INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH

W SYSTEMIE INFORMATYCZNYM

§ 1

Stosownie do postanowień Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ustala się treść Instrukcji przetwarzania danych osobowych w postaci cyfrowej, zwaną dalej Instrukcją.

§ 2

1. Instrukcja ma zastosowanie na obszarze wskazanym w Polityce bezpieczeństwa przetwarzania danych osobowych w Homfan Sp.zo.o NIP6252489357 KRS0001053966 REGON52618103, (dalej Polityka bezpieczeństwa), w którym przetwarzane są dane osobowe w postaci cyfrowej oraz w systemie informatycznym.

2. Instrukcje stosuje się do:

1. administratora danych osobowych;

2. osób zatrudnionych przy przetwarzaniu danych osobowych na podstawie umowy o pracę, bądź umowy cywilnoprawnej;

3. osób, które przetwarzają dane osobowe znajdujące się w posiadaniu Administratora Danych.

3. Ogólny nadzór nad stosowaniem niniejszej Instrukcji pełni Administrator danych osobowych.

4. Administrator danych osobowych: nadzoruje usuwanie awarii sprzętu komputerowego, sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe; sprawuje nadzór nad czynnościami związanymi z ochroną antywirusową, czynnościami serwisowymi dotyczącymi systemu informatycznego, w którym przetwarzane są dane osobowe; nadzoruje obieg i przetwarzanie wydruków zawierających dane osobowe; podejmuje i nadzoruje wszelkie inne działania zmierzające do zapewnienia bezpieczeństwa przetwarzanych w systemie informatycznym danych osobowych.

§ 3

Definicje:

1) zabezpieczenie przetwarzania danych w postaci cyfrowej – zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mające na celu w szczególności zabezpieczenie danych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą uszkodzeniem lub zniszczeniem.

2) przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych, w tym zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a w szczególności te w systemach informatycznych;

3) administrator danych osobowych – podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest Homfan Sp. zo.o.,

4) użytkownik –upoważniona przez administratora danych osoba wyznaczona do przetwarzania danych osobowych;

5) hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy przy przetwarzaniu danych w postaci cyfrowej;

6) nośniki danych osobowych – urządzenia/materiały służące do przechowywania plików z danymi.

§ 4

1. Dostęp do komputera (zarówno stacjonarnego, jak i laptopa) zabezpieczony jest hasłem.

2. Zabronione jest zapisywanie hasła oraz udostępnianie go osobom nie mającym upoważnienia do przetwarzania danych osobowych.

3. Indywidualny zakres czynności osoby upoważnionej przy przetwarzaniu danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę tych danych przed:

1. niepowołanym dostępem;

2. nieuzasadnioną modyfikacją lub zniszczeniem;

3. nielegalnym ujawnieniem.

4. Ekrany monitorów komputerów, na których wykonywane są operacje związane z przetwarzaniem danych osobowych powinny być tak ustawione, aby uniemożliwić osobom postronnym wgląd do danych osobowych.

§ 5

1. Przed rozpoczęciem pracy na urządzeniach służących do przetwarzania danych osobowych w wersji cyfrowej oraz w systemie informatycznym użytkownik zobowiązany jest do:

1. zalogowania się z użyciem odpowiedniego hasła;

2. sprawdzenia prawidłowości funkcjonowania sprzętu komputerowego;

3. w razie stwierdzenia nieprawidłowości, do powiadomienia o tym fakcie administratora danych osobowych;

4. w razie stwierdzenia nieprawidłowości, podjęcia odpowiednich kroków stosownie do zasad postępowania w sytuacji naruszenia zabezpieczenia danych osobowych.

2. Robiąc przerwę w pracy na danych osobowych Użytkownik zobowiązany jest: aktywować wygaszacz ekranu lub w inny sposób zablokować możliwość korzystania ze swojego komputera przez inne osoby. Zalecane jest w takich przypadkach:

1. skorzystanie z mechanizmu czasowej blokady dostępu do komputera poprzez uruchomienie wygaszacza ekranu z hasłem (hasło powinno być tożsame z hasłem dostępu do urządzenia);

2. zakończenie pracy na komputerze – wylogowanie się, wyłączenia sprzętu komputerowego oraz zamknięcia szaf, w których przechowuje się nośniki, na których utrwalone są dane osobowe.

