Załącznik nr do Zarządzenia nr z dnia 2014-02-13



Pobieranie 110,25 Kb.
Data24.02.2018
Rozmiar110,25 Kb.

Załącznik nr 4

Umowa o powierzenie przetwarzania danych osobowych

  1. Przedmiot umowy:

Przedmiotem niniejszej umowy (porozumienia) jest powierzenie, na podstawie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej Ustawą, przez ORANGE POLSKA S.A., która jest administratorem danych, do przetwarzania (w tym miejscu należy określić podmiot, któremu powierzamy dane do przetwarzania) danych osobowych (np. abonentów ORANGE POLSKA S.A.).


  1. Oświadczenia ORANGE POLSKA S.A.:

    1. ORANGE POLSKA S.A. oświadcza, że powierzone dane nie ujawniają, bezpośrednio ani w jakimkolwiek kontekście, danych osobowych wymienionych w art. 27 ust. 1 Ustawy (zapis nie ma zastosowania w sytuacji, gdy zakresem powierzonych danych objęte są dane wymienione we wskazanym przepisie).

    2. ORANGE POLSKA S.A. oświadcza, że przetwarza powierzane dane osobowe, zgodnie z prawem i jest uprawniona do ich powierzenia Kontrahentowi.

    3. Powierzone dane osobowe stanowią tajemnicę telekomunikacyjną w rozumieniu ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz.1800 z późn. zm.) (wpisujemy, o ile powierzone dane stanowią tajemnicę telekomunikacyjną).




  1. Cel, zakres i sposób przetwarzania powierzonych danych osobowych:

    1. powierzone dane osobowe będą przetwarzane przez Kontrahenta w celu ......................

    2. przetwarzanie danych jest konieczne do wykonywania przez Kontrahenta następujących czynności:

      1. ……………………………………

      2. ……………………………………

      3. ……………………………………

    3. ORANGE POLSKA S.A. powierza Kontrahentowi do przetwarzania następujący zakres danych osobowych:

  1. ……………..

  2. …………….

  3. …………….

  4. …………….

    1. powierzone dane osobowe będą przez Kontrahenta przetwarzane:

a) w następujących miejscach: ............... (wskazanie miejsca przetwarzania danych – miejscowość, ulica, nr domu, nr lokalu/pokoju),
Opcjonalnie:

(w przypadku, gdy w momencie zawarcia umowy nie jest możliwe wskazanie konkretnych miejsc, gdzie będą przetwarzane powierzone dane osobowe) ewidencja miejsc przetwarzania danych osobowych znajduje się w ………………… (wskazanie, gdzie będą przechowywane informacje o aktualnych miejscach przetwarzania powierzonych danych – miejscowość, ulica, nr domu, nr lokalu/pokoju),
b) w sposób tradycyjny w formie…………… (tj. w formie papierowej, kartotek, spisów itp.- wpisać, jeżeli takie przetwarzanie będzie miało miejsce),
c) z użyciem systemu teleinformatycznego ……………………. (nazwa systemu teleinformatycznego) stanowiącego własność ………… (wpisać, czy ORANGE POLSKA S.A., czy Kontrahenta, ewentualnie innego podmiotu będącego np. podwykonawcą Kontrahenta). O zmianie systemów teleinformatycznych i miejsc przetwarzania powierzonych danych Strony będą się wzajemnie powiadamiać w formie ustalonej do kontaktów w ramach realizacji niniejszej umowy. Zmiany, o których mowa w zdaniu poprzedzającym, stają się skuteczne z chwilą doręczenia powiadomienia o nich drugiej Stronie, z zastrzeżeniem, że zmiana dokonywana przez Kontrahenta będzie wymagała akceptacji ORANGE POLSKA S.A.

W przypadku wielu systemów teleinformatycznych, wielu miejsc przetwarzania danych osobowych, dużego zakresu powierzonych danych, można te informacje umieścić w załączniku do umowy powierzenia.


  1. Zobowiązania Kontrahenta:

    1. Kontrahent zobowiązuje się wykonywać niniejszą umowę z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów ORANGE POLSKA S.A. w zakresie przetwarzania powierzonych danych osobowych.

