Wprowadzenie w Kasie Rolniczego Ubezpieczenia Społecznego Polityki bezpieczeństwa w zakresie ochrony danych osobowych oraz Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Dzienniki resortowe

Dz.Urz.PKRUS.2024.16

Akt obowiązujący
Wersja od: 9 lipca 2024 r.

ZARZĄDZENIE Nr 15
PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO
z dnia 9 lipca 2024 r.
w sprawie wprowadzenia w Kasie Rolniczego Ubezpieczenia Społecznego Polityki bezpieczeństwa w zakresie ochrony danych osobowych oraz Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Na podstawie art. 59 ust. 3 ustawy z dnia 20 grudnia 1990 r. o ubezpieczeniu społecznym rolników (Dz. U. z 2024 r. poz. 90) oraz art. 24 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L Nr 119, str. 1, z 2018 r. Nr 127, str. 2 oraz z 2021 r. Nr 74, str. 35) zarządza się, co następuje:
§  1. 
1. 
W Kasie Rolniczego Ubezpieczenia Społecznego, zwanej dalej "Kasą", wprowadza się:
1)
Politykę bezpieczeństwa w zakresie ochrony danych osobowych Kasy Rolniczego Ubezpieczenia Społecznego, zwaną dalej "Polityką bezpieczeństwa", stanowiącą załącznik nr 1 do niniejszego zarządzenia;
2)
Instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Kasie Rolniczego Ubezpieczenia Społecznego, zwaną dalej Instrukcją", stanowiącą załącznik nr 2 do niniejszego zarządzenia.
2. 
Zobowiązuje się kierowników komórek organizacyjnych w Centrali Kasy oraz dyrektorów oddziałów regionalnych Kasy do zapoznania podległych pracowników z treścią wymienionych w ust. 1 dokumentów, w terminie miesiąca od dnia ogłoszenia niniejszego zarządzenia.
3. 
Za dołączenie do akt pracowników oświadczeń o zapoznaniu się z dokumentacją wymienioną w ust. 1 odpowiedzialny jest w Centrali Kasy Dyrektor Biura Zarządzania Zasobami Ludzkimi, a w oddziałach regionalnych i placówkach terenowych - dyrektor właściwego oddziału regionalnego Kasy.
4. 
Wzór oświadczenia, o którym mowa w ust. 3, stanowi załącznik nr 3 do niniejszego zarządzenia.
§  2. 
1. 
Kasa, jako administrator danych, którą zgodnie z art. 59 ust. 3 ustawy z dnia 20 grudnia 1990 r. o ubezpieczeniu społecznym rolników kieruje Prezes Kasy, zwana dalej "AD", powołuje na Inspektora Ochrony Danych, zwanego dalej "IOD", Dyrektora Biura Zarządzania Kryzysowego, Spraw Obronnych i Bezpieczeństwa Informacji.
2. 
IOD podlega bezpośrednio Prezesowi Kasy.
3. 
IOD realizuje zadania określone przepisami prawa powszechnie obowiązującego w zakresie danych osobowych, w tym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
4. 
IOD opracowuje wytyczne i zalecenia w zakresie ochrony danych osobowych Kasy oraz koordynuje ich realizację.
5. 
Szczegółowy zakres zadań IOD określa Regulamin organizacyjny Biura Zarządzania Kryzysowego, Spraw Obronnych i Bezpieczeństwa Informacji.
§  3. 
1. 
Prezes Kasy wyznacza w oddziale regionalnym i podległych placówkach terenowych dyrektora oddziału regionalnego Kasy na Koordynatora bezpieczeństwa informacji, zwanego dalej "KBI".
2. 
Prezes Kasy wyznacza kierowników komórek organizacyjnych w Centrali Kasy na Koordynatorów zbiorów danych osobowych, zwanych dalej "KZDO".
3. 
Prezes Kasy wyznacza Dyrektora Biura Informatyki i Telekomunikacji Centrali Kasy na Centralnego administratora systemów informatycznych, zwanego dalej "CASI".
§  4. 
Dyrektorzy zakładów rehabilitacji leczniczej pełnią rolę administratora danych w stosunku do posiadanych zbiorów danych osobowych i przygotowują własną dokumentację w tym zakresie.
§  5. 
Upoważnienia do przetwarzania danych osobowych oraz upoważnienia wyznaczające administratorów systemów informatycznych, udzielone na podstawie dotychczasowych przepisów, zachowują moc.
§  6. 
Traci moc zarządzenie nr 17 Prezesa Kasy Rolniczego Ubezpieczenia Społecznego z dnia 24 maja 2018 r. w sprawie wprowadzenia w Kasie Rolniczego Ubezpieczenia Społecznego Polityki bezpieczeństwa w zakresie ochrony danych osobowych oraz Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych (Dz. Urz. KRUS poz. 18, z 2019 r. poz. 7 i 41, z 2021 r. poz. 19 oraz z 2022 r. poz. 25).
§  7. 
Zarządzenie wchodzi w życie z dniem ogłoszenia.

ZAŁĄCZNIKI

ZAŁĄCZNIK Nr  1

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO

Rozdział  1

Ogólne założenia dotyczące przetwarzania i ochrony danych osobowych

§  1. 
1. 
Polityka bezpieczeństwa to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, przetwarzania, ochrony i dystrybucji danych osobowych w Kasie.
2. 
Celem Polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe podczas ich przetwarzania zarówno w formie papierowej, jak i w systemach informatycznych.
§  2. 
Użyte w dokumencie określenia oznaczają:
1)
administrator danych osobowych - Kasę Rolniczego Ubezpieczenia Społecznego, którą zgodnie z art. 59 ust. 3 ustawy z dnia 20 grudnia 1990 r. o ubezpieczeniu społecznym rolników kieruje Prezes Kasy;
2)
administrator systemów informatycznych - osobę lub osoby realizujące zadania o charakterze technicznym, związane z bieżącym utrzymaniem systemów informatycznych lub ich części w Centrali Kasy, oddziałach regionalnych i placówkach terenowych Kasy;
3)
anonimizacja - przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie lub powiązać z konkretną osobą;
4)
autentyczność - zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana; dotyczy użytkowników, procesów, systemów i informacji;
5)
centralny administrator systemów informatycznych - Dyrektora Biura Informatyki i Telekomunikacji w Centrali Kasy;
6)
dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
7)
dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia;
8)
dostępność - zapewnienie bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot;
9)
hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi systemu informatycznego;
10)
identyfikator użytkownika - unikalny ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący użytkownika;
11)
incydent - pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem danych osobowych lub seria takich zdarzeń, które zagrażają bezpieczeństwu danych osobowych;
12)
incydent dużej wagi - incydent, którego skutki spowodowały odpowiedzialność prawną lub materialną instytucji;
13)
inspektor ochrony danych - osobę wyznaczoną przez AD, która z jego upoważnienia nadzoruje w Kasie przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną, a także w jego imieniu współpracuje z organem nadzorczym;
14)
integralność - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
15)
integralność systemu - właściwość polegającą na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej;
16)
jednostki organizacyjne Kasy - Centralę, oddziały regionalne, placówki terenowe;
17)
kierownik komórki organizacyjnej w Centrali Kasy - dyrektora biura, pełnomocnika Prezesa kierującego zespołem lub inną osobę określoną w regulaminie organizacyjnym Kasy;
18)
komórki organizacyjne w Centrali Kasy - biura, zespoły, stanowiska pracy;
19)
konto użytkownika - zbiór informacji zapisanych w plikach na poziomie oprogramowania systemowo-narzędziowego lub na poziomie aplikacji, takich jak: unikalny identyfikator użytkownika, nazwa i hasło umożliwiające weryfikację deklarowanej tożsamości użytkownika oraz informacje określające jego uprawnienia i ograniczenia w systemie informatycznym;
20)
kopia bezpieczeństwa - kopię danych systemu informatycznego wykonaną na elektronicznym nośniku informacji w celu zapewniania możliwości odtworzenia systemu wraz z danymi w wypadku ich utraty lub uszkodzenia infrastruktury techniczno - systemowej;
21)
niezaprzeczalność - brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;
22)
niezawodność - zapewnienie spójności oraz zamierzonych zachowań i skutków;
23)
odbiorca - osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
24)
organ nadzorczy - niezależny organ publiczny ustanowiony przez państwo członkowskie Unii Europejskiej. Jest to organ, który m.in. pełni funkcję kontrolną i nadzorczą nad gromadzeniem i przetwarzaniem danych osobowych, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych; Prezes Urzędu Ochrony danych Osobowych jest organem nadzorczym w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO);
25)
osoba upoważniona - osobę posiadającą upoważnienie i dopuszczoną jako użytkownik do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu;
26)
podmiot przetwarzający - osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
27)
poufność - zapewnienie, iż dostęp do informacji mają tylko i wyłącznie osoby uprawnione;
28)
Prezes Urzędu Ochrony Danych Osobowych - organ właściwy do spraw ochrony danych osobowych na terytorium Polski;
29)
profdowanie - dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
30)
przetwarzanie - operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
31)
pseudonimizacja - przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
32)
outsourcing - wydzielenie ze struktury organizacyjnej instytucji niektórych realizowanych przez nie samodzielnie funkcji i przekazanie ich do wykonania innym podmiotom;
33)
rozliczalność - zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
34)
stacja robocza - przenośny/stacjonarny komputer osobisty lub terminal umożliwiający użytkownikom dostęp do danych osobowych znajdujących się w systemie;
35)
strona trzecia - osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administratora, podmiot przetwarzający czy osoby, które - z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać dane osobowe;
36)
system - system informatyczny, czyli zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
37)
szczególne kategorie danych osobowych - dane wrażliwe, dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby;
38)
usuwanie danych - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
39)
użytkownik - osobę dopuszczoną do pracy w systemach informatycznych, której nadano stosowne uprawnienia, identyfikowaną w systemie poprzez identyfikator użytkownika oraz posługującą się hasłem lub innym atrybutem w celu potwierdzenia swojej autentyczności;
40)
zabezpieczenie danych w systemie - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
41)
zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
42)
zgoda osoby, której dane dotyczą - dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Rozdział  2

Zadania osób odpowiedzialnych za wykonywanie obowiązków z zakresu przetwarzania i ochrony danych osobowych

