Bezpłatny fragment - Jak napisać samemu Politykę Bezpieczeństwa przetwarzania danych osobowych w SKLEPIE INTERNETOWYM

Wprowadzenie

Polityka bezpieczeństwa przetwarzania danych osobowych jest podstawowym dokumentem, który powinna wdrożyć do stosowania każda firma działająca na rynku krajowym czy też jednostka administracji samorządowej lub organizacje pozarządowe takie jak stowarzyszenia czy też fundacje. Wymagania te narzuca ustawa o ochronie danych osobowych.

W związku z powyższym nie ma szans aby przedsiębiorca prowadzący sprzedaż w sieci poprzez sklep internetowy mógł od tego obowiązku odstąpić. Dodatkowo jeżeli prowadzi bazę klientów w formie elektronicznej pozyskując ich chociażby poprzez formularz na swojej stronie — zbiór takich danych musi zgłosić do rejestru Generalnego Inspektora Ochrony Danych Osobowych.

Tak więc jak widać nie ma co dyskutować tylko trzeba zabrać się na początku za przygotowanie zasad ochrony danych osobowych, które ustalone zostaną w tzw.: „Polityce bezpieczeństwa przetwarzania danych osobowych”.

Drugim dokumentem, o który zabiega ustawodawca jest Instrukcja Zarządzania Systemem Informatycznym.

Niniejsze opracowanie jest swoistego rodzaju szablonem konstrukcji treści jakie powinny zostać ujęte we wspomnianej już polityce bezpieczeństwa…

Tak więc piszemy samemu politykę swojego sklepu internetowego

Oczywiście zaczynamy od strony tytułowej, króla informuje precyzyjnie, że dana polityka bezpieczeństwa dotyczy przetwarzania danych osobowych w firmie/sklepie internetowym o nazwie ………… z siedzibą ………… — podajemy nazwę pod jaką prowadzimy działalność oraz wskazujemy adres siedziby.

Przykład:

Polityka bezpieczeństwa
przetwarzania danych osobowych

SKLEPU INTERNETOWEGO „NA ZDROWIE”

z siedzibą przy ulicy:

Zielna 3, lokal 15

09—009 Kraków

Rozpoczynamy pisanie pierwszego rozdziału, w którym ustalamy najważniejszą terminologię oraz skróty jakimi będziemy się posługiwać w treści polityki bezpieczeństwa. Propozycja tych treści znajduje się w przytoczonym poniżej przykładzie:

1. Terminologia i skróty

Poniżej przedstawiono specyficzne pojęcia, definicje i skróty przywołane w niniejszej Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym:

Adekwatność danych — przetwarzanie danych osobowych, w zakresie niezbędnym ze względu na cel zbierania danych.

Administrator Danych Osobowych (ADO) — firma: SKLEP INTERNETOWY z siedzibą przy ul. ADRES.

Administrator Bezpieczeństwa Informacji (ABI) — osoba formalnie powołana przez ADO, nadzorująca przestrzeganie zasad ochrony danych osobowych i odpowiadająca za bezpieczeństwo danych osobowych przetwarzanych m.in. w systemie informatycznym, jednocześnie sprawuje nadzór i koordynuje prace w zakresie eksploatacji, monitorowania i praw dostępu do zasobów informatycznych gromadzonych i przetwarzanych w sieci informatycznej.

Administrator Systemu Informatycznego (ASI) — osoba lub firma sprawująca nadzór i koordynująca prace w zakresie eksploatacji, monitorowania i praw dostępu do zasobów informatycznych gromadzonych i przetwarzanych w sieci informatycznej.

Anonimizacji danych osobowych — pozbawienie danych osobowych cech pozwalających na identyfikacje osób fizycznych, których anonimizowane dane dotyczą.

Aplikacja — konkretny program komputerowy, który realizuje konkretne zestawy funkcji, czynności.

Bezpieczeństwo informacji — to zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych.

Celowość — określenie celu przetwarzania danych osobowych i przetwarzanie ich zgodnie z wyznaczonym celem.

Dane osobowe — to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Dostępność — gwarancja dostępu do danych osobowych tylko przez osoby upoważnione.

GIODO — Generalny Inspektor Ochrony Danych Osobowych.

Hasło dostępu — ciąg znaków, unikalnych dla każdego użytkownika eksploatującego sprzęt komputerowy oraz korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w programie sieci informatycznej. Zawiera określone minimum znaków zawierających duże i małe litery oraz cyfry lub znaki specjalne.

Incydent — to każde zdarzenie lub seria zdarzeń, które nie jest częścią normalnego działania systemu i które mogą zakłócić działania biznesowe lub grozić bezpieczeństwu przetwarzania danych.

Instrukcja — Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych

Osobowych.

Integralność — to właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszcz one w

sposób nieautoryzowany (przez osoby nieupoważnione).

Login (identyfikator) — ciąg znaków alfanumerycznych, unikalnych dla każdego użytkownika korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w programie sieci informatycznej.

Osoba upoważniona — osoba posiadająca upoważnienie wydane przez administratora danych osobowych (lub osobę uprawnioną przez niego) i dopuszczona jako Użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu.

Poufność — to właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom.

Przetwarzanie danych osobowych — jakiekolwiek operacje wykonywane na danych osobowych np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, zwłaszcza wykonywane w systemie informatycznym.

Rozliczalność — to właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób

jednoznaczny tylko temu, konkretnemu podmiotowi.

