobę.
  11. Procedurę zarządzania uprawnieniami do systemów informatycznych reguluje „Instrukcja zarządzania systemem informatycznym przyjęta zarządzeniem dyrektora ŚDS”.
  12. Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady:

a)    kontrola dostępu do zbiorów danych osobowych,

b)    indywidualne identyfikatory użytkowników (pracowników przetwarzających dane osobowe),

c)    uwierzytelnianie użytkowników (potwierdzanie ich tożsamości).

  1. W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem:

a)    systemy informatyczne wyposażono w awaryjne zasilanie,

b)    wdrożono oprogramowanie antywirusowe,

c)    dostęp do systemów z sieci publicznej jest kontrolowany za pomocą oprogramowania antywirusowego,

  1. Zastosowano środki fizyczne chroniące urządzenia przed osobami nieupoważnionymi przez ADO do dostępu do danych osobowych oraz zagrożeniami ze strony sił natury.
  2. Użytkowników systemów przetwarzających dane osobowe obowiązuje następująca polityka haseł:

a)    minimalna długość hasła wynosi 8 (osiem) znaków,

b)    zmiana hasła nie rzadziej niż co 30 dni,

c)    hasło zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

  1. Jeżeli system informatyczny środkami technicznymi nie wymusza zasad ujętych w pkt. 15, użytkownik zobowiązany jest do przestrzegania powyższych zasad, a tym samym do okresowej zmiany hasła i dobrania odpowiedniej jego długości.
  2. Użytkownik, który utracił hasło, zobowiązany jest zgłosić ten fakt bezzwłocznie ASI.
  3. W przypadku naprawy, przekazania, likwidacji nośnika (papier, dysk twardy, płyta kompaktowa, dyskietka, taśma magnetyczna), który zawiera dane osobowe podmiotowi nieupoważnionemu do przetwarzania danych, należy zapewnić trwałe wymazanie informacji stanowiących dane osobowe.
  4. W przypadku korzystania z komputerów przenośnych zawierających dane osobowe należy zachować szczególną ostrożność podczas używania komputera poza obszarem przetwarzania danych wyszczególnionym w niniejszej Procedurze. W szczególności należy stosować mechanizmy szyfrowania plików lub baz danych, na przykład wbudowanych w system Windows XP Professional. Po ustaniu konieczności przetwarzania danych na komputerze przenośnym, należy je trwale usunąć z nośnika danych.
  5. Ekrany komputerów, na których przetwarzane są dane osobowe, są chronione wygaszaczami zabezpieczonymi hasłem. Monitory należy ustawić tak, aby ograniczyć dostęp do danych osobom nieupoważnionym do przetwarzania danych.
  6. Procedura bezpieczeństwa podlega przeglądowi pod kątem aktualności i stosowalności nie rzadziej niż raz do roku. Przeglądu dokonuje  ADO.
  7. Procedura  bezpieczeństwa podlega aktualizacji każdorazowo w przypadku:

6. Przeglądy i aktualizacje procedur

a)    likwidacji, utworzenia lub zmiany zawartości informacyjnej zbioru,

b)    zmiany lokalizacji zbioru,

c)    zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji procedury,

d)    innych znaczących zmian dotyczących danych osobowych w funkcjonowaniu ŚDS.

  1. Aktualizacji procedury dokonuje ADO

Pliki

Polityka bezpieczeństwa ŚDS.docx

Osoby odpowiedzialne

Autor:Andrzej Lis
Odpowiada:Andrzej Lis
Wytworzył:Andrzej Lis
Data ostatniej zmiany:2019-08-21 15:04:19

Archiwum

Data Autor
2019-08-21 14:46 Andrzej Lis zobacz

Statystyki

Odwiedzin na stronie: 1678