§  3. 
1. 
Do podstawowych obowiązków i odpowiedzialności AD oraz osób działających z jego upoważnienia należy:
1)
wdrażanie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej "RODO" oraz chronić prawa osób, których dane dotyczą, w tym między innymi w stosownym przypadku:
a)
wyznaczenie inspektora ochrony danych,
b)
pseudonimizację i szyfrowanie danych osobowych,
c)
zdolność do ciągłego zapewnienia poufności, integralności, dostępności, odporności systemów i usług przetwarzania,
d)
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
e)
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
2)
wdrażanie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu przetwarzania, okresu przechowywania oraz ich dostępności;
3)
poprzez proces zarządzania ryzykiem prowadzenie systematycznej oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględniający ryzyko wiążące się z przetwarzaniem danych osobowych, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
4)
stworzenie warunków, aby przetwarzanie danych osobowych było zgodne z podstawowymi zasadami określonymi w RODO;
5)
zapewnienie wykonywania obowiązków, które wynikają z praw osób, których dotyczą przetwarzane dane osobowe;
6)
zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.
2. 
AD przy udziale osób działających z jego upoważnienia zapewnia, że:
1)
dane osobowe są legalnie przetwarzane;
2)
dane osobowe są adekwatne w stosunku do celów przetwarzania;
3)
dane osobowe są przetwarzane przez określony konkretny czas;
4)
wobec osób, których dane osobowe przetwarza wykonano tzw. obowiązek informacyjny wraz ze wskazaniem im praw (prawa dostępu do danych osobowych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu),
5)
jest zapewniona właściwa ochrona danych osobowych w przypadku powierzenia przetwarzania danych osobowych innym podmiotom przetwarzającym.
3. 
AD przy udziale osób działających z jego upoważnienia odpowiada za nadawanie i anulowanie upoważnień do przetwarzania danych osobowych w zbiorach papierowych oraz systemach informatycznych.
§  4. 
Do zadań IOD w Kasie należy:
1)
informowanie AD i pracowników, którzy przetwarzają dane osobowe, o obowiązkach wynikających z przetwarzania danych osobowych oraz doradzanie im w tym zakresie,
2)
monitorowanie przestrzegania przepisów o ochronie danych osobowych, w tym Polityki bezpieczeństwa i Instrukcji, a także podział obowiązków oraz działania zwiększające świadomość;
3)
udzielanie zaleceń co do oceny skutków dla ochrony danych osobowych i monitorowanie wykonania ochrony danych osobowych, przeprowadzanie inspekcji w oddziałach regionalnych Kasy w tym zakresie;
4)
opracowywanie wytycznych i zaleceń w zakresie ochrony danych osobowych;
5)
współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, a także w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
6)
opracowywanie i aktualizowanie Polityki bezpieczeństwa i Instrukcji oraz przestrzeganie zasad w nich określonych;
7)
prowadzenie zbiorczego wykazu zbiorów danych osobowych przetwarzanych w Kasie.
§  5. 
Do zadań KBI należy nadzorowanie i koordynowanie stosowania przepisów RODO, Polityki bezpieczeństwa i Instrukcji, wykonywanie obowiązków z upoważnienia AD oraz zaleceń IOD w odniesieniu do przetwarzanych danych osobowych w podległym oddziale regionalnym Kasy, a także w podległych placówkach terenowych Kasy, w szczególności:
1)
organizacja przetwarzania i dbanie o bezpieczeństwo danych osobowych poprzez wdrażanie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane osobowe dotyczą;
2)
wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania;
3)
poprzez proces zarządzania ryzykiem prowadzenie systematycznej oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględniający ryzyko związane z przetwarzaniem danych osobowych, w szczególności wynikające z przypadkowego, niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
4)
podejmowanie decyzji o udostępnieniu danych osobowych innym osobom lub podmiotom;
5)
w przypadku powierzenia administrowanych danych osobowych innemu podmiotowi, przygotowanie projektu, a następnie zawarcie umowy o powierzenie przetwarzania danych osobowych;
6)
zgłaszanie do IOD zbiorów danych osobowych, w których przetwarzane są dane osobowe, a których jest koordynatorem oraz potrzebę ich aktualizacji lub wykreślenia;
7)
niezwłoczne informowanie, zgodnie z procedurą określoną w Zintegrowanym Systemie Zarządzania, zwanym dalej "ZSZ", IOD o stwierdzonych nieprawidłowościach i incydentach w zakresie ochrony danych osobowych w administrowanych zbiorach;
8)
współpraca z IOD w zakresie doskonalenia metod oraz form zabezpieczania i ochrony zbiorów danych osobowych;
9)
nadzorowanie zasad ochrony, przechowywania i niszczenia kopii bezpieczeństwa zbiorów danych osobowych;
10)
określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych;
11)
przekazywanie do IOD, na jego żądanie, informacji o prowadzonych rejestrach udostępniania danych osobowych;
12)
przekazywanie do IOD, w terminie do dnia 20 stycznia, sprawozdania za rok poprzedni uwzględniającego liczbę, zakres tematyczny i odbiorców, którym udostępniono przetwarzane dane osobowe;
13)
nadawanie, modyfikowanie i odwoływanie upoważnień osobom do przetwarzania danych osobowych w powierzonych systemach/zbiorach, zgodnie ze wzorem stanowiącym załącznik nr 1 i załącznik nr 2 do Polityki bezpieczeństwa. Potwierdzenie nadania upoważnienia danemu pracownikowi wynika z zapisu w prowadzonym Rejestrze osób upoważnionych do przetwarzania danych osobowych w zbiorach, którego wzór stanowi załącznik nr 3 do Polityki bezpieczeństwa;
14)
prowadzenie Rejestru osób upoważnionych do przetwarzania danych osobowych w zbiorach, którego wzór stanowi załącznik nr 3 do Polityki bezpieczeństwa;
15)
upoważnianie w formie pisemnej administratorów systemów informatycznych, zwanych dalej "ASI", zgodnie ze wzorem stanowiącym załącznik nr 4 do Polityki bezpieczeństwa,
16)
prowadzenie:
a)
Rejestru osób upoważnionych do przetwarzania danych osobowych w zbiorach,
b)
Rejestru poważnień wydanych Administratorowi Systemów Informatycznych,
c)
Rejestru osób upoważnionych do wykonywania funkcji ASI, którego wzór stanowi załącznik nr 5 do Polityki bezpieczeństwa,.
d)
Rejestru zbiorów danych osobowych przetwarzanych w Kasie, którego wzór stanowi załącznik nr 6 do Polityki bezpieczeństwa,
e)
Rejestru czynności przetwarzania, którego wzór stanowi załącznik nr 7 do Polityki bezpieczeństwa oraz przekazywanie go po bieżącej aktualizacji do IOD,
f)
Rejestru udostępnienia danych osobowych, którego wzór stanowi załącznik nr 8 do Polityki bezpieczeństwa,
g)
Wykazu budynków, pomieszczeń lub części pomieszczeń tworzących obszar, ° w którym przetwarzane są dane osobowe, zgodnie ze wzorem stanowiącym załącznik nr 9 do Polityki bezpieczeństwa oraz przekazywanie go po bieżącej aktualizacji do IOD.
§  6. 
Do zadań KZDO należy nadzorowanie stosowania przepisów RODO, Polityki bezpieczeństwa i Instrukcji, wykonywanie czynności z upoważnienia AD oraz zaleceń IOD w odniesieniu do przetwarzanych danych osobowych w podległej komórce organizacyjnej w Centrali Kasy, w szczególności:
1)
organizacja przetwarzania i dbanie o bezpieczeństwo danych osobowych poprzez wdrażanie odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chrome prawa osób, których dane dotyczą;
2)
wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu
3)
poprzez proces zarządzania ryzykiem prowadzenie oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględniający ryzyko związane z przetwarzaniem danych osobowych, w szczególności wynikające z przypadkowego, niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
4)
podejmowanie decyzji o udostępnieniu danych osobowych innym osobom lub podmiotom;.
5)
w przypadku powierzenia administrowanych danych osobowych innemu podmiotowi przygotowanie projektu, a następnie zawarcie umowy o powierzenie przetwarzania danych osobowych;
6)
zgłaszanie do IOD zbiorów danych osobowych, w których przetwarzane są dane osobowe, a których jest koordynatorem oraz potrzebę ich aktualizacji lub wykreślenia;
7)
niezwłoczne informowanie, zgodnie z procedurą w ZSZ, IOD o stwierdzonych nieprawidłowościach i incydentach w zakresie ochrony danych osobowych w powierzonych zbiorach danych osobowych przetwarzanych w podległej komórce organizacyjnej;
8)
współpraca z IOD w zakresie doskonalenia metod oraz form zabezpieczenia i ochrony zbiorów danych osobowych;
9)
nadzorowanie zasad ochrony, przechowywania i niszczenia kopii bezpieczeństwa zbiorów danych osobowych;
10)
określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych;
11)
nadawanie, modyfikowanie i odwoływanie upoważnień osobom do przetwarzania danych osobowych w powierzonych systemach/zbiorach, zgodnie ze wzorem stanowiącym załącznik nr 1 i nr 2 do Polityki bezpieczeństwa. Potwierdzenie nadania upoważnienia danemu pracownikowi wynika z zapisu w prowadzonym rejestrze osób upoważnionych do przetwarzania danych osobowych w zbiorach;
12)
upoważnianie, w formie pisemnej, ASI dla systemu, który przejął w użytkowanie, którego wzór stanowi załącznik nr 4 do Polityki bezpieczeństwa;
13)
prowadzenie:
a)
Rejestru osób upoważnionych do przetwarzania danych osobowych w zbiorach, którego wzór stanowi załącznik nr 3 do Polityki bezpieczeństwa,
b)
Rejestru upoważnień wydanych Administratorowi Systemów Informatycznych,
c)
Rejestru osób upoważnionych do wykonywania funkcji Administratora Systemu Informatycznego, którego wzór stanowi załącznik nr 5 do Polityki bezpieczeństwa,
d)
Rejestru zbiorów danych osobowych przetwarzanych w Kasie, którego wzór stanowi załącznik nr 6 do Polityki bezpieczeństwa,
e)
Rejestru czynności przetwarzania, którego wzór stanowi załącznik nr 7 do Polityki bezpieczeństwa oraz przekazywanie ich po bieżącej aktualizacji do IOD,
f)
Rejestru udostępnienia danych osobowych, którego wzór stanowi załącznik nr 8 do Polityki bezpieczeństwa,
g)
Wykazu budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, którego wzór stanowi załącznik nr 9 do Polityki bezpieczeństwa oraz przekazywanie go po bieżącej aktualizacji do IOD;
14)
przekazywanie do IOD, na jego żądanie, informacji o prowadzonych rejestrach udostępniania danych osobowych;
15)
przekazywanie do IOD, w terminie do dnia 20 stycznia, sprawozdania za rok poprzedni uwzględniającego liczbę, zakres tematyczny i odbiorców, którym udostępniono przetwarzane dane osobowe.
§  7. 
Zadania CASI:
1)
odpowiada za zarządzanie centralnymi systemami informatycznymi, w szczególności implementację w systemach reguł wynikających z przepisów prawa, a w przypadku usług informatycznych świadczonych przez podmioty zewnętrzne, zapewnienie i przygotowanie projektu umów o powierzenie przetwarzania danych osobowych,
2)
organizuje i koordynuje szkolenia osób przewidzianych do realizowania zadań administratora systemów informatycznych w zakresie danych osobowych przetwarzanych w formie elektronicznej z wykorzystywaniem systemu informatycznego,
3)
prowadzi nadzór merytoryczny nad pracami ASI zatrudnionymi w Centrali Kasy;
4)
wydaje wytyczne i wskazówki techniczne dla ASI w jednostkach organizacyjnych Kasy.
§  8. 
ASI odpowiada za eksploatację systemów informatycznych, a w szczególności za:
1)
bieżące utrzymanie i modernizację infrastruktury techniczno-systemowej;
2)
rejestrowanie i wyrejestrowywanie użytkowników z systemu informatycznego,
3)
przydzielanie uprawnień do poszczególnych funkcji;
4)
określenie trybu i częstotliwości zmiany haseł oraz reguł ich tworzenia;
5)
wykonywanie procedury kopii bezpieczeństwa oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i ich niszczenie;
6)
wdrożenie stosownych procedur w sytuacji naruszenia ochrony danych osobowych;
7)
przeprowadzanie szkoleń osób przewidzianych do realizowania zadań związanych

z przetwarzaniem danych osobowych z zakresu ochrony danych osobowych przetwarzanych w formie elektronicznej z wykorzystywaniem systemu informatycznego, z uwzględnieniem przepisów wewnętrznych obowiązujących w Kasie.

Rozdział  3

Zasady przetwarzania danych osobowych

§  9. 
1. 
Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane osobowe dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości).
2. 
Dane osobowe muszą być zbierane w konkretnych, wyraźnych, prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami (zasada ograniczenia celu).
3. 
Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych).
4. 
Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; w przypadku danych osobowych, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (zasada prawidłowości).
5. 
Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane osobowe dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane osobowe są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożono odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane osobowe dotyczą (zasada ograniczonego przechowywania).
6. 
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym, niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (zasada integralności i poufności).
7. 
Dopuszcza się przesyłanie danych osobowych z wykorzystaniem poczty elektronicznej pod warunkiem zachowania poniższych zasad:
1)
w przypadku przesyłania materiałów zawierających dane osobowe zwykłe między jednostkami/ko morkami organizacyjnymi wewnątrz Kasy:
a)
wiadomość nie wymaga wcześniejszego spakowania i nadawania hasła,
b)
niezabezpieczone wiadomości mogą być przesyłane tylko i wyłącznie z imiennych elektronicznych służbowych skrzynek pocztowych na imienne służbowe skrzynki odbiorców,
c)
przy przesyłaniu niezabezpieczonych wiadomości zawierających zwykłe dane osobowe nie wykorzystuje się skrzynek funkcyjnych, do których dostęp ma więcej niż jedna osoba,
d)
bezwzględnie zakazuje się używania prywatnych skrzynek pocztowych,
e)
zarówno nadawca jak i odbiorca danych, po zrealizowaniu celu przetwarzania lub ustaniu takiej potrzeby powinien usunąć ze skrzynki wiadomości zawierające dane osobowe,
f)
pracownik, który otrzymał dokument z danymi osobowymi nie może go udostępniać osobom nieuprawnionym;
2)
zaszyfrowane lub zabezpieczone hasłem wiadomości zawierające dane osobowe zwykłe mogą być przesyłane na skrzynki funkcyjne wewnątrz Kasy do których ma dostęp więcej niż jedna osoba, w tym na sekretariaty;
3)
w przypadku przesyłania danych osobowych do podmiotów zewnętrznych, poza jednostkami/komórkami organizacyjnymi Kasy:
a)
wiadomości zawierające dane osobowe powinny być wysyłane jako załączniki po zabezpieczeniu plików hasłem, które należy przekazać innym kanałem, np. telefonicznie lub sms-em,
b)
tytuł wiadomości z danymi osobowymi nie powinien jednoznacznie wskazywać na zawartość załącznika;
4)
w przypadku przesyłania danych osobowych zawierających dane medyczne, zarówno wewnątrz Kasy, jak i do odbiorców zewnętrznych, w tym Centrum Rehabilitacji Rolników, należy bezwzględnie stosować zasady określone w pkt 3.
8. 
Dane osobowe mogą być również przesyłane z wykorzystaniem systemu EZD RP z zachowaniem zasad określonych w ust. 7 pkt 1 lit. a oraz f, a także pkt 3 i 4.

