Polityka bezpieczeństwa danych osobowych w przedsiębiorstwie

Mariusz Kedzior
Uniwersytet Ekonomiczny we Wrocławiu
Filia w Jeleniej Górze

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
W PRZEDSIĘBIORSTWIE

Układ Polityki bezpieczeństwa
1. Wstęp
2. Cel
3. Deklaracja kierownictwa odnośnie ochrony danych
4. Zakres ochrony danych
5. Organizacja bezpieczeństwa informacji
6. Zarządzanie informacją i kontrola dostępu
7. Bezpieczeństwo środowiskowe i fizyczne
8. Zarządzanie sieciami i systemami
9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
10. Zarządzanie zdarzeniami i incydentami
11. Zgodność zasad z prawem
12. Rozpowszechnianie reguł i zasady informowania współpracowników o regułach
13. Załączniki, wykaz aktów prawnych i dokumentów związanych

Wstęp – cel polityki bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji ma na celu ochronę posiadanych przez przedsiębiorstwo aktywów, a także zapewniać bezpieczeństwo danych, które są przetwarzane przez przedsiębiorstwo w związku z prowadzoną przez nie działalnością usługową. Zapewnienie odpowiedniej wiedzy, a także odpowiednie zarządzanie danymi ma pozwolić na zapewnienie bezpieczeństwa danych i uniknięcie incydentów, stanowiących zagrożenie dla tego bezpieczeństwa. Polityka bezpieczeństwa pozwala też na kształtowanie odpowiednich postaw związanych z bezpieczeństwem firmy i budowaniem świadomości bezpieczeństwa.
W celu zapewnienia bezpieczeństwa informacji konieczne jest wprowadzenie spójnego systemu zarzadzania bezpieczeństwem informacji, a także analizowanie zagrożeń, które wynikać mogą z przetwarzania i przechowywania informacji, które objęte musza być ochroną.
Dokument jakim jest Polityka Bezpieczeństwa Informacji ................................. jest kluczowym dokumentem związanym z zarządzaniem bezpieczeństwem informacji, stanowiącym zbiór zasad i rozwiązań odnoszących się do bezpieczeństwa danych i ich przetwarzania bez względu na źródło ich pozyskiwania przez przedsiębiorstwo. Regulacje te muszą być stworzone w celu spełnienia zarówno ustawowych regulacji związanych z ochroną danych, jak i jako narzędzie, pozwalające na kontrolowanie bezpieczeństwa informacji i jako podstawa dla prowadzenia działań w ramach przedsiębiorstwa ..............................

Cel dokumentu

Celem Polityki Bezpieczeństwa Informacji w ....................................... jest ochrona zasobów i wprowadzenie regulacji związanych z funkcjonowaniem systemu bezpieczeństwa i zabezpieczenia danych, co wynika bezpośrednio z przepisów prawa, przede wszystkim rozporządzenia RODO.
Deklaracja kierownictwa odnośnie ochrony danych

Kierownictwo przedsiębiorstwa przykłada i przykładać będzie znaczną uwagę do kwestii przetwarzania i przechowywania danych osobowych, jakie zostaną pozyskane w związku z prowadzeniem działalności. W ramach działań ochrony informacji, wskazuje się przede wszystkim na kwestie związane z zachowaniem wysokiego poziomu bezpieczeństwa informacji, a także ochronę informacji, które związane są z założeniami niniejszej polityki bezpieczeństwa informacji. W ramach wprowadzonej polityki konieczne jest określenie zasad ochrony danych osobowych, a także weryfikowanie przepływu informacji. W ramach zarządzania bezpieczeństwem informacji, konieczne jest uwzględnienie wszystkich obszarów działania przedsiębiorstwa.
Kluczowym celem ustanowienia Polityki jest kwestia bezpieczeństwa informacji i zachowanie poufności danych, zarówno pracowników, jak i klientów przedsiębiorstwa, jak i zapewnienie ich integralności i spójności. Założenie poufności zakłada, iż dostęp do informacji posiadają tylko osoby do tego upoważnione. Integralność zaś określa, iż jakość informacji w ramach aspektu kompletności, spójności i ich wiarygodności jest zapewniona. Dostępność z kolei oznacza, iż wprowadzone rozwiązania pozwalają na określenie zakresu osób, które mają dostęp do danych osobowych i informacji, a także prawo do ich przetwarzania.
Zgodnie z założeniami, celem wdrożenia polityki i systemu zarządzania bezpieczeństwem informacji jest:
1. Zagwarantowanie właściwego systemu ochrony informacji, w tym odpowiedniego poziomu bezpieczeństwa informacji zapisanych zarówno w formie analogowej, jak i informacji cyfrowej.
2. Zapewnienie ciągłości procesu przetwarzania informacji;
3. Ograniczenie występowania zagrożeń dla bezpieczeństwa informacji;
4. Zapewnienie właściwego funkcjonowania systemów informatycznych;
5. Właściwe reagowanie na zaistniałe incydenty związane z bezpieczeństwem informacji.
Zgodnie z założeniami, realizacja celów związanych z ochroną informacji powinna następować przez:
1. Wskazanie sposobu w jaki przebiega organizacja systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwie;
2. Wskazanie i wyznaczenie zadań, a także zakresu odpowiedzialności, związanych z zapewnieniem odpowiedniego poziomu bezpieczeństwa informacji;
3. Wyznaczenia osób odpowiedzialnych za zapewnienie bezpieczeństwa i osób, które odpowiadają za przetworzenie informacji
4. Wdrażanie i utrzymywanie zabezpieczeń, zarówno technicznych, jak i organizacyjnych;
5. Informowanie pracowników i współpracowników, a także osób realizujących zadania na rzecz firmy, o obowiązkach związanych z zapewnieniem bezpieczeństwa danych osobowych;
6. Prowadzenie przeglądów i monitorowania procedur związanych z przechowywaniem danych i dokumentacji;
7. Reagowanie na zagrożenia, a także na incydenty związane z bezpieczeństwem informacji w sposób, który jest określony i pozwala na szybkie podjęcie działań korygujących;
8. Ciągłe podnoszenie świadomości pracowników związanych z bezpieczeństwem informacji;
9. Doskonalenie systemu, zgodnie z wytycznymi RODO i potrzebami organizacji.
Zakres ochrony danych
Zakres ochrony danych i przyjęta Polityka Bezpieczeństwa Informacji dotyczy całości organizacji, a także wszystkich podmiotów współpracujących. Wskazać trzeba, iż zarówno pracownicy, jak i współpracownicy muszą znać i akceptować niniejszą politykę, jako kluczowy czynnik decydujący o możliwości związanej z zabezpieczeniem i przechowywaniem danych osobowych
Niniejszy dokument ma zastosowanie bez względu na formę jego przekazania, to jest formę elektroniczną, papierową, czy też w ramach ogłoszenia.
Każda osoba, która ma dostęp do danych osobowych zobowiązana jest do zapoznania się z niniejszym dokumentem.
Założenia niniejszego dokumentu muszą być przestrzegane przez każdą z osób, mających dostęp do informacji.
Dokument ma zastosowanie powszechne i jest stosowany we wszystkich działach, jako taki powinien być podstawą do regulowania rozwiązań dotyczących ochrony danych osobowych, przy czym dla potrzeb ochrony danych będących tajemnicą przedsiębiorstwa, zastosowane są inne regulacje.