    2. Kontrahent zobowiązuje się do wykorzystania powierzonych danych osobowych w celu, zakresie i na zasadach określonych w niniejszej umowie, Ustawie i wydanych na jej podstawie aktach wykonawczych.

    3. w czasie realizacji niniejszej umowy Kontrahent zobowiązuje się do współdziałania z ORANGE POLSKA S.A. w procesie przetwarzania powierzonych danych osobowych, w tym informowania o wszelkich okolicznościach mających lub mogących mieć wpływ na jej wykonanie, oraz do stosowania się do instrukcji i zaleceń ORANGE POLSKA S.A. dotyczących powierzonych danych osobowych.

    4. system teleinformatyczny, w którym będą przetwarzane powierzone dane osobowe spełnia wymogi wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), zwanym dalej Rozporządzeniem, odpowiednie do wymaganego w niniejszym przypadku poziomu bezpieczeństwa przetwarzania powierzonych danych osobowych. Wymagania techniczne i organizacyjne dla Systemów Teleinformatycznych przetwarzających dane osobowe stanowią Załącznik nr 1 do niniejszej umowy.

    5. Kontrahent zobowiązuje się zastosować, zgodnie z art. 36 – 39 Ustawy, środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych osobowych ich zabezpieczenie, w szczególności zobowiązuje się zabezpieczyć powierzone dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

    6. Kontrahent będzie prowadził ewidencję osób upoważnionych do przetwarzania powierzonych danych osobowych, a także zaznajomi ich z treścią przepisów i zasad w zakresie ochrony danych osobowych, w szczególności:

a) Ustawą,

b) Rozporządzeniem,

oraz odpowiedzialnością karną i cywilną za ich nie przestrzeganie.

Ewidencja osób będzie dostępna w …………..(miejsce wskazane przez Kontrahenta, możliwe do skontrolowania przez ORANGE POLSKA S.A.) na każde żądanie ORANGE POLSKA S.A.



    1. osoby wykonujące umowę w imieniu Kontrahenta zostaną zobowiązane do zachowania w tajemnicy powierzonych danych osobowych oraz sposobów ich zabezpieczenia, poprzez podpisanie przed dopuszczeniem do ich przetwarzania oświadczenia. Kopie podpisanych oświadczeń będą dostępne w………………………… (miejsce wskazane przez Kontrahenta, możliwe do skontrolowania przez ORANGE POLSKA S.A.) na każde żądanie ORANGE POLSKA S.A.

    2. Kontrahent zobowiązuje się zachować w tajemnicy wszelkie informacje związane z powierzeniem danych osobowych oraz powierzone dane osobowe, w ramach wykonywania niniejszej umowy w trakcie jej realizacji, jak również bezterminowo po wygaśnięciu lub rozwiązaniu umowy.

    3. Kontrahent zobowiązuje się, niezwłocznie po uzyskaniu informacji w tym przedmiocie, nie później jednak niż w ciągu 4 godzin, powiadomić ORANGE POLSKA S.A. o:

      1. kontroli zgodności przetwarzania powierzonych danych osobowych z przepisami o ochronie danych osobowych przeprowadzanej przez GIODO u Kontrahenta,

      2. wydanych przez GIODO decyzjach administracyjnych i rozpatrywanych skargach w sprawach wykonania przez Kontrahenta przepisów o ochronie danych osobowych dotyczących powierzonych danych,

      3. innych działaniach uprawnionych organów wobec powierzonych danych osobowych,

      4. innych zdarzeniach mających wpływ na przetwarzanie powierzonych danych osobowych, w szczególności o wszystkich przypadkach naruszenia powierzonych danych osobowych.

    1. informacje, o których mowa w pkt 9 powyżej, Kontrahent zobowiązany jest wysłać na adres email: incydent.incydent@orange.com.