Rozdział  4

Zgodność z prawem przetwarzania danych osobowych

§  10. 
1. 
W Kasie dopuszczalne jest tylko przetwarzanie danych osobowych zgodnie z prawem, po spełnieniu co najmniej jednego z poniższych warunków:
1)
osoba, której dane osobowe dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2)
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane osobowe dotyczą, lub do podjęcia działań na żądanie osoby, której dane osobowe dotyczą przed zawarciem umowy;
3)
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na AD,
4)
przetwarzanie jest niezbędne do ochrony interesów osoby, której dane osobowe dotyczą lub innej osoby fizycznej;
5)
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej AD;
6)
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez AD, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane osobowe dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane osobowe dotyczą jest dzieckiem.
2. 
W przypadku konieczności przetwarzania danych osobowych w innym celu niż cel, w którym dane osobowe zostały zebrane i przetwarzanie nie odbywa się na podstawie zgody osoby, której dane osobowe dotyczą, ani prawa Unii Europejskiej lub prawa państwa członkowskiego, należy przed rozpoczęciem przetwarzania ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. Podczas stosownej analizy należy wziąć pod uwagę między innymi:
1)
wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
2)
kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane osobowe dotyczą a AD;
3)
charakter danych osobowych, w szczególności, czy przetwarzane są szczególne kategorie danych osobowych;
4)
ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane osobowe dotyczą;
5)
istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
3. 
W przypadku przetwarzania danych na podstawie zgody, AD musi być w stanie wykazać, że osoba, której dane osobowe dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
4. 
W przypadku wyrażenia zgody przez osobę, której dane osobowe dotyczą, w pisemnym oświadczeniu, zapytanie o zgodę musi być przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
5. 
Osoba, której dane osobowe dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane osobowe dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
6. 
Zgoda musi być wyrażona dobrowolnie.
7. 
W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.
8. 
Komórki organizacyjne w jednostkach organizacyjnych Kasy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 RODO skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób. Wzór informacji dotyczącej przetwarzania danych osobowych w ramach rozpatrywania skarg/wniosków stanowi załącznik nr 21 do Polityki bezpieczeństwa.
9. 
W przypadku połączenia telefonicznego z jednostką organizacyjną Kasy, przed nawiązaniem połączenia, słyszalny jest komunikat informujący o możliwości zapoznania się z informacjami na temat ochrony danych osobowych przetwarzanych w Kasie, a znajdujących się na stronie internetowej www.gov.pl/web/krus.
10. 
W przypadku wysyłania wiadomości przy wykorzystaniu poczty elektronicznej serwer automatycznie dodaje komunikat o treści: "Szanowni Państwo, informujemy, że administratorem Państwa danych osobowych jest Kasa Rolniczego Ubezpieczenia Społecznego w Warszawie, Aleja Niepodległości 190. Informacje o zakresie i sposobie przetwarzania Państwa danych osobowych znajdują się pod adresem strony internetowej www.gov.pl/web/krus w zakładce eKRUS".
§  11. 
1. 
W przypadku uznania, że dla zapewnienia w jednostce organizacyjnej Kasy bezpieczeństwa pracowników, ochrony mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, możliwe jest wprowadzenie środków technicznych umożliwiających rejestrację obrazu w formie monitoringu wizyjnego. Cele, zakres oraz sposób zastosowania w Kasie monitoringu wizyjnego ustala się w Regulaminie pracy danej jednostki organizacyjnej Kasy.
2. 
Jednostka organizacyjna Kasy poinformuje pracowników o wprowadzeniu monitoringu wizyjnego, nie później niż na dwa tygodnie przed jego uruchomieniem. Wzór informacji określającej cele, zakres i sposób zastosowania monitoringu wizyjnego u pracodawcy stanowi załącznik nr 22 do Polityki bezpieczeństwa.
3. 
Decyzję o wprowadzeniu monitoringu wizyjnego w obiektach Centrali Kasy podejmuje Prezes Kasy, a w przypadku obiektów należących do oddziałów regionalnych i podległych im placówek terenowych dyrektor oddziału regionalnego.

Rozdział  5

Przetwarzanie szczególnych kategorii danych osobowych

§  12. 
1. 
Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby jest możliwe, jeżeli spełniony jest jeden z poniższych warunków:
1)
osoba, której dane osobowe dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
2)
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez AD lub osobę, której dane osobowe dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej, prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane osobowe dotyczą;
3)
przetwarzanie jest niezbędne do ochrony interesów osoby, której dane osobowe dotyczą, lub innej osoby fizycznej, a osoba, której dane osobowe dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4)
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane osobowe dotyczą;
5)
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane osobowe dotyczą;
6)
przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania czynności przez sądy;
7)
przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych osobowych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane osobowe dotyczą;
8)
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem ochrony zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 2;
9)
przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane osobowe dotyczą, w szczególności tajemnicę zawodową;
10)
przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych osobowych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane osobowe dotyczą;
11)
art. 89 ust. 1 RODO stanowi, że przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane osobowe dotyczą, zgodnie z niniejszym rozporządzeniem. Zabezpieczenia te polegają na wdrożeniu środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji danych. Środki te mogą też obejmować pseudonimizację danych osobowych, o ile pozwala ona realizować powyższe cele. Jeżeli cele te można zrealizować w drodze dalszego przetwarzania danych osobowych, które nie pozwalają albo przestały pozwalać na zidentyfikowanie osoby, której dane osobowe dotyczą, cele należy realizować w ten sposób.
2. 
Dane osobowe, których przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego mogą być przetwarzane, jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii Europejskiej, prawa państwa członkowskiego, przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę, również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii Europejskiej, prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe.

Rozdział  6

Informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą

§  13. 
1. 
Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, AD lub osoby działające z jego upoważnienia, podczas pozyskiwania danych osobowych podają jej informacje, w zależności od okoliczności, zgodnie z Klauzulą informacyjną dotyczącą przetwarzania danych osobowych w przypadku pozyskania od osoby, której dane dotyczą (dotyczy klientów), stanowiącą załącznik nr 10 do Polityki bezpieczeństwa, Klauzulą informacyjną dla uczestnika pracowniczego planu kapitałowego, stanowiącą załącznik nr 13 do Polityki bezpieczeństwa lub Klauzulą informacyjną dla uczestników postępowania o udzielenie zamówienia publicznego, stanowiącą załącznik nr 19 do Polityki bezpieczeństwa, w szczególności:
1)
swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe osoby fizycznej bądź prawnej, którą reprezentują;
2)
dane kontaktowe IOD;
3)
cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
4)
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
5)
w przypadku zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej wzmiankę o odpowiednich zabezpieczeniach i możliwości uzyskania kopii danych lub miejscu udostępnienia danych.
2. 
Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych AD podaje osobie, której dane osobowe dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
1)
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
2)
informacje o prawie do żądania od AD dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych osobowych;
3)
jeżeli przetwarzanie danych osobowych odbywa się na podstawie wyrażenia zgody przez osobę, której dane osobowe dotyczą, informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
4)
informacje o prawie wniesienia skargi do organu nadzorczego;
5)
informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym nr 37 czy osoba, której dane osobowe dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
6)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane osobowe dotyczą.
3. 
Jeżeli AD planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane osobowe dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Rozdział  7

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

§  14. 
1. 
Jeżeli danych osobowych nie pozyskano od osoby, której dane osobowe dotyczą, AD lub osoby działające z jego upoważnienia, podają osobie, której dane osobowe dotyczą, informacje, zgodnie ze wzorem stanowiącym załącznik nr 11 do Polityki bezpieczeństwa lub zgodnie z Klauzulą informacyjną dla pomocnika rolnika dotyczącą przetwarzania danych osobowych (pozyskanych w sposób inny niż od osoby, której dane dotyczą, stanowiącą załącznik nr 20 do Polityki bezpieczeństwa, w szczególności:
1)
swoją tożsamość i dane kontaktowe oraz gdy ma to zastosowanie, tożsamość i dane kontaktowe osoby, którą reprezentuje;
2)
dane kontaktowe IOD;
3)
cele przetwarzania, do których mają posłużyć dane osobowe oraz podstawę prawną przetwarzania;
4)
kategorie pozyskanych danych osobowych;
5)
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6)
w przypadku zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, wzmiankę o odpowiednich zabezpieczeniach i możliwości uzyskania kopii danych osobowych lub miejscu udostępnienia danych.
2. 
Poza informacjami, o których mowa w ust. 1, AD podaje osobie, której dane osobowe dotyczą, informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane osobowe dotyczą, w szczególności:
1)
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
2)
prawnie uzasadnione interesy realizowane przez AD lub przez stronę trzecią;
3)
informacje o prawie do żądania od AD dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych osobowych;
4)
jeżeli przetwarzanie danych osobowych odbywa się na podstawie wyrażenia zgody przez osobę, której dane osobowe dotyczą, informacje o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
5)
informacje o prawie wniesienia skargi do organu nadzorczego;
6)
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych;
7)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane osobowe dotyczą.
3. 
Informacje, o których mowa w ust. 1 i 2, AD podaje:
1)
najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
2)
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane osobowe dotyczą - najpóźniej przy pierwszej próbie komunikacji z osobą, której dane osobowe dotyczą;
3)
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu.
4. 
Jeżeli AD planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane osobowe dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Rozdział  8

Prawa osoby, której dane osobowe dotyczą

§  15. 
1. 
Osoba, której dane osobowe dotyczą, jest uprawniona do uzyskania od AD lub osób działających z jego upoważnienia, potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji zawierającej w szczególności:
1)
cele przetwarzania;
2)
kategorie danych osobowych;
3)
informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
4)
w miarę możliwości, planowany okres przechowywania danych osobowych, a gdy me jest to możliwe, kryteria ustalania tego okresu;,
5)
informacje oprawie do żądania od AD sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane osobowe dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6)
informacje o prawie wniesienia skargi do organu nadzorczego;
7)
jeżeli dane osobowe nie zostały zebrane od osoby, której dane osobowe dotyczą - wszelkie dostępne informacje o ich źródle;
8)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane osobowe dotyczą.
2. 
Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej osoba, której dane osobowe dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.
3. 
AD lub osoba działająca z jego upoważnienia dostarcza osobie, której dane osobowe dotyczą, kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane osobowe dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
4. 
Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.
5. 
Osoba, której dane osobowe dotyczą, ma prawo żądania od AD lub osoby działającej z jego upoważnienia niezwłocznego sprostowania dotyczących jej danych osobowych. Z uwzględnieniem celów przetwarzania, osoba, której dane osobowe dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
6. 
Osoba, której dane osobowe dotyczą, ma prawo żądania od AD lub osoby działającej z jego upoważnienia niezwłocznego usunięcia dotyczących jej danych osobowych, a AD ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, o ile pozwalają na to przepisy prawa. O odmowie usunięcia danych osobowych informuje się osobę, której dane osobowe dotyczą podaj ąc uzasadnienie odmowy.
7. 
Jeżeli dane osobowe zostały upublicznione, a jest obowiązek je usunąć, to AD lub osoba działająca z jego upoważnienia podejmuje działania informujące administratorów przetwarzających te dane osobowe, że osoba, której dane osobowe dotyczą żąda usunięcia wszelkich jego danych osobowych.
8. 
Osoba, której dane osobowe dotyczą, ma prawo żądania od AD lub osoby działającej z jego upoważnienia ograniczenia przetwarzania.
9. 
AD lub osoba działająca z jego upoważnienia informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. AD lub osoba działająca z jego upoważnienia informuje osobę, której dane osobowe dotyczą o tych odbiorcach, jeżeli osoba, której dane osobowe dotyczą, tego zażąda.
10. 
Osoba, której dane osobowe dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, dane osobowe jej dotyczące, które dostarczyła AD oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony AD lub osoby działającej z jego upoważnienia, któremu dostarczono te dane osobowe.
11. 
Osoba, której dane osobowe dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej AD lub przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez AD, w tym profilowania. AD lub osobie działającej z jego upoważnienia nie wolno już przetwarzać tych danych osobowych, chyba że zostanie wykazane istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania.
12. 
Najpóźniej przy okazji pierwszej próby komunikacji z osobą, której dane osobowe dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 11 oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.
13. 
W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), osoba, której dane osobowe dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.
14. 
Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane osobowe dotyczą, ma prawo wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
15. 
Osoba, której dane osobowe dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Rozdział  9