Organizacja bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji odbywa się na trzech poziomach – to jest strategicznym, taktycznym i operacyjnym.
Na poziomie strategicznym prowadzone są działania zmierzające do wprowadzenia takiego modelu zarządzania strategią rozwoju i doskonalenia polityki bezpieczeństwa informacji, by możliwe było odniesienie się do zmian prawnych i technologicznych, wynikających ze zmiany sposoby przechowywania danych osobowych, w oparciu o wyniki analizy ryzyka, przy czym procesy decyzyjne dla tego poziomu określane są przez kierownictwo;
Na poziomie taktycznym tworzy się standardy bezpieczeństwa informacji, a także zasady kontroli ich wypełnienia w ramach stosownych rozwiązań i systemów informatycznych, przy czym ich przestrzeganie w praktyce związane jest z używaniem tych systemów. Procesy decyzyjne, związane z zaangażowaniem w działanie spółki, związane są także z aktywnym działaniem kierownictwa przedsiębiorstwa, jako osób nadzorujących prowadzenie działań związanych z zarządzaniem i codziennym kontrolowaniem przetwarzania informacji;
Na poziomie operacyjny – związane działania są z prowadzeniem w ramach osoby odpowiedzialnej za bezpieczeństwo informacji, monitoringu systemów bezpieczeństwa i wykrywania naruszeń standardów, tym samym zagrożeń bezpieczeństwa danych i informowania o tym fakcie zgodnie z procedurami RODO.
Kluczowym elementem jest zarzadzanie ryzykiem związanym z bezpieczeństwem i posiadanymi danymi i informacjami. W ramach analizy będącej podstawą dla podejmowania działań, zwraca się uwagę na doskonalenie zabezpieczeń i ewentualne luki bezpieczeństwa.
Standardy związane z ocena i szacowaniem ryzyka, muszą odpowiadać przyjętym modelom zarządzania ryzykiem, które obowiązują w przedsiębiorstwie, z uwzględnieniem szczególnie obszarów, gdzie ryzyko jest zwiększone i może powodować wystąpienie zwiększonej podatności na sytuacje wynikające z ryzyka.
Analiza ryzyka, jest kluczowym kryterium, które sprowadza się do minimalizowania ryzyka związanego z niezgodnościami, odnoszącymi się do regulacji prawnych. W związku z uzyskanymi wynikami odnoszącymi się do analizy ryzyka, konieczne jest określenie poziomu ryzyka akceptowanego i zagrożeń, które związane są z niezgodnością norm z przepisami prawa. Analiza ryzyka musi być dokonywana regularnie, przy czym podejmuje się ją przynajmniej raz do roku, a także w momencie zmian jakie wprowadzane są w ramach polityki bezpieczeństwa informacji.
W ramach dobierania zabezpieczeń, konieczne jest uwzględnienie następujących przesłanek dla wprowadzenia nowych norm bezpieczeństwa:
• Obowiązywanie aktów prawnych i ich zmiany, dotykające politykę bezpieczeństwa;
• Analiza wyników związanych z analizą ryzyka bezpieczeństwa informacji;
• Analiza dobrych praktyk, które są stosowane w ramach działań badanego przedsiębiorstwa i wypracowanych rozwiązań dotyczących badanej branży.
W ramach zabezpieczeń, wybiera się zabezpieczenia, dotyczące następujących obszarów:
1. Fizycznego;
2. Organizacyjnego;
3. Technicznego.
Monitorowanie i przegląd systemu polityki bezpieczeństwa informacji realizowany jest głównie poprzez:
1. Wykonywanie audytów wewnętrznych i zewnętrznych realizowanych w przedsiębiorstwie;
2. Wykonywanie przeglądów realizowanych przez osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji.
Działania związane z bezpieczeństwem muszą być prowadzone zgodnie z wytycznymi określonymi w ramach procedur bezpieczeństwa i zarządzania bezpieczeństwem informacji w przedsiębiorstwie.
W ramach doskonalenia i utrzymania systemu, podejmuje się następujące działania:
1. Wprowadza się działania korygujące wraz z dokonaniem oceny i weryfikacji ich skuteczności;
2. Wprowadza się działania zapobiegawcze, w związku z ryzykiem dostępu do informacji i dokonuje oceny ich skuteczności;
3. Informuje się w przypadku naruszenia integralności danych osoby, których dane mogą być ujawnione, o takim incydencie, podobnie jak właściwe organy, zgodnie z RODO.
W ramach prowadzenia nadzoru nad dokumentami, dotyczącymi kontroli, wprowadza się książkę przeprowadzonej kontroli, zaś dostęp do zasobów informatycznych przedsiębiorstwa, prowadzi się głównie poprzez ustalenie poziomów uprawnień, jakie posiadane są przez poszczególnych użytkowników, w związku z dostępem do systemu.
W przypadku przyjęcia informacji o ryzyku dostępu do danych, podejmuje się także monitorowanie i wykrywanie naruszeń bezpieczeństwa, przy czym naruszenia te mogą dotyczyć zarówno fizycznego naruszenia danych, takich jak kradzież, skopiowanie, czy też nieuprawniony dostęp, jak i naruszeń bezpieczeństwa systemów informatycznych, związanych z nieautoryzowanym dostępem do tego typu systemów.
Budowa Polityki Bezpieczeństwa informacji musi uwzględniać nie tylko kwestie ochrony informacji jako takiej, ale także uwzględniać szereg zagrożeń i docelowe grupy, które mają dostęp do informacji, przy czym polityka bezpieczeństwa informacji wymaga uwzględnienia praktycznego wymiaru polityki, czyli zastosowania jej bezpośrednio do potrzeb wynikających z zasad funkcjonowania informacji.
Poziom bezpieczeństwa informacji określa się zarówno na poziomie całej organizacji, jak i jej poszczególnych działów, co wynika głównie z faktu, iż zagrożenia informacji są różne na różnych poziomach działania przedsiębiorstwa. Kluczowym wydaje się zabezpieczenie systemów informatycznych, gdzie realizowane jest większość operacji, a także dostępne są dane dotyczące klientów i ich charakterystyki, niemniej także na poziomie dostępu do danych papierowych, konieczne jest zwrócenie uwagi na ograniczenie dostępu do dokumentów, które mogą zawierać dane osobowe.
Dokumentacja związana z procedurami powinna być dokumentacją dostępną dla wszystkich pracowników, w szczególności zaś pracowników działów, których informacja dotyczy, przy czym konieczne jest zwrócenie uwagi na stosowanie zasad, które związane są z zakresem wiedzy koniecznej dla pozyskania informacji przez danego pracownika.
Zgodnie z zasadami poziomów planowania, stosuje się w przedsiębiorstwie podział związany z podziałem na trzy kluczowe grupy odpowiadające za bezpieczeństwo.
Na poziomie całości polityki bezpieczeństwa informacji odpowiedzialność ponoszą:
• Władze przedsiębiorstwa;
• Inspektor ochrony danych osobowych
Na poziomie taktycznym odpowiedzialność kierowana jest do:
• Władze przedsiębiorstwa;
• Osób odpowiadający za administrowanie informacjami i ich przetwarzanie.
Na poziomie operacyjnym:
• Pracownicy;
• Inspektor ochrony danych osobowych jako osoba nadzorująca procedury.
Kluczową rolę za bezpieczeństwa ponoszą oczywiście władze przedsiębiorstwa, które odpowiadają za stworzenie odpowiedniej polityki bezpieczeństwa informacji. W przypadku gdy nie zostanie powołany osobny inspektor ochrony danych osobowych w przedsiębiorstwie, władze przedsiębiorstwa odpowiadają także za zadania, które zostały określone w RODO, przewidziane dla inspektora, przy czym trzeba zwrócić uwagę, iż to właśnie władze przedsiębiorstwa odpowiadają faktycznie za wskazanie sposobów i form ochrony danych osobowych, jakie przechowywane są przez przedsiębiorstwo.
Kierownicy jednostek organizacyjnych odpowiadają za ochronę informacji przez nich samych i przez ich pracowników, ponadto mają za zadanie identyfikowanie i dokumentowanie zagrożeń bezpieczeństwa informacji i danych, a także definiowanie oraz realizowanie zadań związanych z zapobieganiem tym zagrożeniom. Ponadto odpowiadają oni za zapoznanie pracowników z zasadami ochrony informacji na danym stanowisku pracy.