    2. w przypadku, o którym mowa w pkt 9 lit. d powyżej, minimalny zakres informacji, do przekazania których zobowiązany jest Kontrahent, obejmuje:

  1. datę i godzinę zdarzenia (jeśli jest znana; w razie potrzeby możliwe jest określenie w przybliżeniu),

  2. opis charakteru i okoliczności naruszenia danych osobowych (w tym wskazanie, na czym polegało naruszenie, określenie miejsca, w którym fizycznie doszło do naruszenia, wskazanie nośników, na których znajdowały się dane będące przedmiotem naruszenia),

  3. charakter i treść danych osobowych, których dotyczyło naruszenie,

  4. liczbę osób, których dotyczyło naruszenie,

  5. opis potencjalnych konsekwencji i niekorzystnych skutków naruszenia danych osobowych dla osób, których dane dotyczą,

  6. opis środków technicznych i organizacyjnych, które zostały lub mają być zastosowane w celu złagodzenia potencjalnych niekorzystnych skutków naruszenia danych osobowych,

  7. dane kontaktowe do osoby, od której można uzyskać więcej informacji na temat zgłoszonego naruszenia danych osobowych.

    1. w przypadku dalszego powierzenia przez Kontrahenta podwykonawcy przetwarzania powierzonych Kontrahentowi przez ORANGE POLSKA S.A. danych osobowych, niezbędne jest zawarcie pisemnej umowy między Kontrahentem a jego podwykonawcą, zapewniającej powierzanym danym osobowym ochronę nie mniejszą niż jest to przewidziane w niniejszej umowie i zgodnej z „Wytycznymi do umów powierzenia przetwarzania danych osobowych, których administratorem jest ORANGE POLSKA S.A.”. Kontrahent zobowiązany jest do uzyskania pisemnej akceptacji ORANGE POLSKA S.A. na zawarcie umowy z podwykonawcą oraz udostępnienia ORANGE POLSKA S.A. kopii zawartych z podwykonawcami umów w terminie 7 dni od ich zawarcia, jak też na każde żądanie ORANGE POLSKA S.A.

    2. za wszystkie działania i zaniechania swoich podwykonawców Kontrahent ponosi odpowiedzialność jak za swoje działania i zaniechania.

    3. Kontrahent zobowiązany jest do sprawowania bieżącej kontroli prawidłowości przetwarzania danych osobowych przez swoich podwykonawców.

    4. Kontrahent zobowiązany jest do zgłaszania Zleceniodawcy wszelkich nieprawidłowości oraz nieścisłości w treści powierzonych danych osobowych.




  1. Uprawnienia ORANGE POLSKA S.A.:

    1. ORANGE POLSKA S.A. przysługuje prawo kontrolowania sposobu przetwarzania przez Kontrahenta i podwykonawcę Kontrahenta powierzonych danych osobowych. Przedstawiciele ORANGE POLSKA S.A. są uprawnieni do wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe oraz żądania od Kontrahenta udzielania informacji dotyczących przebiegu przetwarzania powierzonych danych osobowych, wglądu do dokumentacji wymaganej Ustawą i aktami wykonawczymi do niej, przeprowadzania oględzin nośników i systemów teleinformatycznych służących do przetwarzania powierzonych danych osobowych oraz ingerencji w system teleinformatyczny przetwarzający dane w celu weryfikacji zabezpieczeń stosowanych przy przetwarzaniu powierzonych danych osobowych.

    2. o terminie kontroli Kontrahent będzie informowany z co najmniej 24 – godzinnym wyprzedzeniem. Powiadomienie będzie określało przedmiot kontroli oraz wskazanie osób upoważnionych do prowadzenia kontroli w imieniu Zleceniodawcy.

    3. w przypadku stwierdzenia rażącego naruszenia przez Kontrahenta postanowień niniejszej umowy, ORANGE POLSKA S.A. może rozwiązać umowę ze skutkiem natychmiastowym.

    4. ORANGE POLSKA S.A., jako administrator danych, upoważnia osoby (wg ewidencji sporządzonej przez Kontrahenta) do przetwarzania powierzonych danych osobowych, wyłącznie w celu realizacji postanowień niniejszej umowy. Dostęp do systemów teleinformatycznych ORANGE POLSKA S.A., w których są przetwarzane powierzone dane osobowe wymaga dodatkowo spełnienia warunków wynikających z wewnętrznych procedur dostępu do systemów teleinformatycznych, obowiązujących w ORANGE POLSKA S.A.