Udostępnianie danych osobowych

§  16. 
1. 
Dane osobowe mogą być udostępnione osobom, których te dane osobowe dotyczą lub podmiotom uprawnionym na mocy obowiązujących przepisów prawa do ich otrzymania, jeżeli w sposób wiarygodny, uzasadnią potrzebę posiadania tych danych osobowych, a ich udostępnienie nie naruszy praw i wolności osób, których te dane osobowe dotyczą.
2. 
Dane osobowe udostępnia się na podstawie pisemnego bądź elektronicznego wniosku podpisanego podpisem kwalifikowanym, chyba że przepisy prawa stanową inaczej.
3. 
Każda czynność związana z udostępnieniem danych osobowych zostaje zaewidencjonowana w rejestrze udostępniania danych osobowych.
4. 
Rejestr udostępnienia danych osobowych prowadzony jest w każdej jednostce/ komórce organizacyjnej Kasy, która je przetwarza, w formie papierowej lub elektronicznej.
5. 
Odpowiedzialnym za prawidłowe prowadzenie rejestru udostępnienia danych osobowych w Centrali Kasy jest KZDO, natomiast w oddziale regionalnym i placówkach terenowych Kasy - właściwy KBI.
6. 
Dopuszczona jest forma udostępniania danych osobowych w trybie on-line za pomocą usług sieciowych lub wymiany plików, pod warunkiem zachowania standardów gwarantujących bezpieczeństwo przekazywanych danych, zgodnie z procedurą udostępniania danych osobowych.
7. 
Udostępnianie danych osobowych w trybie on-line możliwe jest dopiero po wcześniejszym uzgodnieniu i potwierdzeniu w formie pisemnej zasad udostępniania danych osobowych z uwzględnieniem takich przesłanek, jak zapewnienie legalności, poufności i integralności udostępnianych danych osobowych, bez konieczności prowadzenia rejestru ręcznego, pod warunkiem możliwości ustalenia w każdym czasie, jakie dane osobowe zostały przekazane i kto tego dokonał.
8. 
Wszelkie udostępnianie innym instytucjom danych osobowych powinno odbywać się przy zachowaniu szczególnych środków ostrożności, które uniemożliwiają osobom nieupoważnionym wgląd do ww. danych osobowych. W szczególności zabronione jest przesyłanie danych osobowych za pośrednictwem faksu lub poczty elektronicznej bez zastosowania dodatkowych zabezpieczeń np. szyfrowania.
9. 
Zabronione jest udostępnianie danych osobowych osobom prawnym jak i fizycznym, które nie są uprawnione do dostępu do nich na podstawie przepisów prawa.
10. 
Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane osobowe dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.
11. 
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.
12. 
Po identyfikacji wszystkich podmiotów przetwarzających należy zweryfikować, w których przypadkach ma miejsce powierzenie przetwarzania danych osobowych do organizacji międzynarodowych oraz czy w związku z tym są one przetwarzane w państwie trzecim. W takim przypadku niezbędna jest weryfikacja czy Komisja Europejska wydała decyzję na temat danego państwa.

Rozdział  10

Prowadzenie wykazu zbiorów danych

§  17. 
1. 
Rejestr zbiorów danych osobowych w Kasie prowadzi IOD, który otrzymuje rejestry zbiorów danych osobowych od KBI i KZDO przetwarzane w podległych im jednostkach/komórkach organizacyjnych Kasy, zgodnie ze wzorem stanowiącym załącznik nr 6 do Polityki bezpieczeństwa.
2. 
Rejestr zbiorów danych osobowych może być prowadzony w formie elektronicznej lub papierowej.
3. 
Dane osobowe przetwarzane są w jednostkach i komórkach organizacyjnych Kasy w zbiorach danych osobowych określonych w Polityce bezpieczeństwa.
4. 
W przypadku konieczności utworzenia nowego zbioru danych osobowych, KBI i KZDO obowiązkowo przed rozpoczęciem przetwarzania danych osobowych w nowym zbiorze danych osobowych, zgłaszają go wraz z uzasadnieniem do IOD, który podejmuje decyzję o jego utworzeniu lub o odmowie. W przypadku utworzenia nowego zbioru danych osobowych, IOD wpisuje go do prowadzonego rejestru zbioru danych osobowych oraz dokonuje aktualizacji pozostałej dokumentacji.
5. 
Usunięcie zbioru/ów danych osobowych może nastąpić w przypadku, gdy nastąpiła zmiana zakresu, celu i warunków przetwarzania danych osobowych.
6. 
Potrzebę usunięcia zbioru danych osobowych, osoba upoważniona do przetwarzania w nim danych, zgłasza do bezpośredniego przełożonego.
7. 
Decyzję o usunięciu zbioru danych osobowych podejmuje KZDO w Centrali Kasy oraz KBI w przypadku oddziału regionalnego i placówek terenowych Kasy, a następnie informuje IOD o konieczności wykreślenia zbioru danych osobowych z wykazu zbiorów danych osobowych przetwarzanych w Kasie.
8. 
Usuwanie zbioru danych osobowych polega na trwałym i nieodwracalnym usunięciu informacji z nośnika. W przypadku, gdy nie jest to możliwe, nośnik podlega zniszczeniu.
9. 
Fakt usunięcia zbioru danych osobowych, jak również jego aktualizacji IOD obowiązkowo odnotowuje w rejestrze zbiorów danych osobowych.

Rozdział  11

Sposób zapoznania pracowników Kasy z aktami prawnymi dotyczącymi ochrony danych osobowych

§  18. 
1. 
Każda osoba przy przyjęciu do pracy zapoznaje się z przepisami w zakresie ochrony danych osobowych obowiązującymi w Kasie, co potwierdza własnoręcznym podpisem na Oświadczeniu o poufności, którego wzór stanowi załącznik nr 12 do Polityki bezpieczeństwa. Podpisane przez pracownika oświadczenie o poufności dołącza się do jego akt osobowych.
2. 
Osobę zatrudnioną oraz ubiegającą się o zatrudnienie informuje się w formie pisemnej o przetwarzaniu jej danych osobowych w związku z zatrudnieniem/zawarciem umowy cywilnoprawnej lub zawarciem innej umowy. Wzór informacji stanową, w zależności od sytuacji: Klauzula informacyjna dotycząca przetwarzania danych osobowych dla pracownika, której wzór stanowi załącznik nr 14 do Polityki bezpieczeństwa, Klauzula informacyjna dotycząca przetwarzania danych osobowych dla kandydatów do pracy w Centrali Kasy, której wzór stanowi załącznik nr 15 do Polityki bezpieczeństwa, Klauzula informacyjna dotycząca przetwarzania danych osobowych dla kandydatów do pracy w oddziałach regionalnych Kasy, której wzór stanowi załącznik nr 16 do Polityki bezpieczeństwa, Klauzula informacyjna dotycząca przetwarzania danych osobowych dla osoby ubiegającej się o zatrudnienie na podstawie powołania, której wzór stanowi załącznik nr 17 do Polityki bezpieczeństwa lub Klauzula informacyjna dotycząca przetwarzania danych osobowych dla osoby ubiegającej się o zatrudnienie w oddziałach regionalnych Kasy na podstawie powołania, której wzór stanowi załącznik nr 18 do Polityki bezpieczeństwa. Informacja po podpisaniu przez pracownika umieszczana jest w jego aktach osobowych.
3. 
W przypadku osób zatrudnionych na umowę cywilnoprawną, informacja o której mowa w ust. 2 dołączana jest do dokumentacji dotyczącej zawarcia umowy.
4. 
W przypadku kandydatów starających się o zatrudnienie w Kasie, informację o przetwarzaniu danych osobowych na potrzeby rekrutacji umieszcza się w ogłoszeniu o naborze na wolne stanowisko pracy.
5. 
Po zakończonym naborze zebrane dokumenty aplikacyjne kandydatów starających się o zatrudnienie w Kasie, a którzy nie zostali zatrudnieni podlegają zniszczeniu.
6. 
Dokumenty aplikacyjne wpływające do Kasy, poza naborami na wolne stanowisko pracy, podlegają:
1)
niezwłocznemu zniszczeniu - w przypadku dokumentów papierowych złożonych osobiście lub za pomocą poczty;
2)
trwałemu usunięciu - w przypadku wpływu dokumentów w formie elektronicznej.

Rozdział  12

Zasady nadawania, modyfikowania i odwoływania upoważnień do przetwarzania danych osobowych

§  19. 
1. 
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez AD lub działających w jego imieniu IOD, KZDO w Centrali Kasy oraz KBI w podległym oddziale regionalnym i placówkach terenowych Kasy.
2. 
Zakres upoważnienia do przetwarzania danych osobowych wynika z zajmowanego stanowiska lub pełnionej funkcji danego pracownika i zleconych do realizacji zadań.
3. 
Przełożony pracownika lub zainteresowany pracownik występuje z wnioskiem, odpowiednio do AD, KZDO lub KBI o nadanie, modyfikację lub odwołanie upoważnienia.
4. 
Wniosek o nadanie/modyfikację/odwołanie upoważnienia do przetwarzania danych osobowych wykonywany jest w jednym egzemplarzu i przechowywany jest w komórce organizacyjnej wydającej upoważnienie.
5. 
Upoważnienie do przetwarzania danych osobowych wykonuje się w jednym egzemplarzu, który otrzymuje upoważniony pracownik. Potwierdzenie nadania upoważnienia danemu pracownikowi wynika z zapisu w prowadzonym rejestrze osób upoważnionych do przetwarzania danych osobowych w zbiorach, stanowiącym załącznik nr 3 do Polityki bezpieczeństwa.
6. 
Dopuszcza się możliwość elektronicznego wnioskowania i nadawania upoważnień do przetwarzania danych osobowych w ramach zautomatyzowanych procesów w Zintegrowanym Systemie Zarządzania Kasy, zwanym dalej "ZSZ" - aplikacji "Portal dla Pracowników".
7. 
Po przejściu z akceptacją całego procesu wnioskowania o wymagane role, następuje nadanie uprawnień w drodze upoważnienia.
8. 
Elektroniczne wnioskowanie i nadanie upoważnienia nie jest rejestrowane w rejestrze.
9. 
Upoważnienie do przetwarzania danych osobowych nadawane jest w związku z określonym zdarzeniem jednorazowym, na czas określony, na czas trwania stosunku pracy lub umowy cywilno-prawnej albo innego stosunku prawnego łączącego osobę fizyczną z Kasą.
10. 
KBI i KZDO zobowiązani są do przeglądu, nie rzadziej niż raz na pół roku, ważności wydanych upoważnień do przetwarzania danych osobowych.
11. 
Osoby, które będą upoważnione do przetwarzania danych osobowych, podlegają przeszkoleniu z zakresu ochrony danych osobowych przetwarzanych w wersji papierowej i w wersji elektronicznej, w szczególności z przepisów wewnętrznych w tym zakresie obowiązujących w Kasie.
12. 
Szkolenia z zakresu ochrony danych osobowych przetwarzanych w wersji:
1)
papierowej - w Centrali Kasy przeprowadza KZDO lub inna wyznaczona przez KZDO osoba, natomiast w oddziałach regionalnych i placówkach terenowych Kasy KBI lub inna wyznaczona przez KBI osoba;
2)
elektronicznej - w Centrali Kasy przeprowadza ASI lub inna wyznaczona przez CASI osoba, natomiast w oddziałach regionalnych i placówkach terenowych Kasy - ASI lub inna wyznaczona przez KBI osoba.

