Polityka bezpieczeństwa

Polityka bezpieczeństwa
przetwarzania danych osobowych
w sklepie internetowym
www.stork3d.pl
prowadzonym przez firmę
STORK Szymon Małachowski
Właścicielem materialnych praw autorskich do udostępnionych wzorców dokumentacji
przetwarzania danych osobowych jest Safe Buy Sp. z o.o. Sp. k., która udzieliła sklepowi
uczestniczącemu w programie eCommerce Fair Play niewyłącznego i niezbywalnego prawa do
wykorzystywania tej dokumentacji do celów związanych z własną działalnością handlową w
internecie. Kopiowanie oraz rozpowszechnianie niniejszej dokumentacji bez zgody
Safe Buy Sp. z o.o. Sp. k. jest zabronione.
Sprzedawcy internetowi mogą dowiedzieć się więcej o programie eCommerce Fair Play i
możliwości darmowego korzystania z wzorca Regulaminu Sprzedaży i dokumentacji przetwarzania
danych osobowych na stronie Safebuy.pl/sprzedawcy-internetowi/.
Spis treści
1.
Ogólne zasady przetwarzania danych osobowych ...................................................... 3
2.
Analiza zagrożeń .......................................................................................................... 4
3.
Środki ochrony danych osobowych ............................................................................. 4
4.
Postępowanie w przypadku naruszenia bezpieczeństwa ........................................... 7
5.
Spis załączników .......................................................................................................... 7
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
2
1. Ogólne zasady przetwarzania danych osobowych
Kierownictwo i pracownicy firmy przywiązują szczególną wagę do zapewnienia
bezpiecznego przetwarzania danych osobowych klientów sklepu internetowego, dlatego
w organizacji wprowadza się opisany w Polityce bezpieczeństwa zbiór zabezpieczeń
niwelujących ryzyka wynikające z zagrożeń zewnętrznych i wewnętrznych.
Zabezpieczenia te są stale monitorowane, przeglądane i w razie potrzeby ulepszane tak,
aby zapewnić spełnienie celów związanych z zapewnieniem bezpieczeństwa
przetwarzanych danych osobowych.
Zasady opisane w Polityce bezpieczeństwa dotyczą w szczególności zabezpieczenia
danych osobowych przed udostępnieniem osobom nieupoważnionym, zabraniem przez
osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz
nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
Polityka bezpieczeństwa obowiązuje wszystkie osoby, które mają kontakt z danymi
osobowymi przetwarzanymi przez firmę, w szczególności: pracowników sklepu i osoby
współpracujące na podstawie umów cywilnoprawnych oraz podmioty trzecie
współpracujące z administratorem danych, wraz z ich pracownikami i osobami
współpracującymi.
Polityka bezpieczeństwa ma zastosowanie w przypadku przetwarzania danych
osobowych w formie papierowej jak i w systemach informatycznych, przy czym w tym
przypadku obowiązuje dodatkowo Instrukcja zarządzania systemem informatycznym.
Nadzór nad przetwarzaniem danych osobowych sprawuje w firmie osobiście
Administratora Danych Osobowych lub wyznaczony przez niego pełnomocnik ds.
ochrony danych osobowych. Administrator danych osobowych może wyznaczyć
Administratora Bezpieczeństwa Informacji zgodnie z ustawą o ochronie danych
osobowych. Dodatkowo administrator danych osobowych może wyznaczyć
Administratora Systemu Informatycznego, który odpowiada za bezpieczeństwo systemu
informatycznego oraz wdrożenie i przestrzeganie Instrukcji zarządzania systemem
informatycznym.
Polityka bezpieczeństwa została opracowana zgodnie z wymogami określonymi:
- ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2014
r. poz. 1182),
- rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz.
1024).
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
3
2. Analiza zagrożeń
W związku z działalnością sklepu internetowego i przetwarzaniem danych osobowych
jego klientów zidentyfikowano następujące zagrożenia dla bezpieczeństwa tych danych:
a) brak świadomości niebezpieczeństwa w wyniku dopuszczenia osób
nieupoważnionych do obszaru przetwarzania danych osobowych lub systemu
informatycznego,
b) kradzież lub inne nieautoryzowane wynoszenie papierowych lub informatycznych
nośników danych zawierających dane osobowe poza obszar przetwarzania,
c) zainfekowanie systemu informatycznego programami, których celem jest uzyskanie
nieuprawnionego dostępu do danych osobowych jak wirusy, robaki, keyloggery itp.,
d) ataki wewnętrzne i zewnętrzne na sieć teleinformatyczną wykorzystywaną przez
sklep internetowy w tym podsłuch, manipulacja, podstawienie lub ich kombinacja,
e) awaria systemu informatycznego,
f) zagrożenia zewnętrzne jak pożar, zalanie pomieszczeń, katastrofa budowlana itp.
3. Środki ochrony danych osobowych
Dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stosuje
się następujące środki techniczne i organizacyjne:
1.
2.
3.
4.
5.
A. Osoby dopuszczone do przetwarzania danych osobowych
Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające
pisemne upoważnienia nadane przez administratora danych osobowych (załącznik nr
2).
Osoby dopuszczone do przetwarzania danych osobowych podpisują zobowiązanie o
zachowaniu poufności tych danych (załącznik nr 3).
Osoby upoważnione do przetwarzania danych mają obowiązek:
a) przetwarzać je zgodnie z celem oraz obowiązującymi przepisami, w szczególności
z ustawą i rozporządzeniem oraz niniejszą Polityką bezpieczeństwa i Instrukcją
systemu informatycznego,
b) nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom
nieupoważnionym,
c) zabezpieczać je przed zniszczeniem i niezamierzoną zmianą.
Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania
danych osobowych (załącznik nr 1), do której stały dostęp mają wszystkie osoby
upoważnione oraz kierownictwo firmy.
Osoby upoważnione do przetwarzania danych osobowych są szkolone w zakresie
procedur bezpieczeństwa i właściwego użycia urządzeń do przetwarzania danych
osobowych.
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
4
B. Obszar przetwarzania danych osobowych
1. Administrator danych wyznaczył bezpieczne obszary przetwarzania danych
osobowych, które są zabezpieczone zarówno przed zagrożeniami fizycznymi jak i
środowiskowymi i opisał je w wykazie budynków, pomieszczeń lub części
pomieszczeń tworzących te obszary (załącznik nr 4).
2. W bezpiecznych obszarach przetwarzania, osoby upoważnione do przetwarzania
danych osobowych mają dostęp do tych danych zgodnie z zakresem przyznanych
upoważnień.
3. W przypadku konieczności dostępu do bezpiecznego obszaru przetwarzania przez
osoby nieposiadające upoważnienia, a które muszą dokonać doraźnych prac o
charakterze serwisowym lub innym, podpisują oświadczenie o zachowaniu poufności
(załącznik nr 3).
4. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w
której przetwarzane są dane osobowe, to część, w której przetwarzane są dane
osobowe jest wyraźnie oddzielona od części ogólnodostępnej na przykład poprzez
montaż barierek lub odpowiednie ustawienie mebli uniemożliwiające
niekontrolowany dostęp osób niepowołanych do urządzeń lub zbiorów danych
osobowych.
5. Zabronione jest wynoszenie informatycznych nośników danych, sprzętu
komputerowego oraz dokumentów zawierających dane osobowe poza bezpieczny
obszar przetwarzania danych osobowych bez uprzedniego zezwolenia wydanego
przez administratora danych osobowych.
1.
2.
3.
4.
5.
C. Dokumenty i nośniki danych zawierające dane osobowe
Dokumenty papierowe oraz informatyczne nośniki danych, które zawierają dane
osobowe przechowywane są w zamykanych szafach.
Wydruki zawierające dane osobowe, które nie są już przydatne do dalszej pracy są
natychmiast niszczone.
W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane
osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.
Nośniki danych przeznaczone do zniszczenia, na których są przechowywane dane
osobowe lub ich kopie zapasowe, pozbawia się wcześniej zapisanych danych, a w
przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich
odczytanie.
Jeśli dokumenty papierowe lub nośniki danych zawierające dane osobowe muszą być
przekazane poza bezpieczny obszar przetwarzania danych osobowych (na przykład
transportowane do Urzędu Skarbowego) to są zabezpieczane przed nieuprawnionym
ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.
D. Zbiory danych osobowych
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
5
1. Administrator danych osobowych prowadzi wykaz zbiorów danych osobowych oraz
programów służących do ich przetwarzania (załącznik nr 5).
2. Administrator danych osobowych aktualizuje opis struktury zbiorów danych
wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
oraz sposób przepływu danych pomiędzy poszczególnymi systemami (załącznik nr 5).
3. Jeśli nie ma powołanego zgodnie z ustawą Administratora Bezpieczeństwa Informacji,
zbiory danych osobowych klientów sklepu są zgłaszane do rejestracji w biurze
Generalnego Inspektora Danych Osobowych.