    5. dane osobowe osób upoważnionych do dostępu do powierzonych danych osobowych przetwarzanych w systemach teleinformatycznych ORANGE POLSKA S.A., zwanych dalej Użytkownikami systemów, będą odnotowane w tych systemach i przetwarzane w celach technicznych lub operacyjnych związanych z obsługą systemów teleinformatycznych, także przez podwykonawców ORANGE POLSKA S.A. w przypadku świadczenia przez nich na rzecz ORANGE POLSKA S.A. bieżącego wsparcia i utrzymania technicznego tych systemów. W tych celach Kontrahent powierza ORANGE POLSKA S.A. dane Użytkowników systemów realizujących niniejszą umowę w jego imieniu, w zakresie niezbędnym dla wykonania tych celów.




  1. Zabezpieczenie interesów ORANGE POLSKA S.A.:

    1. Kontrahent zapłaci ORANGE POLSKA S.A. karę umowną w wysokości 100 000 PLN za każdy stwierdzony przypadek naruszenia zasad ochrony powierzonych danych osobowych.1)

    2. zapłata kary umownej nie wyłącza możliwości dochodzenia przez ORANGE POLSKA S.A. odszkodowania na zasadach ogólnych, w przypadku, gdy wysokość szkody przewyższa wysokość kary umownej.

    3. w przypadku naruszenia przez Kontrahenta zasad ochrony powierzonych danych osobowych, Zleceniodawcy przysługuje zwrot wszelkich kosztów procesu i zastępstwa procesowego i ewentualnego odszkodowania zasądzonego na rzecz osób, których danych dotyczyło naruszenie, oraz nałożonych przez uprawnione organy kar finansowych.

    4. jeżeli w wyniku zmiany stanu prawnego na Kontrahencie będą ciążyć dalej idące obowiązki związane z przetwarzaniem danych osobowych niż te, które wynikają z niniejszej umowy, Kontrahent zobowiązuje się takie obowiązki wypełniać, bez potrzebny zmiany niniejszej umowy.



  1. Przekazanie i zwrot danych osobowych:

    1. (w przypadku, gdy powierzone dane osobowe będą przetwarzane przez Kontrahenta w systemach teleinformatycznych ORANGE POLSKA S.A.) Przekazanie powierzonych danych osobowych nastąpi poprzez nadanie dostępu do systemów teleinformatycznych ORANGE POLSKA S.A., po spełnieniu warunków wynikających z wewnętrznych procedur dostępu do systemów teleinformatycznych, obowiązujących w ORANGE POLSKA S.A. Po wygaśnięciu lub rozwiązaniu niniejszej umowy ORANGE POLSKA S.A. odbierze Kontrahentowi dostęp do systemów teleinformatycznych, w których przetwarzane były powierzone mu dane osobowe, zgodnie z zasadami określonymi w procedurach, o których mowa w zdaniu pierwszym.


Opcjonalnie:

(w przypadku przekazania Kontrahentowi powierzonych mu danych osobowych w tradycyjnej formie papierowej lub na nośniku elektronicznym, sposób przekazania powierzonych danych Kontrahentowi powinien zagwarantować spełnienie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych (np. Dane będą przekazane na płycie CD lub DVD, która będzie zabezpieczona kodem, aby uniemożliwić jej odczytanie przez osoby nieupoważnione)) powierzone dane osobowe zostaną przekazane Kontrahentowi …………………. (np. na płytach CD, DVD, pendrive’ach, przesłane w formie zaszyfrowanej wiadomości e-mail) w terminie do ...................... (data).

    1. po rozwiązaniu lub wygaśnięciu umowy Kontrahent jest zobowiązany do zwrotu/usunięcia (do wyboru) powierzonych mu danych osobowych oraz zniszczenia wszelkich kopii tych danych, będących w jego posiadaniu, niezwłocznie, nie później niż w ciągu 3 Dni Roboczych od dnia rozwiązania lub wygaśnięcia umowy.

    2. z czynności odbioru przez Kontrahenta, zwrotu oraz usunięcia powierzonych danych osobowych zostanie sporządzony protokół podpisany przez należycie umocowanych reprezentantów Kontrahenta. Wzór Protokołu odbioru/zwrotu/usunięcia danych osobowych stanowi Załącznik nr 2 do niniejszej umowy.

