Polityka Bezpieczeństwa Informacji
POLITYKA BEZPIECZEŃSTWA INFORMACJI
w Kościele Rektoralym pw. Wszystkich Świętych w Lublinie
Dokument obowiązuje od dnia 25 maja 2018 r.
1. POSTANOWIENIA OGÓLNE
1. Realizując obowiązki wynikające z przepisów dotyczących ochrony danych osobowych określamy zasady przetwarzania danych osobowych w Kościele Rektoralnym pw. Wszystkich Świętych, oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
2. Administratorem Danych Osobowych w Kościele Rektoralnym pw. Wszystkich Świętych jest Rektor Kościoła. Administrator danych osobowych odpowiedzialny jest za bezpieczeństwo danych. Zobowiązany jest zastosować takie środki i procedury, aby uniemożliwić uszkodzenie, kradzież, dostęp osobom nieupoważnionym oraz przetwarzanie niezgodnie z ustawą. W tym celu powołuje Administratora Bezpieczeństwa Informacji, który nadzoruje przestrzeganie zasad ochrony.
3. Pracownicy zobowiązani są przestrzegać zasad bezpieczeństwa danych określonych w Polityce Bezpieczeństwa Informacji, a także współpracować we wdrażaniu oraz doskonaleniu procedur ochrony informacji. Zgłaszają uwagi i opiniują zastosowane rozwiązania.
2. PODSTAWA PRAWNA
Polityka Bezpieczeństwa Informacji została opracowana na podstawie i jest zgodna z:
– Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
– Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
– Dekretem ogólnym Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim z dnia 13 marca 2018 r..
3. CEL OPRACOWNAI POLITYKI BEZPIECZEŃSTWA INFORMACJI
1. Celem opracowania Polityki Bezpieczeństwa Informacji jest określenie zasad ochrony przetwarzanych danych osobowych, uzyskiwanych w ramach zarządzania cmentarzami rzymskokatolickimi w Lublinie.
2. Zasady określone w Polityce Bezpieczeństwa Informacji mają zastosowanie do wszystkich osób upoważnionych przez Administratora Danych do przetwarzania danych osobowych.
4. DEFINICJE
Ilekroć w Polityce Bezpieczeństwa Informacji mowa o:
– Administratorze Danych Osobowych, należy przez to rozumieć – Rektora Kościoła Rektoralnego pw. Wszystkich Świętych, który decyduje o celach i środkach przetwarzania danych osobowych oraz powołuje Administratora Bezpieczeństwa Informacji;
– zbiorze danych, należy rozumieć przez to – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
– przetwarzaniu danych, należy przez to rozumieć – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
– zabezpieczeniu danych, należy przez to rozumieć – wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
– usuwaniu danych, należy przez to rozumieć – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
– zgodzie osoby której dane dotyczą, należy przez to rozumieć – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie,
– odbiorcy danych, należy przez to rozumieć – każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby której dane dotyczą, osoby upoważnionej do przetwarzania danych, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,
– integralności danych, należy przez to rozumieć – właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
– poufności danych, należy przez to rozumieć – właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
– uwierzytelnianiu, należy przez to rozumieć – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,
– dostępności, należy przez to rozumieć właściwość zapewniająca, że dane są możliwe do wykorzystania przez osoby i podmioty uprawnione na każde żądanie i w określonym czasie,
5. ODPOWIEDZIALNOŚĆ:
1. Za bezpieczeństwo danych osobowych odpowiedzialny jest Rektor Kościoła – Administrator Danych Osobowych (skrót: ADO).
Zgodnie z wymaganiami ustawy – do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez Administratora Danych Osobowych.
Podstawowe obowiązki Administratora Danych Osobowych:
– ustanowienie zasad przetwarzania danych osobowych w Kościele Rektoralnym pw. Wszystkich Świętych w Lublinie.
– ustanowienie Administratora Bezpieczeństwa Informacji,
2. Odpowiedzialność Administratora Bezpieczeństwa Informacji (skrót: ABI):
– organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych osobowych oraz sprawowanie nadzoru nad bezpieczeństwem danych osobowych przetwarzanych w Kościele Rektoralnym pw. Wszystkich Świętych w Lublinie,
– wydawanie upoważnień do przetwarzania danych osobowych dla pracowników.
– zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki Bezpieczeństwa Informacji,
– prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych przy współpracy z Administratorem Danych Osobowych,
– organizowanie okresowych szkoleń z zakresu przetwarzania i ochrony danych osobowych.