Rozdział  13

Zasady nadawania upoważnień do przetwarzania danych osobowych w związku z kontrolą, inspekcją, audytem wewnętrznym oraz audytem wewnętrznym Zintegrowanego Systemu Zarządzania

§  20. 
1. 
Pracownicy Biura Audytu i Kontroli posiadają dostęp do danych osobowych w zakresie objętym audytem lub kontrolą na podstawie imiennych upoważnień do audytu lub kontroli wystawionych przez Prezesa Kasy lub upoważnionego w tym zakresie przez Prezesa Kasy dyrektora Biura Audytu i Kontroli. Pracownicy realizujący zadania kontrolne w oddziałach regionalnych posiadają dostęp do danych osobowych w zakresie objętym kontrolą na podstawie imiennych upoważnień do kontroli wystawionych przez dyrektora oddziału regionalnego. Upoważnienia wydane przez Prezesa Kasy rejestruje się w rejestrze upoważnień i pełnomocnictw Prezesa Kasy prowadzonym w Biurze Organizacyjno-Prawnym, wydane przez dyrektora Biura Audytu i Kontroli w rejestrze upoważnień prowadzonym w tym Biurze, a upoważnienia wydane przez dyrektora oddziału regionalnego rejestruje się w rejestrze upoważnień prowadzonym we właściwym oddziale regionalnym.
2. 
W przypadku pracowników komórek organizacyjnych w Centrali Kasy wykonujących czynności inspekcyjne w innych komórkach organizacyjnych Centrali Kasy lub oddziałach regionalnych i placówkach terenowych Kasy na czas, w którym wykonywane są zadania związane z przetwarzaniem danych osobowych, niezbędne upoważnienia do przetwarzania danych osobowych na czas realizacji zadań inspekcyjnych wydawane są z zachowaniem następujących zasad:
1)
kierującemu komórką organizacyjną w Centrali Kasy Prezes Kasy wydaje upoważnienie do udzielania dalszych upoważnień wicedyrektorom Biura i/lub pracownikom komórki organizacyjnej do przeprowadzania inspekcji w jednostkach organizacyjnych Kasy i przetwarzania danych osobowych w zbiorach danych osobowych jednostek organizacyjnych Kasy w zakresie objętym tematyką inspekcji. Wydane upoważnienia rejestruje się w rejestrze upoważnień i pełnomocnictw Prezesa Kasy, prowadzonym w Biurze Organizacyjno-Prawnym. Upoważnienia wydaje się w 2 egzemplarzach. Wzór upoważnienia stanowi załącznik nr 23 do Polityki bezpieczeństwa;
2)
wicedyrektorom Biur Centrali Kasy oraz osobom zastępującym kierujących komórkami organizacyjnymi Centrali Kasy, Prezes Kasy wydaje upoważnienia do udzielania dalszych upoważnień do przeprowadzania inspekcji dla pracowników danej komórki organizacyjnej Centrali Kasy. Upoważnienie obowiązuje podczas nieobecności kierującego komórką organizacyjną w Centrali Kasy z zachowaniem zasad kolejności zastępowania. Wydane upoważnienia rejestruje się w rejestrze upoważnień i pełnomocnictw Prezesa Kasy, prowadzonym w Biurze Organizacyjno-Prawnym. Upoważnienia wydaje się w 2 egzemplarzach. Wzór upoważnienia stanowi załącznik nr 24 do Polityki bezpieczeństwa;
3)
osoba kierująca daną komórką organizacyjną Centrali Kasy wykonuje działania inspekcyjne wyłącznie na podstawie imiennego upoważnienia do przeprowadzenia inspekcji z określonego zakresu tematycznego w danej jednostce/komórce organizacyjnej Kasy, które jest zatwierdzone przez Prezesa Kasy. Upoważnienie wydaje się w 2 egzemplarzach i rejestruje się, przed rozpoczęciem inspekcji, w rejestrze upoważnień i pełnomocnictw Prezesa Kasy, prowadzonym w Biurze Organizacyjno-Prawnym, a następnie jeden egzemplarz upoważnienia wraz z zakresem tematycznym inspekcji przekazuje się do IOD. Wzór upoważnienia stanowi załącznik nr 25 do Polityki bezpieczeństwa;
4)
pracownik danej komórki organizacyjnej w Centrali Kasy może wykonywać działania inspekcyjne wyłącznie na podstawie imiennego upoważnienia do przeprowadzenia inspekcji z określonego zakresu tematycznego w danej jednostce/komórce organizacyjnej Kasy, wydanego przez osobę kierującą daną komórką organizacyjną w Centrali Kasy lub wicedyrektora Biura albo osobę zastępującą. Upoważnienie wydaje się w 2 egzemplarzach i rejestruje przed rozpoczęciem inspekcji, w rejestrze upoważnień prowadzonym przez IOD. Jeden egzemplarz upoważnienia otrzymuje pracownik, a drugi egzemplarz upoważnienia wraz z zakresem tematycznym inspekcji przekazuje się do IOD. Wzór upoważnienia stanowi załącznik nr 26 do Polityki bezpieczeństwa;
3. 
Audytorzy wewnętrzni Zintegrowanego Systemu Zarządzania w trakcie przeprowadzania audytu wewnętrznego Zintegrowanego Systemu Zarządzania działają na podstawie upoważnień uprawniających do dostępu do wszelkich dokumentów w zakresie objętym tym audytem, występujących w audytowanej jednostce/komórce organizacyjnej, w tym do przetwarzania danych osobowych.
4. 
Upoważnienia, o których mowa w ust. 3 wydaje w Centrali Kasy Prezes Kasy na wniosek Pełnomocnika Prezesa ds. Zintegrowanego Systemu Zarządzania, a w oddziałach regionalnych dyrektor oddziału regionalnego na wniosek koordynatora oddziału regionalnego ds. Zintegrowanego Systemu Zarządzania. Upoważnienia wydaje się w 2 egzemplarzach, w tym jeden dla pracownika, a drugi dla wydającego upoważnienie. Wzór upoważnienia stanowi załącznik nr 27 do Polityki bezpieczeństwa. Upoważnienia wydane przez Prezesa Kasy dla audytorów wewnętrznych Zintegrowanego Systemu Zarządzania rejestruje się w rejestrze upoważnień i pełnomocnictw Prezesa Kasy, prowadzonym w Biurze Organizacyjno-Prawnym, a wydane przez dyrektora oddziału regionalnego we właściwym oddziale regionalnym.

Rozdział  14

Zasady przetwarzania danych osobowych na urządzeniach przenośnych

§  21. 
1. 
Dopuszcza się możliwość używania urządzeń przenośnych np. komputerów przenośnych, pendrive i tabletów do wykonywania zadań służbowych związanych z przetwarzaniem danych osobowych, także poza siedzibą Kasy.
2. 
Zabrania się używania sprzętu służbowego wskazanego w ust. 1 do celów prywatnych, w tym korzystania z otwartych sieci wifi.
3. 
Nadawanie, modyfikowanie i odwołanie upoważnień do przetwarzania danych osobowych przy pomocy urządzeń przenośnych odbywa się na zasadach opisanych w Rozdziale 12.
4. 
Osoba korzystająca z urządzeń przenośnych w celu przetwarzania danych osobowych zobowiązana jest do:
1)
zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem;
2)
transportu urządzeń w sposób minimalizujący ryzyko kradzieży lub zniszczenia, w tym:
a)
transportowania w bagażu podręcznym,
b)
niepozostawiania w samochodzie, przechowalni bagażu, itp,
c)
przenoszenia w torbie przeznaczonej do tego celu,
d)
korzystania z urządzenia w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych osobowych przez osoby nieupoważnione,
e)
niezezwalania osobom nieupoważnionym do korzystania z urządzenia,
f)
przechowywania danych osobowych w folderze np. "Moje dokumenty",
g)
zabezpieczania urządzenia poprzez logowanie do systemu operacyjnego z hasłem.
h)
blokowanie dostępu do urządzenia, w przypadku, gdy nie jest on wykorzystywany przez pracownika.
5. 
W razie zgubienia lub kradzieży urządzenia przenośnego pracownik zobowiązany jest do natychmiastowego powiadomienia o tym bezpośredniego przełożonego, który powiadamia IOD.
6. 
Dyski urządzeń przenośnych, na których są przetwarzane dane osobowe muszą być zaszyfrowane zgodnie z Instrukcją szyfrowania dysków wydaną przez Biuro Informatyki i Telekomunikacji Kasy, znajdującą się w ZSZ.

Rozdział  15

Zasady powierzania przetwarzania danych osobowych innym podmiotom

§  22. 
1. 
AD oraz osoby działające z jego upoważnienia: CASI, KBI, KZDO może powierzyć przetwarzanie danych osobowych podmiotowi w drodze umowy zawartej na piśmie. Powierzenie przetwarzania danych osobowych nie wyłącza ani nie ogranicza odpowiedzialności AD za przestrzeganie RODO. Dopuszcza się korzystanie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. 
Podmiot przetwarzający dane osobowe nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody AD. W przypadku zgody, podmiot przetwarzający dane osobowe informuje AD o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających dane osobowe, dając tym samym AD możliwość wyrażenia sprzeciwu wobec takich zmian.
3. 
Przetwarzanie przez inny podmiot przetwarzający dane osobowe dla potrzeb Kasy, odbywa się na podstawie pisemnej umowy lub innego instrumentu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążą podmiot przetwarzający dane osobowe i AD, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane osobowe dotyczą, obowiązki i prawa AD. W przypadku zawierania umów o świadczenie usług z podmiotami zewnętrznymi, z którymi łączy się powierzenie przetwarzania danych osobowych, kwestie dotyczące zasad powierzenia przetwarzania danych osobowych mogą zostać określone w załączniku do umowy głównej. W tym przypadku można posiłkować się przykładowym Porozumieniem dotyczącym zasad powierzenia przetwarzania danych osobowych, którego wzór stanowi załącznik nr 28 do Polityki bezpieczeństwa. Wskazany wzór można modyfikować w zależności od uwarunkowań lokalnych, jednakże obowiązkowo pozostawiając wymagania zawarte w RODO.
4. 
Podmiot przetwarzający dane osobowe oraz każda osoba działająca z upoważnienia AD lub podmiotu przetwarzającego dane osobowe i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie AD.
5. 
AD jest zobowiązany informować podmiot, któremu powierzył przetwarzanie danych osobowych o wszelkich zmianach dotyczących tych danych osobowych.
6. 
W przypadku powierzenia przetwarzania danych osobowych innemu podmiotowi w drodze umowy zawartej na piśmie lub innej formie przewidzianej prawem oraz wszelkich zmianach informuje się IOD.

Rozdział  16

Sprawozdawczość w zakresie przetwarzania danych osobowych

§  23. 
1. 
IOD dokonuje sprawdzania zgodności przetwarzania danych osobowych w Kasie oraz opracowuje sprawozdania w tym zakresie.
2. 
Sprawdzanie jest przeprowadzane w trybie:
1)
sprawdzania planowego - według planu sprawdzeń;
2)
sprawdzania doraźnego, w sytuacji powzięcia przez IOD wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia;
3)
w przypadku zwrócenia się o dokonanie sprawdzenia przez organ nadzorczy.
3. 
Po zakończeniu sprawdzania IOD przygotowuje sprawozdanie, które jest sporządzane w postaci elektronicznej lub papierowej, a następnie przekazuje je do AD.
4. 
IOD, na żądanie AD, jest zobowiązany sporządzić informacje z zakresu ochrony danych osobowych, w szczególności o liczbie i charakterze incydentów związanych z przetwarzaniem danych osobowych.

Rozdział  17

Zdarzenia naruszające ochronę danych osobowych

§  24. 
1. 
W przypadku naruszenia ochrony danych osobowych należy bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłosić je organowi nadzorczemu. O zgłoszeniu naruszenia organowi nadzorczemu decyduje AD. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
2. 
Podmiot przetwarzający, w tym komórki organizacyjne w Centrali Kasy, oddziały regionalne i placówki terenowe, po stwierdzeniu naruszenia ochrony danych osobowych niezwłocznie, nie później niż w ciągu 48 godzin, zgłaszają o tym IOD.
3. 
Zgłoszenie, o którym mowa w ust. 2 powinno:
1)
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2)
zawierać imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać szczegółowe informacje;
3)
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4)
opisywać środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
4. 
IOD dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
5. 
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadamia się osobę, której dane dotyczą o takim naruszeniu.
6. 
Zawiadomienie, o którym mowa w ust. 5, nie jest wymagane, w następujących przypadkach:
1)
AD wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym dostępu do tych danych osobowych;
2)
AD zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby;
3)
wydany został publiczny komunikat, za pomocą którego osoby, których dane dotyczą zostają poinformowane w skuteczny sposób.
§  25. 
Rodzaje zagrożeń:
1)
zagrożenia losowe zewnętrzne np. klęski żywiołowe, przerwy w zasilaniu, wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana. Ich wystąpienie może prowadzić do utraty integralności danych i zniszczenia lub uszkodzenia infrastruktury technicznej systemu;
2)
zagrożenia losowe wewnętrzne np. niezamierzone pomyłki użytkowników lub ASI, awarie sprzętowe, błędy oprogramowania, pozostawienie serwisantów bez nadzoru. Skutkiem może być zniszczenie danych i zakłócenie ciągłości pracy systemu;
3)
zagrożenia zamierzone, tj.: świadome i celowe naruszenia poufności danych, praca przy komputerze osoby, która nie jest formalnie dopuszczona do jego obsługi. Może wystąpić nieuprawniony dostęp do systemu z zewnątrz lub wewnątrz, nieuprawniony przekaz danych osobowych, pogorszenie jakości sprzętu i oprogramowania;
4)
podmienienie albo zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych;
5)
naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji, np. nie wylogowanie się przed opuszczeniem stanowiska pracy, niezamknięcie pomieszczenia, w którym przetwarza się dane osobowe;
6)
rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji, np. pozostawienie danych osobowych w drukarce lub ksero, prace na danych osobowych w celach prywatnych, itp.;
7)
nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskach, pendrive'ach, płytach CD i DVD, taśmach magnetycznych, kartach pamięci oraz wydrukach komputerowych, np. otwarte szafy, biurka, regały, urządzenia archiwalne.