Konieczne jest także zwrócenie uwagi na kwestie odpowiedzialności za bezpieczeństwo informacji, W tym ujęciu kluczową osobą jest właściciel czyli ................... a także pełnomocnik właściciela odpowiedzialny za bezpieczeństwo informacji. Osoby te odpowiadają przede wszystkim za kwestie związane z zapewnieniem zasobów, które są niezbędne dla wprowadzenia rozwiązań dotyczących bezpieczeństwa informacji, w tym przede wszystkim zapewnienie niezbędnych rozwiązań technicznych, a także umożliwienie doskonalenia i utrzymania systemu, czyli faktycznie zapewnienie odpowiednich środków finansowych, a także zarządzanie bezpieczeństwem informacji na poziomie strategicznym – w ramach działań trzeba wskazać na następujące obszary działania podmiotów zarządzających:
• Wprowadzenie, a także zarządzanie i nadzór nad działaniami systemu bezpieczeństwa informacji;
• Określenie rodzajów zasobów, które podlegają ochronie;
• Decydowanie o celach i środkach, które są związane z ochroną danych osobowych;
• Właściciel przedsiębiorstwa jest także administratorem danych osobowych.
Odpowiedzialność za bezpieczeństwo informacji jest działaniem, które prowadzone jest jednak nie tylko na poziomie strategicznym, ale także na pozostałych poziomach funkcjonowania przedsiębiorstwa, stąd też konieczne jest wskazanie zakresu odpowiedzialności, który dotyczy obszarów kierowniczych i pracowniczych – w przypadku kierowników jednostki organizacyjnej, odpowiedzialność związana jest z:
• Przestrzeganiem zasad ochrony informacji zarówno przez samych kierowników, jak i za podległych im pracowników;
• Identyfikowaniem i dokumentowaniem zagrożeń, które związane są z bezpieczeństwem informacji;
• Definiowaniem i realizowaniem działań, które związane są z zapobieganiem zagrożeniom;
• Informowaniem pracowników o obowiązkach, które związane są z ochroną informacji na stanowiskach pracy;
• Szkoleniem pracowników w ramach prawa i wewnętrznych przepisów związanych z ochroną informacji;
• Weryfikowaniem poprawności danych, które znajdują się w systemach danych informatycznych;
• Przestrzeganiem przepisów i procedur bezpieczeństwa związanych z przetwarzaniem danych i informacji;
• Wnioskowaniem o przedzielenie pracownikom określonych uprawnień;
• Weryfikowaniem stosowania zasad, które związane są z bezpieczeństwem zasobów, nad którymi dany kierownik sprawuje nadzór;
• Zapewnieniem możliwości realizacji zadań zawodowych przez danego pracownika, przez ustalenie odpowiedniego poziomu dostępu do danych, przy jednoczesnym unikaniu nadmiernego udostępniania danych osobowych;
• Podejmowaniem działań w przypadku ujawnienia naruszenia bezpieczeństwa danych;
• Współpracą z osobami odpowiedzialnymi za bezpieczeństwo systemów i bezpieczeństwo informacji.
Wskazać trzeba, iż to właśnie kierownicy poszczególnych działów firmy, w szczególności zaś kierownicy liniowi, odpowiadający za bezpieczeństwo na poziomie relacji z klientem, są pierwszą linią odpowiadającą za bezpieczeństwo informacji, sposób ich przetwarzania i udostępniania, a także wykrywanie nieprawidłowości. Powoduje to, iż to właśnie kierownicy powinni w szczególny sposób zwracać uwagę na kwestie związane z zakresem danych jakie są przetwarzane i zasadnością udzielenia dostępu do poszczególnych danych przedsiębiorstwa.
W ramach funkcjonowania systemu, kluczową rolę odgrywa także administrator systemu, który odpowiada za funkcjonowanie systemu informatycznego przedsiębiorstwa, a także odpowiada za zapewnienie dostępu do systemów ze strony pracowników i zabezpieczenia systemów przed nieautoryzowanym dostępem ze strony osób nieuprawnionych. Administratorem na chwilę powstania niniejszego dokumentu jest właścicielka przedsiębiorstwa, jednakże w przypadku rozwoju przedsiębiorstwa i wprowadzenia podziału ról należy uwzględnić kwestie związane z podziałem zakresu obowiązków i definiowania obowiązków administratora systemu. W ujęciu bezpieczeństwa informacji administrator systemu odpowiada za następujące zadania i obszary:
• Monitorowania i ciągłości działania systemu informatycznego przedsiębiorstwa;
• Nadzorowania nad konfiguracją i wydajnością systemu informatycznego, zgodnie z wymaganiami optymalizacji;
• Nadzorowania nad instalowaniem systemu i aplikacji, a przede wszystkim przeciwdziałaniem instalowaniu aplikacji nieuprawnionych, czy też pochodzących z nielegalnych źródeł;
• Monitorowania systemu w zakresie oprogramowania, co ma zapewnić bezpieczeństwo i stabilność systemu;
• Współpracy z dostawcami aplikacji, w tym z helpdesk i suportem danej aplikacji;
• Nadzorowania wdrażania nowych aplikacji i dokumentacji dla aplikacji i systemów informatycznych;
• Nadzorowania zastosowania bezpieczeństwa związanego z systemami informatycznymi i procedurami związanymi z tym systemem;
• Kształtowania systemu bezpieczeństwa związanego z systemem informacji, a także wnioskowania o zmiany zasad bezpieczeństwa systemu w związku z koniecznymi zmianami systemowymi;
• Tworzenia kopii bezpieczeństwa danych, a także zabezpieczenia tej kopii przez nieautoryzowanym dostępem;
• Utrzymanie sieci i właściwej konfiguracji sieci informatycznej przedsiębiorstwa;
• Administrowanie dostępem do danych zgodnie z wnioskami składanymi przez kierowników;
• Prowadzenie rejestru incydentów systemu, a także rejestrów związanych z ryzykiem naruszenia integralności danych związanych z danymi osobowymi przetwarzanymi w systemie, a także określenia skali ewentualnego naruszenia integralności danych;
• Podjęcie decyzji o wyłączeniu sieci w przypadku stwierdzenia, iż zagrożenie bezpieczeństwa wymaga odcięcia systemu od Internetu w celu przywrócenia jego funkcjonalności.
Wskazać trzeba także na kwestię odpowiedzialności związanej z dostępem do informacji, jaką ponoszą pracownicy. Każdy z pracowników zobowiązany jest bowiem dbać o bezpieczeństwo danych, które są mu powierzane, a także ich archiwizowanie i przechowywanie zgodnie z procedurami bezpieczeństwa systemu, stąd też każdy pracownik powinien:
• Znać i stosować zasady związane z bezpieczeństwem przechowywania informacji;
• Chronić informacje, które podlegają ochronie, przed dostępem do nich osób nieuprawnionych;
• Chronić informacje i dane przed ich zniszczeniem, utratą, czy też modyfikacją;
• Chronić sprzęt, a także nośniki, które zawierają dane osobowe, bądź inne informacje chronione, a także unikać logowania się do systemu poprzez otwarte sieci internetowe, gdzie istnieje ryzyko przechwycenia transmisji;
• Nie ujawniać i zmieniać hasła dostępu w sposób określony przez administratorów systemu;
• Przestrzegać innych zasad związanej z bezpieczeństwem obsługi systemów informatycznych;
• Usuwać, bądź zlecać do usunięcia dane osobowe klientów, które z uwagi na zakończenie obsługi klienta, bądź wygaśnięcie zgody na ich przetwarzanie, przestały wskazywać na ich użyteczność.
Kluczowa rolę w procesie bezpieczeństwa danych pełnią jednak osoby takie jak pełnomocnik prezesa ds. Zarządzania bezpieczeństwem informacji i Inspektor ochrony danych, powołany przez spółkę zgodnie z rozporządzeniem RODO. Osoby te koordynują działania zmierzające do zabezpieczenia informacji, a także nadzorują wszelkie działania związane z bezpieczeństwem informacji, zasadami bezpieczeństwa, a także odpowiadają za prowadzenie testów systemów bezpieczeństwa, zgodnie z wewnętrznymi procedurami przedsiębiorstwa.
Zarządzanie informacją i kontrola dostępu