– zapewnianie przestrzegania przepisów o ochronie danych osobowych,
– nadzorowanie opracowania i aktualizowania dokumentacji, o ochronie danych osobowych,
3. Odpowiedzialność Administratora Systemów Informatycznych (skrót: ASI):
– wykonywanie poleceń ADO/ABI w zakresie zadań związanych z ochroną danych osobowych w systemach teleinformatycznych,
– przyznawanie na wniosek ABI ściśle określonych praw dostępu do danych osobowych w poszczególnych systemach informatycznych Kościoła Rektoralnego pw. Wszystkich Świętych w Lublinie
– przeciwdziałanie próbom naruszenia bezpieczeństwa informacji w systemach teleinformatycznych.
– zgłaszanie do ABI każdego incydentu bezpieczeństwa danych osobowych lub zdarzeń potencjalnie naruszających bezpieczeństwo danych osobowych przetwarzanych w Kościele,
4. Odpowiedzialność Kierowników Kancelarii oraz Głównej Księgowej:
– identyfikacja zbiorów danych osobowych przetwarzanych w komórce organizacyjnej i zgłaszanie zbiorów do ABI,
– wnioskowanie o nadanie (odwołanie) lub zmianę uprawnień dla pracowników,
– ochrona zasobów danych osobowych przetwarzanych w Kościele Rektoralnym pw. Wszystkich Świętych w Lublinie przed ich utratą, nieuprawnionym użyciem lub zniszczeniem,
– zachowanie szczególnej staranności przy gromadzeniu i przetwarzaniu danych osobowych, aby dane te były
przetwarzane zgodnie z prawem,
– zgłaszanie ABI wszelkich zauważonych nieprawidłowości dotyczących ochrony danych osobowych przetwarzanych w systemach informatycznych i w tradycyjnej papierowej formie.
6. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH. WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ GDZIE PRZETWARZANE SĄ DANE OSOBOWE:
1. pomieszczenia kancelarii cmentarza przy ul. Lipowej – Lipowa 16.
2. pomieszczenia kancelarii cmentarza przy ul. Unickiej – Dolińskiego 4 lokal 102/103.
3. pomieszczenia księgowości i kadr w budynku plebanii – Lipowa 16.
7. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Zbiory danych osobowych w kancelariach cmentarzy;
– zbiory danych dysponentów grobów i osób posiadających prawo do grobu, formularze nr 1 do 4 oraz 10 (forma papierowa),
– zbiory danych zawarte w innych formularzach związanych z zarządzaniem cmentarzami (forma papierowa),
– kartoteki grobów (forma papierowa),
– księgi zmarłych (forma papierowa),
– karty zgonów (forma papierowa),
– archiwariusze (forma papierowa),
– zbiory korespondencji z klientami, księga korespondencji (forma papierowa),
– komputerowa baza osób pochowanych (program Microsoft Office Access),
– program do fakturowania – pakiet firmy Insert SUBIEKT i SUBIEKT GT, (forma papierowa – raporty),
– adresy mailowe klientów – e-poczta,
– rejestr umów kamieniarskich i pogrzebowych (forma papierowa)
2. Zbiory danych osobowych w dziale księgowości i kadr,
– kadrowo – płacowych (forma papierowa i cyfrowa, oprogramowanie firmy Insert – GRATYFIKANT.
– dane w programie do obsługi ZUS (Płatnik),
– kandydatów do pracy (rekrutacja – forma papierowa),
– zbiór danych dla obsługi BHP (forma papierowa),
– pracowników i ich rodzin do obsługi medycznej i innych działań socjalnych (forma papierowa),
– korespondencji z klientem wewnętrznym i zewnętrznym, księga korespondencji (forma papierowa),
– w programie do fakturowania – pakiet firmy Insert SUBIEKT i SUBIEKT GT, (forma papierowa i cyfrowa),
– adresy mailowe klientów wewnętrznych i zewnętrznych – e-poczta,
– dane do obsługi grupowego ubezpieczenia PZU (program ERU-PZU),
– dane zawarte w fakturach zakupowych (forma papierowa).
3. Poszczególni Kierownicy działów opracują Rejestr czynności przetwarzania danych osobowych – załącznik nr1.
8. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI
1. Dane do programu Płatnik są opracowywane w programie Gratyfikant i eksportowane do Płatnika. Płatnik weryfikuje dane i wysyła elektronicznie do ZUS, przy użyciu podpisu kwalifikowanego CERTUM.
2. Wprowadzanie danych osobowych do programu Gratyfikant, po decyzji ADO i za zgodą osoby przekazującej dane.
3. Dane osobowe pracowników są przechowywane w formie papierowej w teczkach osobowych oraz ewidencjonowane w programie Gratyfikant (także w dokumentach wytwarzanych przez służby BHP).
4. Przetwarzanie danych osobowych członków rodzin pracowników (świadczenia zdrowotne i inne działania socjalne) za ich pisemną zgodą.