8. Zasady określone w niniejszej umowie stosuje się odpowiednio do przetwarzania danych stanowiących tajemnicę telekomunikacyjną, w tym również do danych stanowiących tajemnicę telekomunikacyjną a nie stanowiących danych osobowych.


Załącznik nr 1 do Umowy powierzenia przetwarzania danych osobowych



Wymagania techniczne i organizacyjne dla systemów teleinformatycznych przetwarzających dane osobowe


  1. Podstawa prawna

Ustawa o ochronie danych osobowych - tekst jednolity: Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm. (dalej Ustawa)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz.U. z 2004 r. Nr 100, poz. 1024 (dalej Rozporządzenie).



  1. Szczegółowe wytyczne

A. zgodnie z Ustawą:

System Teleinformatyczny powinien zapewniać:

1) możliwość wstrzymania przetwarzania danych osobowych (Art. 32 ust. 1 pkt 6),
2) możliwość usunięcia danych z systemu (Art. 32 ust. 1 pkt 6),
3) spełnienie wymogów zabezpieczenia danych osobowych, określonych w Rozdziale 5, w szczególności art. 36 ust. 1, tj.: "Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem."

B. zgodnie z Rozporządzeniem

1) Należy przygotować i wdrożyć dokumentację, o której mowa w § 1 pkt 1 Rozporządzenia, tj.:

a) politykę bezpieczeństwa, zgodnie z §4 Rozporządzenia,

b) instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, zgodnie z §5 Rozporządzenia,
2) dla każdej osoby, której dotyczą dane przetwarzane w systemie teleinformatycznym, system ten powinien zapewnić odnotowanie:
a) daty pierwszego wprowadzenia danych do systemu;
b) identyfikatora użytkownika wprowadzającego dane osobowe do systemu,
Odnotowanie informacji, o których mowa w lit. a i b, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.

c) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;


d) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 Ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, w przypadku systemu służącego do realizacji tego typu udostępnień.
W przypadku przetwarzania danych osobowych w co najmniej dwóch systemach teleinformatycznych, wymagania, o których mowa w lit. a)-d), mogą być realizowane w jednym z nich lub w odrębnym systemie teleinformatycznym przeznaczonym do tego celu.
e) sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych oraz wobec przekazania danych innemu administratorowi danych w celach marketingowych, w przypadku systemu wykorzystywanego w celach, w których możliwe jest złożenie sprzeciwu,
3) dla każdej osoby, której dane osobowe są przetwarzane w systemie teleinformatycznym, system ten zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w pkt. 2),
4) system zapewnia zachowanie atrybutów bezpieczeństwa przetwarzania danych osobowych, takich jak: poufności, integralności i rozliczalności (definicje tych atrybutów są opisane odpowiednio w § 2 pkt. 10, 8 i 7 Rozporządzenia),

5) zastosowano środki bezpieczeństwa na poziomie podstawowym / podwyższonym / wysokim – (pozostaw właściwy poziom) (§ 6 Rozporządzenia). W zależności od wybranego poziomu bezpieczeństwa należy spełnić wymagania określone odpowiednio w tabelach 1, 2 i 3.



Tabela 1. Wykaz minimalnych środków bezpieczeństwa wymaganych do spełnienia podstawowego poziomu bezpieczeństwa

Lp.

Opis wymaganych rozwiązań technicznych lub organizacyjnych

I.

  1. Obszar, w którym przetwarzane są dane osobowe (budynki, pomieszczenia, części pomieszczeń), zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

  2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w pkt 1 powyżej, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

II.

  1. W systemie teleinformatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.

  2. Jeżeli dostęp do danych przetwarzanych w systemie teleinformatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:

    1. w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;

    2. dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

III.

System teleinformatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed:

  1. działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu teleinformatycznego;

  2. utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

IV.

  1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

  2. W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

  3. Dane osobowe przetwarzane w systemie teleinformatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.

  4. Kopie zapasowe:

  1. przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

  2. usuwa się niezwłocznie po ustaniu ich użyteczności.

V.

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w pkt I.1, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

VI.

Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

  1. likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

  2. przekazania podmiotowi nieuprawnionemu do przetwarzania danych -pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

  3. naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

VII.