Jednym z najważniejszych obszarów związanych z zarządzaniem informacją i kontrolą dostępu, jest uprawnienie określonych osób do dostępu do informacji mającej charakter niejawny. Związane jest to z unikaniem ryzyka związanego z błędami, ale także nadużyciem i naruszeniem integralności bazy danych przez osoby, które nie są uprawnione do dostępu do tych informacji. Powoduje to, iż konieczne jest przede wszystkim weryfikowanie osób, które dopuszczane są do informacji przedsiębiorstwa, głównie w ujęciu dawania przez nie rękojmi związanej z przestrzeganiem zasad związanych z dostępem do informacji.
W ramach kontroli dostępu, dostęp do informacji będzie udostępniany pracownikom zgodnie z zakresem ich kompetencji, przy czym każdy pracownik, który uzyska dane osobowe, musi przestrzegać procedur ich ochrony i posiadać odpowiednie szkolenie stanowiskowe.
Każda osoba, która jest zaangażowana w przetwarzanie informacji powinna przejść szkolenie w zakresie:
• Zasad bezpieczeństwa informacji obowiązujących w przedsiębiorstwie;
• Zagrożeń bezpieczeństwa informacji;
• Skutków naruszenia zasad bezpieczeństwa informacji, a także odpowiedzialności prawnej z tego tytułu;
• Stosowanych w przedsiębiorstwie środków bezpieczeństwa, związanych z minimalizowaniem ryzyka błędów i naruszeń integralności systemów zapewniających bezpieczeństwo informacji.
Kluczowym obszarem jest pozyskiwanie danych osobowych i ich przetwarzanie przez kierowców i spedytorów – w tym przypadku kierowcy pozyskują dane związane z miejscem odbioru i dostawy przesyłki, a także dane osobowe osoby odpowiadającej za odbiór, czy też nadanie przesyłki. Dane te przesyłane są w postaci wiadomości tekstowych na telefon danego kierowcy. Z tego też względu telefony te muszą być zabezpieczone PINem, którego wpisanie pozwala na odebranie wiadomości, zaś sama wiadomość po utracie przez nią użyteczności jest usuwana w trwały sposób z telefonu w celu uniknięcia jej nieautoryzowanego przetwarzania.
Odpowiedzialność za informację i zarządzanie informacjami dotyczy każdego pracownika, przy czym w ramach informacji będących informacjami chronionymi, trzeba wyodrębnić następujące informacje:
• Dane osobowe;
• Informacje będące informacjami niejawnymi;
• Informacje dostępne publicznie o przedsiębiorstwie;
• Informacje finansowe;
• Informacje będące tajemnicą przedsiębiorstwa, w tym przede wszystkim informacje związane z wiedzą, a także informacje związane z procedurami przetargowymi i negocjacjami prowadzonymi z osobami trzecimi.
W ramach systemu ochrony informacji, wprowadza się oznaczenie informacji dla klas I-IV, gdzie:
• Informacje klasy I to informacje, których ujawnienie, czy też uszkodzenie, bądź utrata nie powoduje strat w działaniu przedsiębiorstwa, są to często informacje jawne publicznie;
• Informacje klasy II, to informacje, których ujawnienie może generować straty – są to informacje poufne, których ujawnienie jest niewskazane z uwagi na charakter działania przedsiębiorstwa;
• Informacje klasy III to informacje, których ujawnienie może generować poważne straty dla przedsiębiorstwa, takie jak dane osobowe, informacje o kontraktach, czy tym podobne;
• Informacje klasy IV to informacje kluczowe i strategiczne, które wymagają najwyższego poziomu ochrony.
Model ochrony informacji w zależności od klasy i poziomu ochrony został zobrazowany poniżej.