5. Dane w programie Subiekt, są eksportowane przez informatyka raz w miesiącu na serwer i wgrywane do programu Rewizor GT. Drukowane z programu dokumenty i dane informatyczne są przechowywane przez okres wymagany prawem. Archiwizowane na serwerze.
6. Dane osobowe dotyczące ubezpieczenia grupowego pracowników są przetwarzane w formie papierowej i cyfrowej (PZU ERU) za ich zgodą, przez przedstawiciela firmy PZU.
7. Zbiory korespondencji i umowy z klientem zewnętrznym (firmy kamieniarskie i pogrzebowe, dysponenci grobów itp.) w formie papierowej, w specjalnych segregatorach, lub dokumentacji poszczególnych grobów, przechowywanych w specjalnych zamykanych szafach kartotekowych.
9. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, PRZETWARZANYCH DANYCH OSOBOWYCH
1. Dane osobowe są gromadzone i przetwarzane na podstawie pisemnego oświadczenia woli składanego w dokumentacji Kościoła Rektoralnego pw. Wszystkich Świętych.
2. Do przetwarzania danych należy dopuszczać wyłącznie osoby posiadające upoważnienie nadane przez Administratora Bezpieczeństwa Informacji . Załącznik nr 2.
3. Została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (PBI).
Przed dopuszczeniem pracownika do przetwarzania danych osobowych musi zostać on przeszkolony z zasad ochrony danych osobowych. Czas przechowywania danych osobowych jest ograniczony do okresu ich przydatności dla realizacji statutowych zadań Kościoła Rektoralnego pw. Wszystkich Świętych.
4. Dane osobowe utrwalone na jakimkolwiek nośniku, należy po zakończeniem przetwarzania, skutecznie usunąć lub zniszczyć.
5. Przy przetwarzaniu danych osobowych w systemach teleinformatycznych stosuje się zasady „czystego biurka i ekranu”, realizowane poprzez stosowanie wygaszaczy ekranu, ustawianie monitorów w taki sposób aby nie była widoczna informacja dla osób postronnych.
Zasada „czystego biurka”, sprowadza się do zabezpieczenia w czasie i po pracy danych osobowych w formie papierowej w taki sposób, aby uniemożliwiony był ich odczyt przez osoby nieuprawnione.
6.Zabrania się udostępniania indywidualnego kodu dostępu i haseł innym osobom.
7. Zabronione jest usuwanie danych przez wyrzucenie ich do kosza na odpadki, każdy dział przetwarzający dane osobowe został wyposażony w niszczarkę dokumentów.
8. Zabrania się korzystania z prywatnych nośników informacji w systemach przetwarzających dane osobowe. Służbowe elektroniczne nośniki informacji są zaewidencjonowane przez Administratora Systemu Informatycznego (ASI).
9. W przypadku konieczności przekazania urządzeń, dysków lub innych nośników zawierających dane osobowe podmiotowi zewnętrznemu do przetwarzania danych osobowych, np. na wypadek prac serwisowych i naprawczych, ustalona została następująca zasada: nośniki wymontowuję się i pozostawia się zabezpieczone u ASI, lub nośniki informacji pozbawia się wcześniejszego zapisu w sposób uniemożliwiający ich odzyskanie przez osoby nieupoważnione. Preferowaną formą realizacji prac serwisowych i naprawczych jest wykonywanie ich pod nadzorem ASI w miejscach ich przetwarzania.
10. W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem:
– wdrożono procedury tworzenia kopii zapasowych,
– kluczowe urządzenia informatyczne wyposażono w awaryjne zasilanie,
– wdrożono oprogramowanie antywirusowe,
– dostęp do systemów z sieci publicznej jest kontrolowany za pomocą zapory sieciowej
oraz filtrów antyspamowych i oprogramowania antywirusowego,
– zastosowano środki fizyczne chroniące kluczowe urządzenia przed osobami nieupoważnionymi przez ABI do dostępu do danych osobowych oraz zagrożeniami ze strony sił natury.
11. Zabezpieczenia fizyczne budynków z punktu 2 Polityki Bezpieczeństwa Informacji.
– urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi.
– przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych, i w miejscach gromadzenia i przechowywania danych osobowych, dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności kierownika komórki organizacyjnej.
– pomieszczenia, w których są przechowywane dane osobowe powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
12. Do przebywania w pomieszczeniu serwerów uprawnieni są:
– Administratorzy Systemu Informatycznego;
– Administrator Bezpieczeństwa Informacji;
– Kierownik Kancelarii Lipowa i Unicka oraz inne osoby przez nich upoważnione – wykaz osób przekazany do ABI.
13. Przebywanie w pomieszczeniu serwerów osób nieuprawnionych (konserwator, elektryk,) dopuszczalne jest tylko w obecności jednej z osób upoważnionych.