Rozdział  18

Zasady postępowania w sytuacji naruszenia ochrony danych osobowych w systemach informatycznych i na nośnikach tradycyjnych

§  26. 
1. 
Każdy pracownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie i na nośnikach tradycyjnych, zobowiązany jest do niezwłocznego poinformowania o tym przełożonego lub właściwego dla danego systemu ASI lub KBI, KZDO, CASI, którzy powiadamiają IOD, a ten z kolei powiadamia AD.
2. 
ASI, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony bazy danych osobowych zobowiązany jest do niezwłocznego:
1)
podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej do przetwarzanych danych osobowych, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych osobowych, w tym m.in.:
a)
fizycznego odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do danych osobowych osobie niepowołanej,
b)
wylogowania użytkownika podejrzanego o naruszenie ochrony danych osobowych,
c)
zmiany hasła konta ASI i użytkownika, poprzez którego uzyskano nielegalny dostęp;
2)
zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem oraz przekazania stosownych informacji odpowiednio IOD lub KBI, KZDO;
3)
jeżeli zasoby i funkcjonalności systemu na to pozwalają, wydrukowanie wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu okoliczności zdarzenia i jego skali;
4)
przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych osobowych itp.;
5)
przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie danych osobowych, odtworzenia ich z ostatniej kopii bezpieczeństwa.
3. 
Po ujawnieniu i potwierdzeniu incydentu z zakresu przetwarzania danych osobowych należy przeprowadzić postępowanie wyjaśniające, które przeprowadza:
1)
w Centrali Kasy - IOD lub inna osoba wskazana przez AD;
2)
w oddziale regionalnym i placówkach terenowych Kasy - KBI lub wyznaczona przez niego osoba.
4. 
W trakcie postępowania wyjaśniającego należy:
1)
ustalić czas wystąpienia naruszenia ochrony danych osobowych, jego zakres, skutki, przyczyny oraz wielkość szkód, które zaistniały;
2)
zabezpieczyć ewentualne dowody;
3)
ustalić ewentualne osoby odpowiedzialne za naruszenie;
4)
podjąć działania naprawcze (usunięcie skutków incydentu i ograniczenie szkody);
5)
zainicjować działania dyscyplinarne;
6)
sformułować wnioski i rekomendować działania korygujące, które będą zmierzać do wyeliminowania prawdopodobieństwa, że w przyszłości wystąpi podobny incydent w ochronie danych osobowych;
7)
udokumentować prowadzone postępowanie.

Rozdział  19

Dokumentacja dotycząca miejsca, sposobu i zakresu przetwarzanych danych osobowych w Kasie

§  27. 
1. 
Wykazy budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe opracowywane są przez KZDO i KBI.
2. 
Opracowane przez KZDO i KBI wykazy budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe przekazywane są do IOD. KZDO i KBI odpowiedzialni są za bieżącą aktualizację prowadzonego wykazu i przekazanie go po każdej zmianie do IOD.
§  28. 
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych stanowi załącznik nr 29 do Polityki bezpieczeństwa. Wskazany wykaz prowadzi IOD, który jest odpowiedzialny za jego aktualizację w uzgodnieniu z GASI.
§  29. 
Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi stanowi załącznik nr 30 do Polityki bezpieczeństwa. Za aktualizację ww. dokumentu odpowiedzialny jest CASI, który przekazuje go do IOD.
§  30. 
Opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi stanowi załącznik nr 31 do Polityki bezpieczeństwa. Za aktualizację ww. dokumentu odpowiedzialny jest CASI.
§  31. 
W Kasie prowadzony jest zbiorczy Wykaz zabezpieczeń fizycznych obiektów jednostek organizacyjnych Kasy, którego wzór stanowi załącznik nr 32 do Polityki bezpieczeństwa. Wykaz prowadzi IOD w Centrali Kasy, natomiast w oddziale regionalnym i podległych placówkach terenowych KBI, który przekazuje jego aktualizacje do IOD.

Rozdział  20

Zabezpieczenie pomieszczeń

§  32. 
1. 
Dostęp do budynków i pomieszczeń, w których przetwarzane są dane osobowe, zarówno w Centrali Kasy, jak i w oddziałach regionalnych i podległych placówkach terenowych Kasy, podlega kontroli dostępu, z uwzględnieniem lokalnych uwarunkowań.
2. 
Nadzór nad kontrolą dostępu do obiektów i pomieszczeń, w których przetwarzane są dane osobowe, sprawuje w Centrali Kasy Dyrektor Biura Administracji i Inwestycji, a w oddziale regionalnym i podległych placówkach terenowych Kasy KBI.
3. 
Kontrola dostępu polega na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia lub budynku oraz godzinę pobrania i zdania klucza.
4. 
Klucze do budynków lub pomieszczeń, w których przetwarzane są dane osobowe wydawane mogą być wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom upoważnionym do dostępu do tych budynków lub pomieszczeń.
5. 
Wszystkie pomieszczenia, w których przetwarza się dane osobowe, są zamykane na klucz. W przypadku opuszczenia w godzinach pracy pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych, jest on zobowiązany do zamknięcia pomieszczenia, a klucze powinien przechowywać przy sobie lub pozostawić w określonym w danej jednostce organizacyjnej Kasy miejscu wydawania i przechowywania kluczy.
6. 
Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych, obowiązany jest on umieścić zbiory danych osobowych występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania, a także dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym.
7. 
Dane osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (dysk przenośny, pendrive, płyta CD/DVD, karta pamięci), po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe - w szafach metalowych lub pancernych. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych.
8. 
W budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe mają prawo przebywać wyłącznie osoby upoważnione do dostępu lub przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem przetwarzania tych danych:
1)
w przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe - część, w której są przetwarzane dane osobowe powinna być wyraźnie oddzielona od ogólnodostępnej;
2)
wydzielenie części pomieszczenia, w której przetwarza się dane osobowe, może być w szczególności realizowane poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych, uniemożliwiające lub co najmniej ograniczające niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu.
9. 
W przypadku konieczności zniszczenia dokumentacji pomocniczej, w tym płyt CD i DVD, wytworzonej podczas opracowywania dokumentacji właściwej, dopuszcza się ich niszczenie przy wykorzystaniu niszczarek znajdujących się na wyposażeniu komórki/jednostki organizacyjnej, z zastrzeżeniem ust. 10.
10. 
W przypadku niszczenia dokumentów oraz płyt CD i DVD zawierających dane osobowe należy stosować niszczarki do dokumentów o poziomie bezpieczeństwa co najmniej P4, a niszczenie powinno odbywać się w sposób uniemożliwiający ich ponowne odtworzenie.
11. 
Sprzątanie pomieszczeń, w których przetwarzane są dane osobowe możliwe jest tylko w godzinach pracy, w obecności upoważnionych pracowników Kasy.
12. 
Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania, bez zabezpieczenia pomieszczenia oraz umiejscowionych w nim zbiorów danych osobowych, jest niedopuszczalne i będzie traktowane, jako ciężkie naruszenie podstawowych obowiązków pracowniczych.
13. 
W ramach systemu informatycznego należy stosować co najmniej:
1)
indywidualny identyfikator i hasło dla każdego użytkownika;
2)
system uprawnień;
3)
wygaszacz ekranu z hasłem.
14. 
W przypadkach, w których wymagany jest wyższy poziom bezpieczeństwa, zaleca się stosowanie dodatkowych środków bezpieczeństwa, np. szyfrowanie danych.

Rozdział  21

Zabezpieczenie przed nieautoryzowanym dostępem do baz danych osobowych

§  33. 
1. 
Podłączenie urządzenia końcowego (komputera, terminala, drukarki, urządzenia wielofunkcyjnego) do sieci komputerowej dokonywane jest przez osobę upoważnioną.
2. 
Udostępnianie użytkownikowi zasobów sieci (programów i baz danych), dokonywane jest przez ASI, na podstawie upoważnienia do przetwarzania danych osobowych.
3. 
Identyfikacja użytkownika w systemie dokonywana jest poprzez zastosowanie uwierzytelnienia.
4. 
Każdemu użytkownikowi systemu przydzielony jest indywidualny identyfikator, a każdorazowe zalogowanie się użytkownika jest rejestrowanie przez system.
5. 
Udostępnianie kluczy do pomieszczeń, w których przetwarzane są dane osobowe możliwe jest tylko upoważnionym pracownikom.
6. 
Konieczne jest stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach.
7. 
Konieczne jest zabezpieczenie hasłami kont użytkowników na komputerach oraz używanie kont z ograniczonymi uprawnieniami do ciągłej pracy.
8. 
Konieczne jest ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w przetwarzane dane osobowe osobom nieupoważnionym.
9. 
Wygaszanie ekranu i blokowanie nieużywanego komputera następuje ręcznie bądź automatycznie po upływie określonego czasu.
10. 
Wymuszanie zmiany hasła do systemu informatycznego następuje automatycznie.

Rozdział  22

Zabezpieczenie przed nieautoryzowanym dostępem do systemu informatycznego przez sieć WAN

§  34. 
1. 
Konieczne jest logiczne oddzielenie sieci wewnętrznej LAN od sieci WAN oraz zewnętrznej sieci Internet, uniemożliwiające uzyskanie nieautoryzowanego dostępu do systemu informatycznego z/spoza sieci LAN i z sieci Internet.
2. 
Zaleca się zastosowanie rozbudowanych poziomów zabezpieczeń sieci, w tym m.in.:
1)
pierwszy poziom ochrony, który stanowią lokalne listy kontroli dostępu (ACL) skonfigurowane na urządzeniach dostępowych zainstalowanych w węzłach sieci WAN;
2)
szyfrowanie sprzętowe lub programowe ruchu sieciowego, za pomocą którego przenoszone są informacje zawierające dane osobowe (szyfrowanie pomiędzy routerem węzła sieci WAN, a koncentratorem VPN w węźle centralnym sieci WAN);
3)
separację centralnego węzła sieci Internet od sieci WAN za pomocą specjalizowanych urządzeń typu firewall;
4)
separację węzła dostępu do instytucji zewnętrznych od sieci WAN za pomocą specjalizowanych urządzeń typu firewall.
§  35. 
1. 
Zabezpieczenie przed utratą danych osobowych w wyniku awarii następuje poprzez:
1)
przechowywanie kopii bezpieczeństwa następuje na dedykowanym deduplikatorze z ochroną danych osobowych przed zaszyfrowaniem;
2)
przechowywanie kopii bezpieczeństwa następuje w sejfie lub metalowej szafie we wskazanych pomieszczeniach dla wybranych systemów informatycznych;
3)
dedykowane zasilanie serwerów;
4)
ochronę serwerów przed zanikiem zasilania poprzez stosowanie zasilaczy zapasowych UPS;
5)
ochronę serwerów przed zanikiem zasilania poprzez stosowanie agregatów prądotwórczych;
6)
ochronę przed utratą zgromadzonych danych osobowych poprzez cykliczne wykonywanie kopii bezpieczeństwa, z których w przypadku awarii odtwarzane są dane osobowe oraz konfiguracja systemów operacyjnych i baz danych;
7)
ochronę przed awarią podsystemu dyskowego poprzez używanie macierzy dyskowych lub zapewnienie pracy dysków lokalnych w systemie RAID 1 wzwyż;
8)
zapewnienie właściwej temperatury i wilgotności powietrza dla pracy serwerów oraz innej infrastruktury, w tym węzłów sieci teleinformatycznych;
9)
zapewnienie wydzielenia pomieszczeń dla serwerów i innej infrastruktury, w tym urządzeń sieciowych;
10)
zastosowanie ochrony przeciwpożarowej.
2. 
W razie zgubienia lub kradzieży urządzenia przenośnego lub nośnika z danymi osobowymi, pracownik zobowiązany jest do natychmiastowego powiadomienia bezpośredniego przełożonego oraz Dyrektora Biura Administracji i Inwestycji (dotyczy pracowników Centrali Kasy) lub kierownika komórki organizacyjnej oddziału regionalnego Kasy prowadzącego ewidencję środków trwałych (dotyczy pracowników oddziałów regionalnych i placówek terenowych Kasy), który powiadamia IOD lub KBI.

Rozdział  23

Ciągłość działania

§  36. 
1. 
Budynki, w których znajdują się kluczowe elementy systemów informatycznych, powinny posiadać dwa źródła zasilania.
2. 
Kluczowe urządzenia są podłączone do urządzeń podtrzymujących napięcie (UPS), w celu umożliwienia bezpiecznego wyłączenia systemu w przypadku awarii zasilania oraz przełączenia źródła zasilania (tam, gdzie istnieje).
3. 
Ciągłość działania w przypadku awarii kluczowej infrastruktury informatycznej (np. serwerów) zapewniana jest poprzez wykupienie odpowiednich gwarancji zapewniających szybką eliminację skutków awarii.
4. 
Serwisowanie urządzeń i sprzętu związanego z bezpieczeństwem przetwarzania informacji powinno następować w możliwie krótkim czasie od wykrycia jego awarii.