Administrator danych monitoruje wdrożone zabezpieczenia systemu teleinformatycznego.



Tabela 2. Wykaz dodatkowych w stosunku do poziomu podstawowego minimalnych środków bezpieczeństwa wymaganych do spełnienia podwyższonego poziomu bezpieczeństwa

Lp.

Opis wymaganych rozwiązań technicznych lub organizacyjnych

VIII.

W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

IX.

Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 Ustawy, przekazywane poza obszar, o którym mowa w pkt I.1, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

X.

Instrukcję zarządzania systemem teleinformatycznym rozszerza się o sposób stosowania środków, o których mowa w pkt IX.



Tabela 3. Wykaz dodatkowych w stosunku do poziomu podstawowego i podwyższonego minimalnych środków bezpieczeństwa wymaganych do spełnienia wysokiego poziomu bezpieczeństwa

Lp.

Opis wymaganych rozwiązań technicznych lub organizacyjnych

XI.

  1. System teleinformatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

  2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w pkt. 1, obejmują one:

  1. kontrolę przepływu informacji pomiędzy systemem teleinformatycznym administratora danych a siecią publiczną;

  2. kontrolę działań inicjowanych z sieci publicznej i systemu teleinformatycznego administratora danych.

XII.

Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Zabezpieczenie danych osobowych przetwarzanych w Chmurze Obliczeniowej (dalej „Chmura”)

Wymagania techniczne:

1) dostawca usług w chmurze zapewnia szyfrowanie powierzonych mu do przetwarzania danych osobowych zgodnie z obowiązującym w ORANGE POLSKA S.A. standardem stosowania kryptograficznych środków ochrony stanowiącym Dodatek 1 do niniejszych Wymagań;  

2) szyfrowanie stosuje się zarówno wobec „danych w tranzycie”, jak i danych przechowywanych na serwerach oraz wobec mechanizmów autoryzacji;

3) dostawca usług w Chmurze stosuje środki zapewniające ciągłość świadczenia usługi (np. zapewnienie zapasowych łączy internetowych i skutecznych mechanizmów wykonywania kopii zapasowych);

4) platforma komputerowa w Chmurze powinna umożliwiać wiarygodny monitoring i mechanizmy rejestrowania działań na danych osobowych, pozwalające na identyfikację wszystkich operacji przetwarzania danych i przypisania do nich podmiotu, który je podjął;

5) dostawca usług w Chmurze zapewnia odpowiednie środki pozwalające na przeniesienie danych od jednego dostawcy usługi w Chmurze do innego.

Dodatek 1 do Wymagań technicznych i organizacyjnych dla systemów teleinformatycznych przetwarzających dane osobowe

Standard stosowania kryptograficznych środków ochrony w Systemach teleinformatycznych



Wersja 1.4

Abstrakt


Dokument opisuje wykorzystywanie Kryptograficznych Środków Ochrony do celów uwierzytelniania użytkowników oraz ochrony informacji .

Wyciąg ze „Słownika pojęć”

Ilekroć w dokumencie występuje wyraz MUSI lub WYMAGANE lub NIE MOŻE lub ZABRONIONE lub odpowiadające im formy oznacza to, że istnieje obowiązek bezwzględnego zastosowania się do treści zapisu.

Ilekroć w dokumencie występuje wyrażenie POWINNO lub ZALECANE lub NIE POWINNO lub NIEZALECANE lub odpowiadające im formy oznacza to, że dopuszczalne jest niezastosowanie się do treści zapisu, ale wtedy i tylko wtedy, gdy na podstawie uprzednio wykonanej analizy przy udziale eksperta Bezpieczeństwa Systemów Teleinformatycznych dla określonego przypadku wykazano, że zastosowanie się do treści zapisu jest niemożliwe lub inne obiektywnie uzasadnione czynniki, które uzyskały aprobatę eksperta Bezpieczeństwa Systemów Teleinformatycznych sprawiają, że zastosowanie się jest zbędne albo nieefektywne.

Stosowanie kryptografii

Wszelkie informacje podlegające ochronie MUSZĄ być chronione przed nieuprawnionym dostępem. W szczególności oznacza to, że należy stosować poniższe zasady i algorytmy kryptograficzne do ochrony Informacji Chronionych.