14. Dla każdego użytkownika systemu operacyjnego jest ustalony odrębny identyfikator i stosowane jest unikalne hasło.
15. Dodatkowo zastosowano identyfikator i hasło dostępu do danych na poziomie kluczowych aplikacji.
16. Zdefiniowano prawa dostępu użytkowników do danych osobowych na poziomie aplikacji.
10. PROCEDURA POSTĘPOWANIA Z INCYDENTAMI OCHRONY DANYCH OSOBOWYCH
1. Każde niepożądane zdarzenie (incydent bezpieczeństwa), które spowodowało naruszenie bezpieczeństwa danych osobowych musi być natychmiast zgłoszone do ABI, celem podjęcia dalszych działań, dążących do minimalizacji skutków wystąpienia tego incydentu.
2.Zgłoszeniu podlegają również zdarzenia, mogące potencjalnie doprowadzić do incydentu naruszenia bezpieczeństwa.
3. Każdy incydent / zdarzenie potencjalnie naruszające bezpieczeństwo danych osobowych podlega raportowaniu do ABI w formie Załącznik nr.3.
4. Należy założyć Rejestr incydentów bezpieczeństwa.
11. OBOWIĄZEK INFORMACYJNY. UDOSTĘPNIANIE DANYCH OSOBOWYCH
1. Kościół Rektoralny pw. Wszystkich Świętych, nie udostępnia danych osobowych bez zgody osoby, której dane dotyczą.
2. Przyjętą zasadą jest, że udostępnianie danych osobowych stronom trzecim może nastąpić jedynie na podstawie przepisów prawnych (np. organów państwowych w związku z prowadzonym postępowaniem) bądź wskazywać interes faktyczny strony trzeciej połączony ze zgodą osoby, której dane dotyczą. W takim przypadku, udostępnienie danych może nastąpić jedynie na podstawie pisemnego wniosku strony trzeciej. Wniosek musi zawierać, co najmniej, dane wnioskodawcy, dane Administratora Danych Osobowych (celem potwierdzenia właściwości skierowania wniosku o udostępnienie danych osobowych), podstawę prawną upoważniającą do pozyskania informacji, wskazanie przeznaczenie dla udostępnionych danych, wskazania zbioru, z którego dane mają być udostępnione, zakres informacji. Wniosek podlega rozpatrzeniu przez ABI
3.Każda osoba ma prawo do kontroli swoich danych osobowych, które może realizować m. in. poprzez żądanie informacji, odnośnie przetwarzania swoich danych.. Na wniosek osoby, której dane są przetwarzane, w terminie 30 dni od otrzymania wniosku, ADO przekazuje pisemną odpowiedź, którą przegotowuje ABI.
4. Administrator danych zobowiązany jest poinformować osobę zwracającą się do niego o przysługujących jej prawach oraz udzielić informacji – odnośnie przetwarzania jej danych osobowych czyli:
– czy zbiór istnieje,
– kto jest jego administratorem (poprzez określenie jego pełnej nazwy i adresu)
– od kiedy dane są przetwarzane,
– jakie jest źródło pozyskania danych,
– w jaki sposób dane są udostępniane (w szczególności administrator jest zobowiązany do poinformowania o odbiorcach lub kategoriach odbiorców danych),
– jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym,
– podania w powszechnie zrozumiałej formie treści przetwarzanych danych.
W szczególności, administrator danych jest obowiązany do wskazania w formie zrozumiałej:
– jakie dane osobowe zawiera zbiór,
– w jaki sposób zebrano dane,
– w jakim celu i zakresie dane są przetwarzane,
– w jakim zakresie oraz komu dane zostały udostępnione.
12. OCENA SYSTEMU OCHRONY DANYCH OSOBOWYCH
1. Definicje
sprawdzenie – należy przez to rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
sprawozdanie – należy przez to rozumieć dokument, o którym mowa w art. 36c ustawy, opracowany przez administratora bezpieczeństwa informacji po dokonaniu sprawdzenia.
2. ABI sprawdza systemu ochrony danych osobowych w cyklu rocznym.
Zakres sprawdzenia obejmuje weryfikację wymagań zawartych:
– w ustawie o ochronie danych osobowych,
– w dokumentacji systemu ochrony danych osobowych,
w szczególności:
1) sprawdzenie kompletności dokumentacji przetwarzania danych;
2) zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
3) stanu faktycznego w zakresie przetwarzania danych osobowych;
4) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
5) przestrzeganie zasad i obowiązków określonych w dokumentacji przetwarzania danych.
3. Sprawdzenie doraźne jest przeprowadzane niezwłocznie po powzięciu wiadomości przez ADO lub ABI o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia.
ADO może zarządzić sprawdzenie doraźne celem weryfikacji skuteczności wykonanych działań po stwierdzonych nieprawidłowościach.
13. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
– załącznik nr 4.