Załącznik Nr  1

grafika

Załącznik Nr  2

grafika

Załącznik Nr  3

grafika

Załącznik Nr  4

grafika

Załącznik Nr  5

grafika

Załącznik Nr  6

grafika

Załącznik Nr  7

grafika

Załącznik Nr  8

grafika

Załącznik Nr  9

grafika

Załącznik Nr  10

grafika

Załącznik Nr  11

grafika

Załącznik Nr  12

grafika

Załącznik Nr  13

grafika

Załącznik Nr  14

grafika

Załącznik Nr  15

grafika

Załącznik Nr  16

grafika

Załącznik Nr  17

grafika

Załącznik Nr  18

grafika

Załącznik Nr  19

grafika

Załącznik Nr  20

grafika

Załącznik Nr  21

grafika

Załącznik Nr  22

grafika

Załącznik Nr  23

grafika

Załącznik Nr  24

grafika

Załącznik Nr  25

grafika

Załącznik Nr  26

grafika

Załącznik Nr  27

grafika

Załącznik Nr  28

grafika

Załącznik Nr  29

grafika

Załącznik Nr  30

grafika

Załącznik Nr  31

grafika

Załącznik Nr  32

grafika

ZAŁĄCZNIK Nr  2

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH W KASIE ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO

Rozdział  1

Postanowienia ogólne

§  1. 
Instrukcja określa przepisy mające na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych użytkowanych w Kasie.
§  2. 
Użyte w instrukcji określenia oznaczają:
1)
aplikacja - wydzielona i niezależna jednostka oprogramowania użytkowego przystosowana do instalowania i eksploatowania, jako składowa postaci eksploatacyjnej systemu informatycznego;
2)
platforma systemowa - środowisko eksploatacyjne tworzone przez oprogramowanie systemowe i narzędziowe;
3)
urządzenia - elementy tworzące infrastrukturę techniczną systemu informatycznego i urządzeń klienckich, a w szczególności:
a)
serwery,
b)
macierze dyskowe i biblioteki taśmowe,
c)
urządzenia aktywne sieci lokalnych i rozległych,
d)
urządzenia komputerowe i urządzenia peryferyjne;
4)
zbiór danych systemu informatycznego - każda forma przechowywania informacji w systemie informatycznym, a w szczególności:
a)
bazy danych lub systemy plików wykorzystywane przez systemy zarządzania bazami danych, służące do stałego składowania danych,
b)
informacje zarchiwizowane, w szczególności na macierzach, bibliotekach taśmowych oraz na nośnikach magnetycznych oraz magneto - optycznych w celu przechowywania długoterminowego.

Rozdział  2

Procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemach informatycznych oraz wskazanie osoby odpowiedzialnej za te czynności

§  3. 
1. 
Przy nadawaniu uprawnień do przetwarzania danych osobowych w systemach należy stosować dedykowaną do tego procedurę, opracowaną przez Biuro Informatyki i Telekomunikacji Centrali Kasy, publikowaną w ramach ZSZ.
2. 
Do przetwarzania zbiorów danych systemów dopuszcza się wyłącznie osoby uprawnione.
3. 
Założenie konta użytkownika, nadanie uprawnień, ich modyfikacja lub odwołanie następuje po zatwierdzeniu wniosku odpowiednio przez:
1)
AD lub działającego w jego imieniu IOD, wobec wszystkich pracowników Kasy;
2)
KZDO w Centrali Kasy - jeżeli wniosek dotyczy podległego mu pracownika;
3)
KBI - jeżeli wniosek dotyczy podległych mu pracowników w oddziale regionalnym i placówkach terenowych Kasy;
4)
osobę mogącą podjąć decyzje w procesie wnioskowania w ramach Zintegrowanego Systemu Informatycznego Kasy z wykorzystaniem aplikacji "Portal dla Pracowników", w oparciu o funkcjonalne tryby akceptacji i struktury przełożony - podwładny.
4. 
Niedopuszczalna jest praca w systemie na koncie innego użytkownika. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
§  4. 
Nadanie lub odebranie uprawnień osobie, która nie jest pracownikiem Kasy, aktora realizuje zadania na podstawie umowy powierzenia przetwarzania danych osobowych zawartej pomiędzy Kasą, a podmiotem zewnętrznym realizowane jest zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
§  5. 
1. 
Uprawnienia są niezwłocznie odbierane użytkownikowi, gdy nie są mu niezbędne do wykonywania powierzonych zadań.
2. 
ASI niezwłocznie blokuje użytkownikowi konto, w przypadku: rozwiązania lub wygaśnięcia stosunku pracy, odwołania jego upoważnienia oraz w sytuacji naruszenia bezpieczeństwa danych.
3. 
W sytuacji naruszenia bezpieczeństwa przetwarzania zbiorów danych w systemach informatycznych, bezpośredni przełożony pracownika wydaje ASI polecenie służbowe zablokowania konta użytkownika oraz zabezpieczenia wszelkich dowodów dotyczących zdarzenia.
§  6. 
Identyfikator konta użytkownika powinien:
1)
składać się z minimum sześciu znaków;
2)
być niepowtarzalnym w skali systemu;
3)
być przypisany tylko do jednego użytkownika.
§  7. 
Identyfikator konta użytkownika nie może być zmieniany, a po zablokowaniu konta nie może być wykorzystywany do identyfikowania innego użytkownika.

Rozdział  3

Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem

§  8. 
1. 
Wszystkie systemy przetwarzające dane osobowe w Kasie muszą być wyposażone w mechanizmy uwierzytelniania użytkownika oraz kontroli dostępu do danych.
2. 
Uwierzytelnianie użytkowników systemów Kasy musi być oparte na unikalnym identyfikatorze i haśle użytkownika.
§  9. 
1. 
Użytkownik jest zobowiązany zmienić hasło inicjujące pracę w systemie po pierwszym zalogowaniu się do systemu.
2. 
Hasło do pracy w systemie, tzw. hasło startowe, inicjuje ASI w obecności użytkownika, który następnie dokonuje zmiany na własne.
3. 
Zabrania się użytkownikowi udostępniania swoich haseł innym użytkownikom oraz przełożonym.
4. 
Hasło użytkownika musi być zmieniane, co najmniej raz na 30 dni.
§  10. 
1. 
Zobowiązuje się użytkowników do:
1)
używania haseł składających się z przemieszanych cyfr, wielkich i małych liter oraz znaków specjalnych, zawierających, co najmniej 12 pozycji;
2)
tworzenia hasła nie zawierającego więcej niż jedno powtórzenie tej samej litery lub cyfry;
3)
nieużywani a, jako hasła identyfikatora użytkownika;
4)
nietworzenia hasła mającego związek z danymi osobistymi użytkownika tzn. imieniem, nazwiskiem, przezwiskiem, pseudonimem, datą urodzenia zarówno jego jak i jego najbliższych osób, numerem telefonu, numerem dowodu osobistego, numerem rejestracyjnym samochodu, nazwami rzeczy itp.;
5)
nieużywania prostych sekwencji klawiszy, np. qwerty, 123abc;
6)
nietworzenia haseł podobnych do haseł używanych poprzednio;
7)
niewykorzystywania przykładowych haseł, zapożyczonych z książek omawiających problemy bezpieczeństwa;
8)
niestosowania tych samych haseł w kilku systemach.
2. 
Jeżeli dostęp do danych przetwarzanych w systemach informatycznych posiadają, co najmniej dwie osoby, wówczas należy zapewnić, aby:
1)
w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
2)
dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Rozdział  4

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

§  11. 
Założenie konta użytkownika, nadanie uprawnień, modyfikacja upoważnień użytkownika do systemu odbywa się zgodnie z § 3 Instrukcji.
§  12. 
1. 
Użytkownicy są zobowiązani do postępowania zgodnego z obowiązującymi instrukcjami, podręcznikami i procedurami dotyczącymi administrowania, eksploatacji i użytkowania systemów oraz stosowania się do zaleceń ASI.
2. 
Na wszystkich urządzeniach dopuszcza się instalację tylko legalnego, licencjonowanego oprogramowania.
3. 
Zakończenie pracy w systemie służącym do przetwarzania danych osobowych następuje poprzez wy logowanie się z tego systemu.
4. 
Pomieszczenia lub części pomieszczeń, w których są przetwarzane dane osobowe przy wykorzystaniu systemów, muszą znajdować się w obszarze ograniczonego i kontrolowanego dostępu.
5. 
Budynki i pomieszczenia lub części pomieszczeń w Centrali Kasy, w których są przetwarzane dane osobowe z użyciem sprzętu komputerowego określają kierownicy komórek organizacyjnych Centrali Kasy.
6. 
Budynki i pomieszczenia lub części pomieszczeń w oddziałach regionalnych i placówkach terenowych Kasy, w których są przetwarzane dane osobowe z użyciem urządzeń określają dyrektorzy oddziałów regionalnych oraz kierownicy placówek terenowych Kasy.
7. 
Drzwi do pomieszczeń, w których są przetwarzane dane osobowe muszą być wyposażone w odpowiednie zabezpieczenia: zamki lub czytniki kart magnetycznych.
8. 
Drzwi do pomieszczeń, w których są przetwarzane dane osobowe muszą być zamykane podczas każdego wyjścia z tych pomieszczeń wszystkich osób w nich pracujących.
9. 
W pomieszczeniach, w których przetwarzane są dane osobowe, osoby postronne mogą przebywać tylko w obecności osób w nich zatrudnionych.
10. 
Dopuszcza się możliwość używania urządzeń przenośnych np. komputerów przenośnych, pendrive i tabletów do wykonywania zadań służbowych związanych z przetwarzaniem danych osobowych, także poza siedzibą Kasy.
11. 
Zabrania się używania sprzętu służbowego wskazanego w ustępie 1 do celów prywatnych, w tym korzystania z otwartych sieci wifi.

Rozdział  5

Procedury tworzenia kopii bezpieczeństwa zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

§  13. 
1. 
Obowiązkowo należy tworzyć kopie bezpieczeństwa następujących plików:
1)
platformy systemowej;
2)
serwerów aplikacyjnych;
3)
baz danych;
4)
danych użytkowników.
2. 
Częstotliwości i sposób tworzenia kopii bezpieczeństwa określone są w dedykowanej do tego procedurze, opracowanej przez Biuro Informatyki i Telekomunikacji Centrali Kasy, publikowanej w ramach ZSZ.
3. 
W procesie tworzenia kopii bezpieczeństwa należy uwzględniać proces starzenia się elektronicznych nośników informacji oraz warunków ich pracy i przechowywania. Zaleca się, w celu zmniejszenia wpływu tego procesu, stosowanie jednej z dwóch zasad wymiany nośnika na nowy:
1)
czasowej - po określonym czasie użytkowania;
2)
ilościowej - po wykonaniu określonej liczby zapisów.
§  14. 
1. 
Za sporządzanie kopii bezpieczeństwa zbiorów danych, ich weryfikację i poprawność odczytu odpowiedzialny jest ASI systemu służącego do przetwarzania danych osobowych.
2. 
Kopia bezpieczeństwa przechowywana jest na serwerze lub innym dedykowanym do tego celu urządzeniu np. biblioteka taśmowa, macierz dyskowa lub na innym przystosowanym do tego nośniku informacji, w zamykanym pomieszczeniu, poza dostępem osób nieupoważnionych.
3. 
Bazy z danymi osobowymi, jako kopie bezpieczeństwa na nośnikach, po ustaniu ich użyteczności powinny być z nich usunięte, a gdy nie jest to możliwe, nośniki danych uszkadza się fizycznie, w sposób uniemożliwiający odczytanie zapisanych danych. Z tych czynności ASI sporządza protokół/notatkę.