Algorytmy

Należy wykorzystywać tylko algorytmy kryptograficzne, na które nie są publicznie znane sposoby ataków.



Dopuszczone do użytku algorytmy kryptograficzne wraz z ZALECANYMI długościami kluczy to:

  • Algorytmy Symetryczne

Nazwa algorytmu

Minimalna długość klucza

AES256

256 bitów

AES192

192 bity

AES128

128 bitów

CAST6 (Cast-256)

256 bitów

CAST5 (CAST-128)

128 bitów

TWOFISH

256, 192, 128 bitów

BLOWFISH

>= 128 bity

3DES (keying option 2) [ Dozwolony maksymalnie do końca 2013. W nowych wdrożeniach nie należy implementować tego algorytmu.]

112 bitów (80 bitów efektywnych)

3DES (keying option 1) [ Dozwolony maksymalnie do końca 2014. W nowych wdrożeniach nie należy implementować tego algorytmu.]

168 bitów (112 bitów efektywnych)

RC4 [UWAGA: w PTK niedozwolony, w TP maksymalnie do końca 2013]. W nowych wdrożeniach nie należy implementować tego algorytmu.]

128 bitów



  • Algorytmy asymetryczne

Nazwa algorytmu

Minimalna długość klucza

Maksymalny czas życia klucza

RSA

2048 bitów




RSA

1024 bitów

1 rok (w ORANGE POLSKA od 2014)

Elgamal

2048 bitów




DSA (na potrzeby podpisów)

2048 bitów




Diffie-Helman (na potrzeby ustalenia/wymiany kluczy)

2048 bitów




ECDSA

  1. bity




Dopuszczone do użytku funkcje skrótu to:

Nazwa funkcji skrótu

Uwagi

SHA-1

Dopuszczony maksymalnie do końca 2014 roku. W nowych wdrożeniach nie należy implementować tego algorytmu.

SHA-2

SHA-512, SHA-384, SHA-256, SHA-224

SHA-3 (Keccak)

Keccak-512, Keccak-384, Keccak-256, Keccak-224

MD5

Tylko w kodach uwierzytelniania wiadomości HMAC, w funkcjach tworzących klucze oraz w generatorach liczb losowych

RIPEMD160




Przy wykorzystywaniu symetrycznej kryptografii blokowej do szyfrowania treści NIE MOŻNA używać trybu ECB. Zalecane jest używanie trybów CBC, CFB, OFB lub CTR z wykorzystaniem IV (Initialization Vector) generowanego przy każdym użyciu od nowa (NIE MOŻE być użyty wielokrotnie, zwłaszcza z tym samym kluczem) z wykorzystaniem wiarygodnych generatorów losowych.

Dopuszczane jest też stosowanie innych (niezłamanych) algorytmów, które znajdują się na liście dopuszczonych algorytmów kryptograficznych w standardzie FIPS-140-2 Annex A: Approved Security Functions for FIPS PUB 140-2 Security Requirements for Cryptographic Modules oraz przez aktualne normy z rodziny ISO/IEC 18033 zgodnie ze wskazanymi tam warunkami i ograniczeniami. Stosowane klucze nie powinny przy tym być krótsze (długość efektywna kluczy) niż 112 dla algorytmów symetrycznych, 2048 dla algorytmów asymetrycznych oraz 224 bitów dla algorytmów opartych na krzywych eliptycznych.



Zarządzanie kluczami

Klucze MUSZĄ być chronione przed nieuprawnionym dostępem i użyciem. Klucze na koniec cyklu życia muszą być bezpowrotnie zniszczone lub bezpiecznie zarchiwizowane.

Klucze MUSZĄ być generowane przy pomocy możliwie najlepszych generatorów losowych (najlepiej sprzętowych). W szczególności dotyczy to par kluczy asymetrycznych, przeznaczonych do długotrwałego użytku.

Klucze sesyjne POWINNY być generowane na nowo dla każdej nowej sesji. Klucze sesyjne nigdy NIE POWINNY być wykorzystywane powtórnie ani archiwizowane.

Identyfikatory sesji wykorzystywane przy protokołach bezstanowych (np. HTTP) NIE MOGĄ być generowane przy wykorzystaniu przewidywalnych zmiennych (czas, adres IP klienta, PID procesu, zwiększający się licznik itp.). Zamiast tego identyfikator sesji POWINIEN być generowany poprzez wyliczenie skrótu (przy użyciu jednej z dopuszczonych funkcji skrótu) z danych pochodzących z kryptograficznie bezpiecznego generatora liczb pseudolosowych (CS PRNG) lub losowych.

Zasady podziału sekretu

W systemach, w których wymagane są szczególne środki kontroli w użyciu materiałów kryptograficznych ZALECANE jest opracowanie systemu podziału sekretu. Należy w takich przypadkach kierować się zasadą „p” z „n”, gdzie p i n to liczby dodatnie, gdzie p

Przy stosowaniu podziału sekretu, po każdorazowym użyciu POWINNO się zmieniać sekrety w taki sposób, aby w żadnym momencie poza użyciem nikt nie miał jednoosobowo dostępu do (lub znajomości) zestawu sekretów równemu lub większemu od p.

Fizyczne warunki przechowywania sekretów MUSZĄ gwarantować ich bezpieczeństwo.

Wszelkie użycie poszczególnych sekretów MUSI pozostawiać widoczne skutki, tak aby niemożliwe było wykorzystanie ich w sposób nierozpoznawalny (np. przechowywanie sekretów w pieczętowanych i datowanych kopertach)

Współdzielony sekret (ang. pre-shared secret, pre-shared key, shared secret - dotyczy rozwiązań VPN opartych na IPSEC)

Minimalna długość współdzielonego sekretu MUSI wynosić co najmniej 20 znaków, ZALECANE jest jednak stosowanie długości co najmniej 32 znaków.

Maksymalny czas życia współdzielonego sekretu NIE MOŻE być dłuższy niż 2 lata, ZALECA się jednak, aby nie przekraczał on 1 roku.

Odstępstwa

W uzasadnionych przypadkach Dyrektor Bezpieczeństwa Systemów Teleinformatycznych lub osoba przez niego upoważniona MOŻE wyrazić zgodę (pisemnie lub w formie wiadomości elektronicznej podpisanej cyfrowo z  wykorzystaniem usługi „Bezpieczna Poczta ORANGE POLSKA”) na odstąpienie od powyższych wymogów bezpieczeństwa.




Załącznik 2 do Umowy powierzenia przetwarzania danych osobowych

Protokół odbioru/zwrotu/usunięcia danych osobowych






1) Odbieram/Zwracam* dane osobowe ………………….. ORANGE POLSKA S.A., na nośniku ………… załączonym do niniejszego protokołu, na podstawie Umowy powierzenia przetwarzania danych osobowych nr ................... zawartej w Warszawie w dniu …………………….. pomiędzy:
ORANGE POLSKA Spółką Akcyjną z siedzibą i adresem w Warszawie (kod pocztowy) przy ulicy ………….., wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem …………………..; Regon ………………….., NIP ………………….; z pokrytym w całości kapitałem zakładowym wynoszącym
………………… zł; reprezentowaną przez:

…………...,


zwaną Zleceniodawcą,
a, ……………………….. z siedzibą ………………………., wpisaną do Rejestru Przedsiębiorców pod numerem KRS ……………………., reprezentowaną przez ………………. ,zwaną Kontrahentem,
powierzone w celu realizacji w/w umowy.

2) Potwierdzam usunięcie danych osobowych*
powierzonych w celu realizacji w/w umowy.

………………………………………………………...

miejscowość i data
...............................................................................

imię i nazwisko oraz podpis osoby reprezentującej Kontrahenta ………………………..

Niniejszy protokół został sporządzony w dwóch egzemplarzach, po jednym dla każdej ze Stron w/w umowy.

* niepotrzebne skreślić



11) W przypadku, gdy postanowienia zasadniczego tekstu umowy przewidują odpowiednią karę umowną za naruszenie zasad ochrony danych osobowych, punkt 1 niniejszego Załącznika należy usunąć.







©operacji.org 2019
wyślij wiadomość

    Strona główna