Działanie Poziom I Poziom II Poziom III Poziom IV
Oznaczenie – wersja papierowa Brak Brak Oznaczenie – dokument poufny Tajemnica przedsiębiorstwa
Przechowywanie – wersja papierowa Nie określa się standardów W pomieszczeniach zamkniętych W zamkniętych pomieszczeniach i zamkniętych regałach Szafy metalowe, bądź sejf
Kopiowanie – wersja papierowa Nie określa się standardów Ograniczone, wymagany podpis osoby kopiującej w księdze kopii Za zgodą przełożonego udzieloną pisemnie Wymaga akceptacji przełożonego i pełnomocnika ds. zarządzania bezpieczeństwem informacji
Niszczenie – wersja papierowa Nie określa się standardów W niszczarkach W niszczarkach - protokolarnie W niszczarkach, protokolarnie w obecności min. 2 osób
Przekazywanie wewnętrzne – wersja papierowa Nie określa się standardów Wymagana zgoda przełożonego Za zgodą przełożonego, protokolarnie Wymaga akceptacji przełożonego i pełnomocnika ds. zarządzania bezpieczeństwem informacji
Przekazywanie zewnętrzne– wersja papierowa Nie określa się standardów Wymagana zgoda przełożonego Za zgodą przełożonego, protokolarnie Zastrzeżone dla kierownictwa, zarządu firmy i osób przez nich uprawnionych
Wynoszenie na zewnętrz – wersja papierowa Niedozwolone Niedozwolone Niedozwolone – zagrożone odpowiedzialnością dyscyplinarną Zagrożone odpowiedzialnością karną za naruszenie tajemnicy przedsiębiorstwa
Oznaczenie – wersja elektroniczna Brak Brak Oznaczenie w treści pliku, umieszczone w sposób niemożliwy do usunięcia przy pomocy edytora tekstu, bądź w pliku uniemożliwiającym edycję Oznaczenie w treści pliku, umieszczone w sposób niemożliwy do usunięcia przy pomocy edytora tekstu, bądź w pliku uniemożliwiającym edycję, otwarcie wymaga hasła
Przechowywanie wersja elektroniczna Nie określa się standardów Nośniki danych powinny być zamknięte w pomieszczeniu, brak dostępu do danych osób trzecich Nośniki danych powinny być zamknięte w pomieszczeniu i szafie zamykanej na klucz, brak dostępu do danych osób trzecich Nośniki zamknięte w sejfach, dokumenty elektroniczne na nośnikach wymagających dodatkowej autoryzacji
Kopiowanie – wersja elektroniczna Nie określa się standardów Monitorowane przez system Wymaga akceptacji systemowej przełożonego Wymaga akceptacji systemowej przełożonego i pełnomocnika ds. zarządzania bezpieczeństwem informacji
Niszczenie – wersja elektroniczna Nie określa się standardów Monitorowane przez system Wymaga akceptacji systemowej przełożonego Wymaga akceptacji systemowej przełożonego i pełnomocnika ds. zarządzania bezpieczeństwem informacji
Przekazywanie wewnętrzne – wersja elektroniczna Nie określa się standardów Wymagana zgoda przełożonego, tylko na nośnikach firmowych Wymaga akceptacji systemowej przełożonego Wymaga akceptacji systemowej przełożonego i pełnomocnika ds. zarządzania bezpieczeństwem informacji
Przekazywanie zewnętrzne – wersja elektroniczna Nie określa się standardów Wymagana zgoda przełożonego, tylko na nośnikach firmowych Wymaga akceptacji systemowej przełożonego i pełnomocnika ds. zarządzania bezpieczeństwem informacji Zastrzeżone dla kierownictwa, zarządu firmy i osób przez nich uprawnionych
Wynoszenie na zewnętrz – wersja elektroniczna Niedozwolone Niedozwolone Niedozwolone – zagrożone odpowiedzialnością dyscyplinarną Zagrożone odpowiedzialnością karną za naruszenie tajemnicy przedsiębiorstwa, chronione systemowo.