3. Nośniki informacji oraz wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieupoważnionym.

§ 6

Urządzenia służące do przetwarzania danych osobowych, zabezpieczane są przed utratą tych danych na wypadek awarii zasilania. Zabezpieczenie to powinno być tak skonstruowane, by umożliwiało zapisanie danych we wszystkich uruchomionych aplikacjach i wykonanie kopii bezpieczeństwa.

§ 7

1. Obowiązuje nakaz tworzenia kopii bezpieczeństwa.

2. Kopie bezpieczeństwa należy opisać w sposób pozwalający na określenie ich zawartości.

3. Kopie bezpieczeństwa należy okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii oraz usuwać po ustaniu ich przydatności.

4. Kopie bezpieczeństwa, które uległy uszkodzeniu lub stały się niepotrzebne należy pozbawić zapisu danych w sposób uniemożliwiający ich odtworzenie.

§ 8

1. Wydruki z komputera, zawierające dane osobowe podlegają zasadom ochrony danych osobowych przetwarzanych metodami tradycyjnymi.

2. Wydruki tworzone i używane do celów roboczych przechowywane są w zamykanych szafkach.

3. Nośniki informatyczne, zawierające dane osobowe, przechowywane są w zamykanych szafach.

4. Likwidacja wydruków, zawierających dane osobowe odbywa się za pomocą niszczarki do dokumentów lub w inny sposób, trwale uniemożliwiający odczytanie danych.

5. Z nośników informatycznych, które zostały przeznaczone do przekazania innemu podmiotowi, usuwa się zapisane na nich dane.

§ 9

1. Należy zainstalować odpowiednie oprogramowania antywirusowe, renomowanego i zaufanego dostawcy.

2. W przypadku wykrycia wirusa na komputerze, użytkownik systemu zobowiązany jest do niezwłocznego poinformowania o tym fakcie administratora danych osobowych.

3. Administrator danych osobowych zobowiązany jest do przeprowadzenia kontroli pod kątem obecności wirusów komputerowych.

4. Wykryte zagrożenia niezwłocznie usuwane są z systemu informatycznego.

5. Przed przystąpieniem do usuwania wirusa, należy zabezpieczyć dane przed ich utratą, bądź zmodyfikowaniem.

6. Osobą odpowiedzialną za powyższe działania jest Administrator Danych Osobowych.

§ 10

1. Prace bieżące w dziedzinie konserwacji i naprawy urządzeń służących do przetwarzania danych osobowych w systemach informatycznych prowadzi wyznaczona osoba (przedsiębiorstwo zewnętrzne), posiadająca odpowiednie kwalifikacje do przeprowadzania ww. czynności.

2. Urządzenia komputerowe, dyski twarde, lub inne informatyczne nośniki danych przeznaczone do naprawy, pozbawia się przed tymi czynnościami zapisu zgromadzonych na nich danych osobowych.

§ 11

1. Obowiązuje szyfrowanie, co oznacza, że wszelkie pliki zawierające kopie danych osobowych, wysyłane na zewnątrz, zabezpiecza się hasłem.

2. W miarę możliwości, dane osobowe zawarte na serwerze sieciowym nie mogą być przechowywane na stacjach roboczych. Należy dane te umieszczać na dysku sieciowym.

3. Zabronione jest kopiowanie danych z serwera na stacje robocze bądź na nośniki informatyczne bez uzasadnienia.

§ 12

1. Osoba użytkująca przenośny komputer, służący do przetwarzania danych osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera poza obszarem, przeznaczonym do przetwarzania danych osobowych wskazanym w Polityce bezpieczeństwa.

2. W celu zapobieżenia dostępowi do tych danych osobie niepowołanej, należy:

1. zabezpieczyć dostęp do komputera hasłem;

2. nie zezwalać na używanie komputera osobom nieupoważnionym przez Administratora Danych Osobowych do dostępu do danych osobowych.