Rozdział  6

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii bezpieczeństwa

§  15. 
Przechowywanie nośników informacji zawierających dane osobowe musi odbywać się w warunkach zapewniających ochronę, znajdujących się na tych nośnikach danych osobowych, przed ich ujawnieniem osobom nieupoważnionym, przejęciem przez osobę nieuprawnioną, nieuprawnioną zmianą, uszkodzeniem lub zniszczeniem.
§  16. 
1. 
Nośniki informacji przeznaczone do przechowywania danych osobowych muszą charakteryzować się trwałością zapisu, odpowiednią do planowanego okresu przechowywania na nich danych.
2. 
Warunki środowiskowe pomieszczeń, w których przechowuje się nośniki informacji zawierające dane osobowe, muszą odpowiadać wymaganiom określonym przez ich producenta.
3. 
Oznaczenie nośników informacji powinno umożliwiać identyfikację zawartości nośnika bez konieczności używania urządzeń do ich odczytu.
§  17. 
1. 
Za prawidłowość oznakowywania i przechowywania nośników informacji odpowiada wykonujący kopię bezpieczeństwa.
2. 
Prawidłowość oznakowywania i przechowywania nośników informacji kontrolują: w Centrali Kasy -CASI, a w oddziale regionalnym i placówkach terenowych Kasy - KBI lub wyznaczeni przez nich pracownicy.
§  18. 
1. 
Nośniki informacji zawierające kopie bezpieczeństwa muszą być oznaczone w sposób umożliwiający identyfikację zawartości nośnika, a oznaczenie musi wyraźnie wskazywać, że nośniki te zawierają kopie bezpieczeństwa. Trwałe oznaczenie nie będzie stosowane dla automatycznych bibliotek taśmowych i macierzy dyskowych.
2. 
Do kopii bezpieczeństwa musi być dołączony opis identyfikujący zawartość kopii.
§  19. 
1. 
Ewidencja kopii bezpieczeństwa na nośnikach zewnętrznych powinna zawierać, co najmniej następujące informacje:
1)
oznaczenie i rodzaj nośnika;
2)
imię i nazwisko osoby wykonującej kopię lub osoby przekazującej kopię do przechowywania;
3)
datę i godzinę wykonania lub przyjęcia kopii;
4)
opis zawartości kopii;
5)
datę wydania kopii i nazwisko osoby pobierającej.
2. 
Za prowadzenie ewidencji kopii bezpieczeństwa odpowiedzialny jest ASI danego systemu. Ewidencja może być prowadzona w formie elektronicznej lub z wykorzystaniem specjalistycznego oprogramowania narzędziowego dedykowanego do tworzenia i zarządzania kopiami bezpieczeństwa.
§  20. 
1. 
Pomieszczenia służące do przechowywania kopii bezpieczeństwa powinny być
2. 
Kopie bezpieczeństwa należy przechowywać w sejfach lub odpowiednio zabezpieczonych szafach metalowych.
3. 
Sejfy i szafy przeznaczone do przechowywania kopii bezpieczeństwa powinny umożliwiać przechowywanie tych kopii w sposób uporządkowany.
4. 
Dostęp do kopii bezpieczeństwa mogą mieć wyłącznie osoby odpowiedzialne za przechowywanie tych kopii i ich przełożeni.
§  21. 
1. 
Podczas tworzenia kopii bezpieczeństwa należy dokonywać weryfikacji poprawności zapisu i ich przydatności do odczytu w przyszłości.
2. 
Weryfikacji poprawności kopii bezpieczeństwa pod kątem ich dalszej przydatności do odtworzenia danych, dokonują ASI.
3. 
ASI prowadzą ewidencję dokonanych sprawdzeń kopii bezpieczeństwa pod kątem ich dalszej przydatności do odtworzenia danych w wypadku awarii systemu. Dopuszczalną formą prowadzenia ewidencji wskazanych sprawdzeń jest jej prowadzenie w rejestrze kopii.
§  22. 
Opakowania, w których przetrzymywane są kopie bezpieczeństwa, powinny zabezpieczać je przed zniszczeniem lub uszkodzeniem oraz powinny być oznaczone w sposób umożliwiający identyfikację nośników zawierających dane osobowe.
§  23. 
1. 
Za prawidłowość tworzenia, przechowywania, konserwacji i wykorzystywania kopii bezpieczeństwa odpowiada ASI.
2. 
Prawidłowość tworzenia, przechowywania, konserwacji i wykorzystywania kopii kontrolują w Centrali Kasy - CASI, a w oddziale regionalnym i placówkach terenowych Kasy - KBI lub wyznaczeni przez nich pracownicy.

Rozdział  7

Usuwanie danych osobowych zapisanych na nośnikach informacji

§  24. 
1. 
Dane osobowe przechowywane na nośnikach informacji powinny być z nich usuwane (uwzględniając ograniczenia technologiczne) w momencie ustania przyczyn, dla których zostały na tych nośnikach zapisane lub po upływie czasu przewidzianego do ich przechowywania.
2. 
Dane osobowe zapisane na nośnikach informacji należy usuwać, gdy sprzęt, w którym są zainstalowane jest przekazywany podmiotom nieuprawnionym do dostępu do tych danych.
§  25. 
1. 
Usunięcia danych zapisanych na nośnikach informacji dokonują osoby, które dysponują tymi nośnikami lub osoby przez nie upoważnione.
2. 
Usunięcia danych zapisanych na nośnikach informacji, zarówno papierowych jak i elektronicznych, dokonuje się poprzez fizyczne niszczenie nośników informacji lub poprzez modyfikację zapisanych na nośnikach danych, w taki sposób, aby nie było możliwe ustalenie tożsamości osoby, której dane dotyczą.
3. 
Usunięcie danych zapisanych na papierowych nośnikach informacji poprzez modyfikację można dokonywać zamalowując lub zacierając informacje w taki sposób, aby nie było możliwe ustalenie tożsamości osoby. której dane dotyczą.
4. 
Niszczenie papierowych nośników informacji w szczególności należy realizować w niszczarce dokumentów o poziomie bezpieczeństwa co najmniej P4.

Rozdział  8

Sposób zabezpieczenia systemu informatycznego przed działalności oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych

§  26. 
Za zorganizowanie skutecznego systemu ochrony przed szkodliwym oprogramowaniem w poszczególnych systemach odpowiedzialni są ASI.
§  27. 
1. 
Oprogramowanie antywirusowe i firewall należy instalować na tych urządzeniach, wchodzących w skład eksploatowanych w Kasie systemów, które są narażone na działanie oprogramowania szkodliwego, a w szczególności na tych, które mają dostęp do sieci publicznej Internet.
2. 
Oprogramowanie antywirusowe i firewall musi być systematycznie aktualizowane. Za aktualność oprogramowania odpowiada ASI.
§  28. 
1. 
Do identyfikowania sytuacji powstawania zagrożeń ze strony szkodliwego oprogramowania oraz przeciwdziałania tym zagrożeniom zobowiązani są wszyscy użytkownicy.
2. 
Użytkownicy muszą zwracać uwagę na nietypowe zachowania systemu informatycznego, takie jak: nieoczekiwane efekty dźwiękowe, nieznane nowe pliki lub foldery, nagłe zmniejszenie się wolnego miejsca na dysku, niespodziewane komunikaty itp. oraz zgłaszać takie sytuacje ASI.
3. 
Kontynuowanie pracy przez użytkowników, po wykryciu wirusów komputerowych, jest dopuszczalne tylko wtedy, gdy program antywirusowy automatycznie usunie zagrożenie, bez konieczności interwencji ASI.
4. 
Wypadki wykrycia wirusów komputerowych, które nie dają się usunąć przy pomocy dostępnego oprogramowania antywirusowego, użytkownicy zgłaszają do ASI, którzy odłączają zawirusowane urządzenie od systemu do czasu usunięcia wirusa.
§  29. 
1. 
ASI, któremu zostało zgłoszone wykrycie szkodliwego oprogramowania komputerowego w systemie, dokonuje jego usunięcia z zainfekowanego urządzenia przy użyciu licencjonowanego oprogramowania antywirusowego, wykonując zalecenia producenta oprogramowania antywirusowego lub własną procedurę naprawczą.
2. 
ASI są zobowiązani dokonywać, nie rzadziej niż raz w tygodniu, kontroli antywirusowych całego systemu plików na serwerach poszczególnych systemów informatycznych.
§  30. 
Nośniki informacji, wpływające z zewnątrz do jednostek organizacyjnych Kasy, podlegają obowiązkowej kontroli antywirusowej. W przypadku niezaufanego źródła, kontrolę należy wykonać na odseparowanym od sieci wewnętrznej urządzeniu.

Rozdział  9

Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia

§  31. 
1. 
W systemie służącym do przetwarzania danych osobowych odnotowywane są informacje o odbiorcach danych, a w szczególności imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia.
2. 
W przypadku, gdy w systemie służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, KZDO w Centrali Kasy oraz KBI w oddziale regionalnym i placówkach terenowych Kasy lub wyznaczeni przez nich pracownicy, odnotowują w rejestrze udostępnienia danych osobowych.
3. 
Rejestr prowadzony jest zgodnie z załącznikiem nr 8 do Polityki bezpieczeństwa. Rejestr może być prowadzony w formie elektronicznej.

Rozdział  10

Procedury dokonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

§  32. 
Dokonywanie przeglądów i konserwacji urządzeń należy realizować w oparciu o dedykowaną do tego procedurę, opracowaną przez Biuro Informatyki i Telekomunikacji Centrali Kasy, publikowaną w ramach ZSZ.
§  33. 
1. 
Przeglądy i konserwacje urządzeń realizowane są zgodnie z zaleceniami producenta oraz bieżącymi potrzebami, a także w wypadkach, gdy zostanie stwierdzone naruszenie bezpieczeństwa systemu informatycznego.
2. 
Przeglądy i konserwacje urządzeń mogą być dokonywane przez wyspecjalizowane komórki w Kasie albo jednostki serwisowe spoza Kasy w ramach gwarancji producenta, a także przez jednostki serwisowe, z którymi Kasa ma zawarte umowy na świadczenie takich usług.
3. 
We wszystkich umowach na zakup i serwisowanie sprzętu informatycznego konieczne jest zawarcie klauzuli gwarantującej pozostawienie w Kasie nośników danych zawierającego dane, a w szczególności dane osobowe.

Rozdział  11

Sposób postępowania w zakresie komunikacji w sieciach komputerowych

§  34. 
W przypadku outsourcingu usług sieci WAN, za zarządzanie siecią odpowiedzialny jest operator sieci, zgodnie z obowiązującą umową na usługi operatorskie sieci WAN.
§  35. 
Za zarządzanie komunikacją w sieciach komputerowych Kasy oraz zapewnienie ciągłego, bezawaryjnego i bezpiecznego ich funkcjonowania są odpowiedzialni ASI zarządzający tymi sieciami według właściwości miejscowej.
§  36. 
Zabrania się użytkownikom:
1)
nawiązywania połączeń lub prób nawiązywania połączeń z systemami, do których obsługi lub użytkowania nie posiadają upoważnień;
2)
udostępniania osobistego konta innym osobom;
3)
instalowania wszelkiego oprogramowania na komputerach, jeżeli nie posiadają do tego upoważnień.
§  37. 
Użytkownik dopuszczony do korzystania z usług systemu Kasy, musi być przeszkolony przez ASI w zakresie:
1)
inicjowania pracy komputerów pracujących w sieci (włączanie i wyłączanie komputera, logowanie się do systemu, wylogowanie się z systemu, korzystanie z aplikacji, zmiana i dobór hasła) oraz wykorzystywania urządzeń telekomunikacyjnych;
2)
postępowania w wypadku wykrycia awarii lub wystąpienia nietypowych zdarzeń (niemożność zalogowania się, korzystanie przez nieznaną osobę z konta itp.).
§  38. 
ASI odpowiedzialni za funkcjonowanie sieci lokalnych dbają o właściwy sposób monitorowania sieci. Do ich zadań należy w szczególności:
1)
systematyczne przeglądanie logów systemowych z urządzeń w celu wychwycenia nietypowych zdarzeń;
2)
reakcja na zgłoszenia użytkowników o nietypowych zachowaniu się eksploatowanego systemu informatycznego;
3)
dbanie o zabezpieczenia fizyczne węzłów sieci (switche, routery itp.) uniemożliwiające dostęp do nich przez osoby niepowołane.
§  39. 
ASI odpowiedzialni za funkcjonowanie sieci lokalnych dbają o to, aby informacja dotycząca rodzaju serwerów, urządzeń telekomunikacyjnych, teletransmisyjnych, sposobu połączeń i systemu łączności była chroniona.
§  40. 
Nadzór nad funkcjonowaniem procedur przyznawania uprawnień do korzystania z usług Internetu i poczty elektronicznej oraz procedur cofania lub zawieszania tych uprawnień sprawują:
1)
w Centrali Kasy - Dyrektor i Wicedyrektorzy Biura Informatyki i Telekomunikacji;
2)
w oddziałach regionalnych i placówkach terenowych Kasy - dyrektorzy oddziałów regionalnych Kasy i ich zastępcy.

Rozdział  12

Postanowienia końcowe

§  41. 
1. 
W razie stwierdzenia lub podejrzenia zaistnienia zdarzenia zagrażającego bezpieczeństwu systemu informatycznego należy postąpić zgodnie z procedurami obowiązującymi w Kasie.
2. 
Przestrzeganie postanowień niniejszej instrukcji przez użytkowników stanowi podstawę bezpiecznego posługiwania się systemami informatycznymi Kasy.

ZAŁĄCZNIK Nr  3

OŚWIADCZENIE O POUFNOŚCI

grafika
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .