Stowarzyszenie Archiwistów Polskich
Home   Polityka bezpieczeństwa

Polityka bezpieczeństwa

Polityka bezpieczeństwa informacji
Stowarzyszenia Archiwistów Polskich

 

Stowarzyszenie Archiwistów Polskich (SAP) przykłada bardzo dużą wagę do ochrony informacji powierzonych mu przez klientów na przechowanie, jak również do ochrony informacji przekazanych mu przez jego członków i pracowników do celów realizacji ustawowych i statutowych celów Stowarzyszenia. Wysiłek włożony w zapewnienie tej ochrony procentuje zaufaniem klientów, członków i pracowników, pozwala rzetelnie i sprawnie realizować świadczone usługi.

Główne cele SAP w tym obszarze to zapewnienie ciągłości świadczenia usług dla klientów, zapewnienie poufności przetwarzanych informacji oraz ochrona przed ich nieuprawnionym lub przypadkowym zniszczeniem.

Realizacji tych celów służą wewnętrzne regulacje  tworzące system ochrony danych osobowych oraz system zapewnienia ciągłości działania. Oprócz przeciwdziałania zidentyfikowanym w procesie szacowania ryzyka zagrożeniom dla przetwarzanych informacji, regulacje te pozwalają na wywiązanie się z obowiązków, jakie nakładają na SAP normy prawne i wymagania kontraktowe.

W Stowarzyszeniu przyjęta jest do stosowania Polityka bezpieczeństwa danych osobowych (dalej: Polityka). Stanowi ona zestaw obowiązujących zasad i dobrych praktyk regulujących sposób przetwarzania i ochrony danych osobowych w SAP, zarówno metodami tradycyjnymi, jak i w systemach informatycznych. Uzupełnieniem tej polityki są szczegółowe instrukcje i procedury dotyczące poszczególnych aspektów przetwarzania danych osobowych.

Wszyscy pracownicy oraz inne osoby upoważnione do przetwarzania danych osobowych w SAP mają obowiązek zapoznania się z postanowieniami Polityki i postępowania zgodnie z jej postanowieniami a także zapoznania się i postępowania zgodnie z postanowieniami innych zatwierdzonych instrukcji i procedur dotyczących przetwarzania danych osobowych, w zakresie w jakim te instrukcje i procedury zostały im udostępnione. Udostępnienie instrukcji i procedur następuje na podstawie decyzji Dyrektora Biura Zarządu Głównego SAP. Pracownicy Archiwum SAP zobowiązani są do corocznego przeglądu i akceptacji w/w dokumentów.

Informacje zawarte w Polityce, instrukcjach i procedurach dotyczą sposobów zabezpieczenia danych osobowych w SAP. Pracownicy oraz inne osoby, którym te informacje udostępniono zobowiązane są do zachowania ich w tajemnicy. Postanowienia dot. przetwarzania i ochrony danych osobowych są elementem organizacji i porządku pracy w SAP.

Zgodnie z Polityką, w SAP obowiązują następujące zakresy odpowiedzialności w obszarze przetwarzania danych osobowych:

Prezes SAP jest odpowiedzialny za wypełnienie przez SAP ustawowych obowiązków ciążących na Stowarzyszeniu Archiwistów Polskich jako administratorze danych.

Dyrektor Biura Zarządu Głównego SAP jest odpowiedzialny za całokształt zarządzania bezpieczeństwem informacji i zarządzanie ryzykiem, nadzór nad przetwarzaniem danych osobowych oraz realizowanie uprawnień osób, których dane są przetwarzane.

Administrator Systemów Informatycznych (ASI) jest odpowiedzialny za wdrożenie i utrzymanie zabezpieczeń informatycznych oraz bieżące zarządzanie systemami informatycznymi.

Inspektor Ochrony Danych (IOD) jest odpowiedzialny za monitorowanie przestrzegania przepisów dotyczących przetwarzania i ochrony danych osobowych, nadzór nad wdrożonymi zabezpieczeniami, informowanie o spoczywających na administratorze i pracownikach obowiązkach z zakresu ochrony danych osobowych oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą.

Prezes Oddziału SAP jest odpowiedzialny za nadzór nad przestrzeganiem przepisów dotyczących przetwarzania i ochrony danych osobowych oraz wdrożenie i nadzór nad skutecznością zabezpieczeń w podległym mu Oddziale.

Pracownicy SAP są odpowiedzialni za przestrzeganie postanowień polityki a także innych przyjętych do stosowania w SAP instrukcji i procedur w zakresie, w jakim zostały im udostępnione.

Do przetwarzania danych osobowych mogą być dopuszczone tylko osoby, którym nadano upoważnienie do przetwarzania takich danych i które zobowiązały się do zachowania tajemnicy. Upoważnienia w imieniu SAP nadaje Dyrektor Biura Zarządu Głównego SAP. Pracownicy przyjmowani do pracy i upoważnieni do przetwarzania danych osobowych są szkoleni z zakresu swoich obowiązków wynikających z systemu ochrony danych osobowych przed dopuszczeniem do przetwarzania danych osobowych.

Wszyscy pracownicy SAP oraz inne osoby, które przetwarzają dane osobowe w imieniu SAP, zobowiązani są do przestrzegania podstawowych zasad przetwarzania takich danych:

  • zgodności z prawem, rzetelności i przejrzystości,
  • związania celem przetwarzania,
  • minimalizacji danych,
  • adekwatności i prawidłowości,
  • poufności i integralności,
  • ograniczenia czasu przetwarzania,
  • rozliczalności,
  • uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Tymi zasadami mają obowiązek kierować się osoby pełniące funkcje kierownicze, pozostali pracownicy oraz inne osoby upoważnione do przetwarzania danych osobowych, zarówno podczas projektowania systemów i procesów przetwarzania danych osobowych, negocjowania umów z klientami i wykonawcami jak i podczas codziennego wykonywania obowiązków, mając na względzie prawa i wolności osób, których dane będą lub są przetwarzane. Szczegółowe sposoby implementacji tych zasad znajdują się w odrębnych instrukcjach i procedurach przyjętych do stosowania w SAP.

Dokumentacja systemu ochrony danych osobowych podlega regularnym przeglądom pod kątem jej aktualności.

W obszarze zapewnienia ciągłości działania podstawowym dokumentem jest przyjęty do stosowania dokument pt. Plany awaryjne na wypadek występowania sytuacji nadzwyczajnych w Archiwum SAP (dalej: Plany awaryjne). Jego postanowienia mają na celu zminimalizowanie strat związanych z wystąpieniem sytuacji zakłócającej działalność Archiwum SAP oraz zapewnienie jak najszybszego powrotu do właściwego funkcjonowania tego Archiwum.

Każdy pracownik pisemnie oświadcza, że zapoznał się z Planami awaryjnymi i zobowiązuje się do postępowania zgodnie z ich postanowieniami.

Plany awaryjne regulują sposób postępowania w przypadku wystąpienia szeregu zidentyfikowanych zagrożeń, od pożaru i katastrofy budowlanej, po awarię samochodu lub systemu informatycznego. Opisują również sposób lub sposoby postępowania w celu zapobieżenia wystąpieniu zagrożeń.

Plany awaryjne podlegają regularnym przeglądom pod kątem ich aktualności.