1.
2.
3.
4.
5.
E. Udostępnianie danych osobowych
Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić
wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności
takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek
podmiotu uprawnionego. Administrator danych osobowych prowadzi wykaz
podmiotów i osób, którym udostępniono dane (załączniki nr 6).
Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może
nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych
(załącznik nr 8). Administrator danych osobowych prowadzi wykaz podmiotów i
osób, którym powierzono dane osobowe do przetwarzania (załączniki nr 7).
Na podstawie pisemnego wniosku i po potwierdzeniu tożsamości wnioskodawcy,
administrator danych udziela osobie, której dane dotyczą, następujących informacji
na piśmie:
a) informacja o prawach przysługujących osobie, której dane są przetwarzane,
b) informacja czy zbiór danych istnieje,
c) dane administratora danych: pełna nazwa oraz adres siedziby,
d) cel, zakres i sposób przetwarzania danych,
e) data rozpoczęcia przetwarzanie danych,
f) źródło, z którego dane pochodzą,
g) sposób udostępniania danych, w szczególności informacja o odbiorcach danych
lub kategoriach odbiorców, którym dane są udostępniane,
h) przesłanki podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 ustawy,
i) w konkretnej sytuacji administrator danych udziela dodatkowych informacji, jeśli
są one niezbędne do wykonywania uprawnień osoby, której dane dotyczą.
Osoba, której dane dotyczą, nie ma prawa dostępu do dokumentów źródłowych
zawierających dane osobowe lub swobodnego dostępu do systemu informatycznego,
a jedynie prawo do uzyskania informacji dotyczących przetwarzania jej danych.
Każdorazowo sposób udostępnienia, a w szczególności przekazania danych
osobowych musi spełniać zasady zapewnienia bezpieczeństwa tych danych.
F. System informatyczny
1. System informatyczny sklepu internetowego posiada połączenie z siecią publiczną
(Internet), dlatego zastosowano środki bezpieczeństwa na poziomie wysokim.
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
6
2. W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze są
chronione przez zaporę ogniową (firewall), a stacje robocze dodatkowo
oprogramowaniem antywirusowym.
3. Okablowanie i urządzenia sieciowe zostały rozlokowane w sposób umożliwiający
bezpośredni dostęp tylko z pomieszczeń zamykanych na klucz.
4. Zasady nadawania i rejestrowania uprawnień do przetwarzania danych osobowych w
systemie informatycznym, metody i środki uwierzytelnienia oraz procedury związane
z ich zarządzaniem i użytkowaniem przeznaczone dla użytkowników systemu opisane
zostały w Instrukcji zarządzania systemem informatycznym.
5. Procedury tworzenia oraz przechowywania kopii zapasowych zbiorów danych
opisane zostały w Instrukcji zarządzania systemem informatycznym.
4. Postępowanie w przypadku naruszenia bezpieczeństwa
Osoba, która stwierdziła naruszenie lub ma podejrzenie naruszenia bezpieczeństwa
przetwarzania danych osobowych powinna:
- zanotować wszystkie ważne szczegóły i okoliczności związane z danym zdarzeniem, a w
szczególności dokładny czas (na przykład typ niezgodności lub naruszenia, błędu
działania, wiadomości z ekranu, dziwnego zachowania oraz informacja kiedy zdarzenie
miało miejsce),
- nie podejmować innych samodzielnych działań, lecz natychmiast poinformować
bezpośredniego przełożonego lub administratora danych osobowych.
5. Spis załączników
Załącznik nr 1
Ewidencja osób upoważnionych do przetwarzania danych osobowych
Załącznik nr 2
Upoważnienie do przetwarzania danych osobowych
Załącznik nr 3
Zobowiązanie o zachowaniu poufności danych osobowych
Załącznik nr 4
Wykaz obszarów przetwarzania danych osobowych
Załącznik nr 5
Wykaz zbiorów danych osobowych i programów służących do ich przetwarzania wraz z
opisem sposobu przepływu danych pomiędzy poszczególnymi systemami
Załącznik nr 6
Wykaz podmiotów i osób, którym udostępniono dane osobowe
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
7
Załącznik nr 7
Wykaz podmiotów i osób, którym powierzono dane osobowe do przetwarzania
Załącznik nr 8
Umowa powierzenia przetwarzania danych osobowych
Polityka bezpieczeństwa przetwarzania danych osobowych
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
8