Bezpieczeństwo środowiskowe i fizyczne

Przedsiębiorstwo podejmuje działania zmierzające do zabezpieczenia danych osobowych zarówno na poziomie bezpieczeństwa środowiskowego, jak i bezpieczeństwa fizycznego. W celu zapewnienia bezpieczeństwa stosuje się rozwiązania zmierzające do zapewnienia integralności danych i dostępu do informacji. Realizacja tego celu związana jest głównie z wyznaczeniem stref bezpieczeństwa, a także uprawnień dostępu do tych stref w przypadku wybranych osób.
Dane kategorii III i IV mogą być przetrzymywane tylko w pokojach zamkniętych, do których dostęp mają tylko uprawnione osoby, zaś drzwi są chronione przez minimum dwa zamki. Ponadto teren na którym są przechowywane dane w okresie nieobecności osób zapewniających bezpieczeństwo danych, bądź w okresie zamknięcia lokalu jest chroniony przez system alarmowy.

Zarządzanie sieciami i systemami

Bezpieczeństwo systemów informatycznych związane jest z zastosowaniem odpowiednich rozwiązań, spełniających standardy określone przez przedsiębiorstwo. Wdrożenie tych systemów, a także ich odpowiednie doskonalenie, pozwala na uzyskanie odpowiedniego poziomu bezpieczeństwa, związanego z przetwarzaniem informacji i zabezpieczeniem informacji o danych osobowych i innych kluczowych elementach działania systemu.
Dostęp podmiotów zewnętrznych do systemu wymaga odpowiedniej certyfikacji, zaś wybór oprogramowania chroniącego przed złośliwym oprogramowaniem, czy też chroniącego przed zagrożeniami, wymaga uwzględnienia szeregu czynników takich jak rodzaje zagrożeń, a także zasady związane z postępowaniem w ramach wykrycia naruszeń bezpieczeństwa i ujawnienia incydentu związanego z naruszeniem bezpieczeństwa sieci.
Szczegóły związane z zasadami bezpieczeństwa, przede wszystkim związane z zarządzaniem sieciami, wymaga odpowiedniego zasobu wiedzy i współpracy wszystkich osób, które zaangażowane są w procesy bezpieczeństwa sieci.
Pozyskiwanie, rozwój i utrzymanie systemów informatycznych