Sieć informatyczna — struktura składająca się z serwerów, stacji roboczych, osprzętu sieciowego połączonych ze sobą za pomocą mediów transmisji w celu wymiany danych lub współdzielenia różnych zasobów.

Sklep — sklep internetowy.

Stacja robocza — stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający Użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie.

Uwierzytelnianie — to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

Usuwanie danych osobowych — niszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą.

Użytkownik — osoba obsługująca stanowisko komputerowe w zakresie udzielonych uprawnień.

Zbiór danych osobowych — posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Zniszczenie — trwałe, fizyczne uszkodzenie nośników danych w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod.

Kolejnym etapem jest przygotowanie Wstępu, w którym powołujemy się na przepisy regulujące zagadnienia związane z ochroną danych osobowych, informujemy o obligatoryjnym charakterze polityki i zakresie odpowiedzialności Administratora Danych Osobowych

Zapis typowego rozdziału podany jest w kolejnym przykładzie:

2. Wstęp

Realizując postanowienia ustawy ochronie danych osobowych (t. j. Dz. U. z 2014 r. poz. 1182) oraz wydane w oparciu o deklarację ustawową przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024), Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora danych osobowych ustanawia się „Politykę bezpieczeństwa danych osobowych dla firmy SKLEP INTERNETOWY z siedzibą przy ul. … w …”, zwaną dalej „Polityką bezpieczeństwa”.

Jeżeli przepisy innych ustaw przewidują dalej idącą ochronę danych osobowych niż ustawa o ochronie danych osobowych, stosuje się przepisy tych ustaw.

Polityka jest zintegrowanym zbiorem ogólnych zasad, procedur, praw wewnętrznych i praktycznych doświadczeń regulujących sposób zarządzania, ochrony, użytkowania i przechowywania danych osobowych gromadzonych przez ADO w postaci elektronicznej oraz w dokumentach w wersji papierowej.

Uszczegółowieniem niniejszej Polityki Bezpieczeństwa jest „Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych, która zawiera wytyczne dotyczące bezpiecznego przetwarzania danych osobowych przy użyciu systemów informatycznych. Opisane procedury, zastosowane w nich standardy, reguły oraz zasady, powinny ulegać zmianom wraz ze zmianami struktur organizacyjnych i technologii informatycznych.

Polityka Bezpieczeństwa obowiązująca w SKLEP INTERNETOWY, ma charakter obligatoryjny — dotyczy wszystkich osób, które przetwarzają dane osobowe tj. pracowników, konsultantów, stażystów i innych osób mających dostęp do danych osobowych.

Opisane reguły i zasady określają dopuszczalne zachowania wszystkich osób przetwarzających dane osobowe. Dokument zwraca uwagę na konsekwencje, jakie mogą ponosić osoby przekraczające przyznane im uprawnienia lub działające niezgodnie z niniejszą Polityką oraz Instrukcją Zarządzania Systemem Informatycznym, bądź naruszające zapisy ustawy o ochronie danych osobowych.

ADO realizując niniejszą Politykę Bezpieczeństwa, dokłada najwyższej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:

»przetwarzane zgodnie z prawem,

»zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

»merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

»przechowywane nie dłużej niż jest to niezbędne do realizacji celów, w których zostały zebrane.

Teraz przychodzi kolej na wskazanie celu lub celów jakim przyświeca opracowana i wdrożona do stosowania polityka bezpieczeństwa. Po podaniu celów odnosimy się do tego w jaki sposób będą one realizowane w zakresie prowadzonej ochrony danych osobowych przetwarzanych przez nasz SKLEP INTERNETOWY.

3. Cele Polityki Bezpieczeństwa

Niniejsza Polityka została opracowana dla stworzenia i utrzymania wysokiego poziomu bezpieczeństwa zbioru danych osobowych zgodnie z wymogami rozporządzenia, rozumianego jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienia rozliczalności podejmowanych działań.

Celem opracowania i wdrożenia niniejszej Polityki jest: -maksymalne ograniczenie ryzyka związanego z nieuprawnionym przetwarzaniem lub utratą danych osobowych, zagwarantowanie pełnej ochrony danych osobowych posiadanych przez ADO zbiorów bez względu na formę w jakiej zbiór jest przetwarzany, opracowanie zasad postępowania w sytuacjach kryzysowych, wdrożenie reguł, praw i procedur zapewniających odpowiedni poziom bezpieczeństwa zarządzania danymi osobowymi będącymi w posiadaniu ADO.

Cele wyznaczone w Polityce Bezpieczeństwa, realizowane są poprzez:

• stałe doskonalenie oraz rozwijanie organizacyjnych i technicznych środków ochrony danych osobowych przetwarzanych zarówno w formie tradycyjnej jak i elektronicznej,

• podejmowanie wszelkich działań niezbędnych dla ochrony praw jednostki związanych z bezpieczeństwem danych osobowych,

• staranny dobór, ocenę i kwalifikację dostawców usług,

• stosowanie odpowiednich urządzeń i oprogramowania wykorzystywanych do przetwarzania i zabezpieczania danych osobowych.

Ze względu na zmieniający się charakter zagrożeń ADO traktuje zabezpieczenie danych osobowych nie jako proces, wymagający ciągłego doskonalenia, modyfikowania i dostosowywania rozwiązań technicznych i organizacyjnych do możliwości pojawiania się nowych kategorii niebezpieczeństw i zagrożeń.