§13

1. Zagrożenia przetwarzania danych osobowych w systemach informatycznych:

1. niedozwolone modyfikacje, niszczenie, usunięcie danych osobowych przez nieupoważnioną do tego osobę;

2. przekazanie danych osobowych osobie nieuprawnionej do ich otrzymania;

3. atak hakerski,

4. nieautoryzowane zmiany danych w systemie;

5. ujawnienie haseł dostępu do komputerów;

6. brak nadzoru nad serwisantami lub innymi pracownikami przebywającymi w pomieszczeniach, w których odbywa się przetwarzanie danych osobowych;

7. nieuprawniony dostęp lub próba dostępu do pomieszczeń, w których odbywa się przetwarzanie danych osobowych;

8. kradzież nośników, na których zapisane są dane osobowe;

9. brak wykonywania kopii bezpieczeństwa.

2. W przypadkach, o których mowa w ust. 1, należy podjąć czynności zmierzające do zabezpieczenia miejsca zdarzenia, zabezpieczenia ewentualnych dowodów przestępstwa i minimalizacji zaistniałych szkód, tj. zwłaszcza:

1. Zanotować dokładną datę i godzinę uzyskania informacji o naruszeniu zabezpieczenia danych osobowych oraz datę i godzinę wykrycia tego faktu,

2. zanotować personalia osoby zgłaszającej,

3. wskazać miejsca zdarzenia,

4. opisać stan techniczny sprzętu służącego do przetwarzania lub przechowywania danych osobowych,

5. opisać okoliczności incydentu;

6. wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem;

7. dokonać identyfikacji zaistniałego zdarzenia, poprzez ustalenie: rozmiaru zniszczeń, sposobu, w jaki osoba niepowołana uzyskała dostęp do danych osobowych, rodzaju i kategorii danych, których dotyczyło naruszenie;

8. wyeliminować czynniki bezpośredniego zagrożenia utraty danych osobowych;

9. sporządzić protokół ze zdarzenia;

10. zgłosić właściwym organom ścigania podejrzenie popełnienia przestępstwa.

3. Administrator danych osobowych lub osoba przez niego upoważniona obowiązani są do niezwłocznego podjęcia działań mających na celu powstrzymanie lub ograniczenie osobom niepowołanym dostępu do danych osobowych w szczególności przez:

1. zmianę hasła do komputera;

2. fizyczne odłączenie urządzeń i sieci.

§ 14

Po wystąpieniu incydentu naruszenia bezpieczeństwa danych osobowych, należy przeanalizować przyczynę wystąpienia incydentu, a następnie podjąć czynności zmierzające do jej wyeliminowania w przyszłości, tj.

1. przy błędzie osoby upoważnionej do przetwarzania danych osobowych związanym z przetwarzaniem danych osobowych – należy przeprowadzić dodatkowe szkolenie, indywidualne lub grupowe oraz wyciągnąć konsekwencje prawne zgodnie z przepisami kodeksu pracy o odpowiedzialności pracowników;

2. przy ataku wirusa komputerowego – należy ustalić źródło jego pochodzenia oraz wykonać test zabezpieczenia antywirusowego;

3. przy włamaniu – należy dokonać szczegółowej analizy wdrożonych zabezpieczeń antywłamaniowych;

4. zły stan urządzenia lub sposób działania programu lub inne niedoskonałości informatyczne – należy niezwłocznie przeprowadzić kontrolne czynności serwisowe.

§ 15

1. Administrator danych osobowych sporządza raport ze zdarzenia naruszającego zabezpieczenia urządzeń służących do przetwarzania danych w postaci cyfrowej i w systemie informatycznym, obejmujący wnioski dotyczące przetwarzania danych osobowych w systemie informatycznym, a w szczególności:

1. stanu urządzeń wykorzystywanych do przetwarzania danych osobowych;

2. zakresu przetwarzanych danych osobowych;

3. prawidłowości działania programów i aplikacji, w których przetwarzane są dane osobowe;

4. jakości działania sieci informatycznej;

5. sprawdzenia obecności wirusów komputerowych;

6. ustalenia przyczyn i przebiegu zdarzenia;

7. wyciągnięcia wniosków co do uniknięcia podobnych naruszeń w przyszłości.

§ 16

W sprawach nieunormowanych stosuje się przepisy RODO, ustawy o ochronie danych osobowych oraz przepisy wykonawcze do ustawy.