W ramach działania przedsiębiorstwa, wskazać należy na konieczność zapewnienia rozwoju i utrzymania systemów informatycznych, które pozwalają na utrzymanie odpowiedniego poziomu bezpieczeństwa.
W ramach pozyskiwania, a także rozwoju i utrzymania systemu, przedsiębiorstwo uzyskuje możliwości, głównie poprzez:
• Stosowanie standardów bezpieczeństwa informacji w związku z zakupem i budową nowych systemów informatycznych;
• Testowanie bezpieczeństwa systemów przed dopuszczeniem ich do eksploatacji;
• Dbałość o aktualizację oprogramowania, zgodnie z przyjętymi standardami;
• Minimalizowanie ryzyka awarii, a także ochrona przed błędami, utratą i modyfikacją informacji;
• Redukowanie ryzyk związanych z naruszeniem integralności systemu i podejmowanie bezzwłoczne działań związanych z wykrytymi błędami i ich skutkami.
Zarządzanie zdarzeniami i incydentami

W przypadku stwierdzenia wystąpienia zdarzeń związanych z bezpieczeństwem, konieczne jest podjęcia działań ograniczających skutki danego wydarzenia, a także wyjaśnienia przyczyn jego wystąpienia. W ramach zarządzania incydentami, konieczne jest wskazanie następujących zasad działania:
• Każda osoba, która zauważa incydent związany z bezpieczeństwem, zobowiązana jest zgłosić to do kierownika, a także do administratora systemu;
• W przypadku gdy do naruszenia integralności i bezpieczeństwa informacji dojdzie na skutek klęski żywiołowej, należy powiadomić służby, a także Pełnomocnika przedsiębiorstwa ds. Zarządzania bezpieczeństwem informacji, następnie podjąć akcję ratunkową;
• Wszelkie próby ataku i włamania należy zgłosić do kierownika, a także Pełnomocnika przedsiębiorstwa ds. Zarządzania bezpieczeństwem informacji, a w przypadku zdarzenia informatycznego, także do administratora systemu;
• Każdy incydent powinien zostać zarejestrowany w systemie, a także opisane powinny być metody jego rozwiązania.
Celem zgłaszania incydentów jest głównie utrzymanie ciągłości działania sieci, a także ciągłości przetwarzania informacji, co jest kluczowe z punktu widzenia działania organizacji i jej stabilności działania.
Zgodność zasad z prawem

Zasady bezpieczeństwa informacji muszą być zgodne z zasadami wewnętrznymi i zewnętrznymi, obejmującymi przedsiębiorstwo, w tym przede wszystkim z przepisami prawa, a także zasadami określonymi w przepisach wewnętrznych. W celu weryfikacji związanej z jakością procedur, podejmuje się działania zmierzające do uzyskania zgodności przepisów, a także weryfikuje się procedurę w celu jej dostosowania do zmian prawnych.
Nadzór nad zgodnością prowadzony jest przez właściciela przedsiębiorstwa
Rozpowszechnianie reguł i zasady informowania współpracowników o regułach

Rozpowszechnianie informacji o zasadach jest rolą kadry kierowniczej, a także osób odpowiedzialnych za bezpieczeństwo informacji. Osoby które odpowiadają za przetwarzanie danych zobowiązane są do poświadczenia znajomości niniejszych zasad i polityki bezpieczeństwa informacji i ich przestrzegania zgodnie z zakresem kompetencji.
Zakres i cel przetwarzania danych
Dane pozyskiwane przez ..............................są przetwarzane w zależności od charakteru danych przez różny okres czasu, przy czym dostęp do danych i zakres dostępów wynika głównie z użyteczności danych. Wskazać trzeba także, iż z uwagi na stosowanie outsourcingu dane mogą być przekazywane podmiotom trzecim pod warunkiem jednak, iż akceptują one powyższą politykę bezpieczeństwa informacji, bądź też wprowadziły w swojej organizacji zasady ochrony informacji, których standard jest przynajmniej na podobnym poziomie bezpieczeństwa jak w przypadku badanego przedsiębiorstwa.
Rodzaj przetwarzanych danych Cel przetwarzania Osoby przetwarzające Podstawa przetwarzania danych Okres przetwarzania
Dane kontaktowe klientów związane z realizacją usługi Złożenie oferty handlowej, realizacja usługi, bieżąca obsługa zlecenia Właściciel Zgoda udzielona przez klienta zgodnie z art. 6.1.a RODO Do czasu zakończenia realizacji zlecenia
Dane o realizacji usługi Rozliczenie usługi, ewentualne postępowania reklamacyjne Właściciel, pracownicy kuchni, biuro rachunkowego Art. 6.1.b RODO Do czasu rozliczenia płatności
Dane klienta niezbędne do rozliczenia (NIP/PESEL, nazwa/imię i nazwisko, adres, telefon) Wystawienie faktury, dochodzenie należności Właściciel, osoba odpowiadająca za wystawienie faktur, biuro rachunkowe Art. 6.1.b i 6.1.f. RODO Fakturzyści – do czasu rozliczenia usługi.
Dokumenty przechowywane przez okres wynikający z przepisów prawa
Dane pracowników (imię i nazwisko, PESEL, adres, seria i numer dowodu osobistego, numer rachunku bankowego) Realizacja obowiązków wynikający z prawa pracy Właściciel, osoba bądź podmiot odpowiadający za obsługę kadrową Art. 6.1.c RODO Wynikający z przepisów prawa
Dane klientów, którzy nieuregulowani należności
(NIP/PESEL, nazwa/imię i nazwisko, adres, telefon) Dochodzenie prawne należności przez przedsiębiorstwo Właściciel, biuro rachunkowe, kancelaria prawa i windykacyjna Art. 6.1.f RODO Wynikający z przepisów prawa, nie krócej niż przed zakończeniem dochodzenia należności
Dane o dostawcach, kontrahentach Realizacja bieżących działań przedsiębiorstwa Pracownicy spółki Art. 6.1.a i 6.1.b. RODO Do zakończenia użyteczności danych

Załączniki projektu

INFORMACJA DLA KLIENTA O ZASADACH PRZETWARZANIA JEGO DANYCH OSOBOWYCH
Na podstawie ogólnego Rozporządzenia o ochronie danych osobowych nr 2016/679 (dalej „RODO”), informujemy, że:
1. ................................. (dalej: „Spółka”) prowadzi działalność gospodarczą polegająca m. in. na świadczeniu usług gastronomicznych i usług cateringu
2. Administratorem danych osobowych Klientów (dalej „Administrator”) może być bezpośrednio Spółka lub Podmiot trzeci.
3. Spółka nie powołała Inspektora Ochrony Danych, wszelkie uwagi związane z przetwarzaniem danych osobowych należy zgłaszać do właściciela firmy .................................

4. Dane osobowe Klientów mogą być przetwarzane na podstawie:
1. Art. 6. ust. 1 litera a) RODO w związku z udzieleniem zgody przez osobę, której dane są przetwarzane
2. Art. 6 ust. 1 litera b) RODO w związku z usługa gastronomicznej, cateringu, organizacji eventu
3. Art. 6 ust. 1 litera f) RODO w celach realizacji usługi, jej udokumentowania i spełnienia obowiązków ustawowych związanych z przetwarzaniem danych
4. Art. 6 ust. 1 litera c) RODO w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez osobę trzecią - w tym:
5. W celach archiwalnych (dowodowych), na wypadek prawnej potrzeby wykazania faktów (ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami);
5. Zakres danych Klientów, które podlegają lub mogą podlegać przetwarzaniu:
• dane identyfikacyjne (imię i nazwisko, wiek, PESEL, seria i nr dowodu osobistego, bądź innego dokumentu potwierdzającego tożsamość, w przypadku przedsiębiorstw, bądź osób fizycznych prowadzących działalność gospodarczą NIP, REGON, adres siedziby/wykonywania działalności gospodarczej/ dane reprezentanta)
• dane kontaktowe (numer telefonu, e-mail)
• dane korespondencyjne (adres zamieszkania),
• dane o ładunkach, które są przewożone, a także dane nadawcy i odbiorcy ładunku w celu realizacji usługi
6. Odbiorcami danych osobowych Klientów mogą być:
a) Pracownicy przedsiębiorstwa zgodnie z Polityką Bezpieczeństwa Informacji obowiązujących w przedsiębiorstwie
b) podmioty świadczące usługi na rzecz Spółki (w tym biuro rachunkowe, kancelaria prawa, kancelaria windykacyjna)
7. Dane osobowe Klientów nie będą podlegały przekazaniu do państw spoza UE.
8. Okres przechowywania danych osobowych Klientów będzie ustalany z zastosowaniem następujących kryteriów:
• w przypadku realizacji usługi transportowej – do czasu całkowitego zakończenia i rozliczenia zlecenia transportowego
• w razie braku uregulowania należności względem .................................... do czasu zakończenia postępowania windykacyjnego, na każdym etapie, włącznie do zakończenia skutecznie postępowania egzekucyjnego, przy czym dane przechowywane w tym zakresie ograniczone są jedynie do danych istotnych z punktu widzenia dowodowego w ramach prowadzonego postępowania.
9. Klient posiada prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) RODO) oraz prawo wniesienia sprzeciwu wobec przetwarzania danych Klienta na podstawie prawnie uzasadnionego interesu, z przyczyn związanych ze szczególną sytuacją. W takim przypadku nastąpi zaprzestanie przetwarzania danych w tych celach, chyba że Administrator będzie mógł wykazać, że w stosunku do tych danych istnieją dla Administratora ważne prawnie uzasadnione podstawy, które są nadrzędne wobec interesów, praw i wolności Klienta, lub dane będą Administratorowi niezbędne do ewentualnego ustalenia, dochodzenia lub obrony roszczeń.
10. Klient ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO. Dane osobowe Klientów nie podlegają zautomatyzowanemu podejmowaniu decyzji w rozumieniu RODO, w tym profilowaniu związanemu z automatycznym podejmowaniem decyzji.

Zgoda na przetwarzanie danych oraz obowiązku informacyjnego towarzyszącego gromadzeniu danych (wzór)

Zgadzam się na przetwarzanie moich danych osobowych przez ........................................, w celu:

• usług transportowych i spedycyjnych

Podanie danych jest dobrowolne.
Podstawą przetwarzania danych jest udzielona przeze mnie zgoda
Administratorem danych jest ....................................
Odbiorcami danych mogą być wszystkie podmioty, które tych danych wymagają do kompletnego i zgodnego z prawem realizacji celu umowy.
Mam prawo wycofania zgody w dowolnym momencie.
Mam prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia skargi do organu nadzorczego.
W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych.
Data i podpis osoby udzielającej zgody

Niniejsza polityka bezpieczeństwa opracowana została na bazie literatury przedmiotu i może stanowić wzór do zastosowania w przedsiębiorstwie do użytku wewnętrznego zgodnie z wymogami RODO.

Bibliografia
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. 1997 nr 133 poz. 883.
• Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO)
• Sikorski P. (red.) 2017, Ochrona danych osobowych– poradnik dla małych i średnich przedsiębiorców, PARPA, Warszawa, s. 18.