br_zarzadzenie nr 9 z dn. 21.03.11r. w spr. polityki bezpieczenstwa

Zarządzenie Nr 9/11
Rektora Państwowej WyŜszej Szkoły Zawodowej im. Witelona w Legnicy
z dnia 21 marca 2011 r.
w sprawie ustalenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym słuŜącym do
przetwarzania danych osobowych w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy
Na podstawie art. 66 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyŜszym (Dz.U. Nr 164, poz. 1365,
z 2006 r. Nr 46, poz. 328, Nr 104, poz. 708 i poz. 711, Nr 144, poz. 1043, Nr 227, poz. 1658, z 2007 r. Nr 80, poz. 542, Nr 120,
poz. 818, Nr 176, poz. 1238 i poz. 1240, Nr 180, poz. 1280, z 2008 Nr 70, poz. 416, z 2009 r. Nr 157, poz. 1241, Nr 161, poz.
1278, Nr 202, poz. 1553, z 2010 r. Nr 57, poz. 359, Nr 75, poz. 471, Nr 96, poz. 620, Nr 127, poz. 857) oraz art. 36 ust. 2
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 późn. zm.) i § 3
rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), zarządzam co następuje:
§ 1.
Wprowadzam w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy:
1) Politykę Bezpieczeństwa stanowiącą załącznik nr 1 do zarządzenia,
2) Instrukcję Zarządzania Systemem Informatycznym stanowiącą załącznik nr 2 do zarządzenia.
§ 2.
Zobowiązuje kierowników komórek organizacyjnych do zapoznania pracowników z dokumentami o których mowa w § 1.
§ 3.
Traci moc zarządzenie nr 22/99 Rektora WyŜszej Szkoły Zawodowej w Legnicy z dnia 28 października 1999 r. w sprawie
ochrony danych osobowych zmienione zarządzeniem nr 30 z dnia 23 sierpnia 2001 r.
§ 4.
Zarządzenie wchodzi w Ŝycie z dniem podpisania.
Załącznik nr 1 do Zarządzenie nr 9/11 Rektora Państwowej WyŜszej
Szkoły Zawodowej im. Witelona w Legnicy z dnia 21 marca 2011 r.
Rozdział I
Przepisy ogólne, definicje i objaśnienia
1.
2.
3.
4.
§ 1.
Polityka Bezpieczeństwa zwana dalej „Polityką” w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy
jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu danych osobowych przez PWSZ im. Witelona
w Legnicy dalej zwaną „Uczelnią”. Przetwarzanie danych osobowych w Uczelni jest dopuszczalne tylko pod warunkiem
przestrzegania ustawy z dnia 29 sierpnia1997 r. o ochronie danych osobowych i wydanych na jej podstawie przepisów
wykonawczych, a takŜe przepisów wewnętrznych wdroŜonych na ich podstawie.
Celem Polityki jest:
a) osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa aktywów informacyjnych Uczelni poprzez
wdroŜenie odpowiedniego systemu ochrony tych aktywów przed zagroŜeniami wewnętrznymi i zewnętrznymi,
b) podniesienie poziomu świadomości pracowników Uczelni co do istoty problemu bezpieczeństwa danych osobowych.
Polityka ma zastosowanie w stosunku do wszystkich postaci informacji zawierających dane osobowe: dokumentów
papierowych, zapisów elektronicznych i innych, będących własnością Uczelni lub administrowanych przez Uczelnię
i przetwarzanych w systemach informatycznych, tradycyjnych (papierowych) i komunikacyjnych Uczelni.
Ochrona danych osobowych wynikająca z Polityki jest realizowana na kaŜdym etapie przetwarzania informacji.
§ 2.
1. Dane osobowe w Uczelni przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa,
a w szczególności:
1) Ustawy z dnia 29 sierpnia1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z póź. zm.)
zwana dalej „ustawą”,
2) Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) –
zwane dalej rozporządzeniem,
1
3) art. 22 § 1-5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (j.t. Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.)
i przepisów wykonawczych wydanych z upowaŜnienia tej ustawy,
2. Dane osobowe w Uczelni przetwarzane są w zakresie realizacji jej statutowych, a w szczególności:
1) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych, badawczych i organizacyjnych
Uczelni wynikających z przepisów ustawy z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyŜszym. (Dz. U. Nr 164,
poz. 1365 z póź. zm.),
2) dla zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni, polityki personalnej oraz bieŜącej obsługi
stosunków pracy, studentów i innych osób wykonujących pracę na rzecz Uczelni,
3) dla realizacji innych usprawiedliwionych celów i zadań Uczelni - z poszanowaniem praw i wolności osób
powierzających Uczelni swoje dane.
§ 3.
UŜyte w poniŜszych przepisach określenia oznaczają:
1. Uczelnia - Państwową WyŜszą Szkołę Zawodową im. Witelona w Legnicy.
2. Ustawa - ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. nr 101 poz. 926,
z późniejszymi zmianami).
3. Administrator danych osobowych (ADO) – podmiot, o którym mowa w art. 3 ustawy decydujący o celach i środkach
przetwarzania danych osobowych.
4. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub moŜliwej do zidentyfikowania osoby fizycznej.
5. Zbiór danych – kaŜdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych
kryteriów, niezaleŜnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
6. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie,
utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się
w systemach informatycznych.
7. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji
i narzędzi programowych zastosowanych w celu przetwarzania danych.
8. Zabezpieczenie danych w systemie informatycznym – wdroŜenie i eksploatację stosownych środków technicznych
i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
9. Administrator bezpieczeństwa informacji (ABI)– osobę nadzorującą przestrzeganie zasad ochrony przetwarzania
danych osobowych.
10. Administrator systemu informatycznego (ASI) – osobę odpowiedzialną za bezpieczeństwo danych osobowych
przetwarzanych w systemach informatycznych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich
do systemów oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach.
11. Osoba upowaŜniona lub uŜytkownik systemu, zwany dalej uŜytkownikiem – osobę posiadającą upowaŜnienie
wydane przez administratora danych dopuszczona, w zakresie w nim wskazanym, jako uŜytkownik do przetwarzania
danych osobowych w systemie informatycznym danej komórki organizacyjnej.
12. Osoba trzecia – kaŜdą osobę nieupowaŜnioną i przez to nieuprawnioną do dostępu do danych osobowych zbiorów
będących w posiadaniu administratora danych. Osobą trzecią jest równieŜ osoba posiadająca upowaŜnienie wydane
przez administratora danych podejmująca czynności w zakresie przekraczającym ramy jej upowaŜnienia.
Rozdział II
Ogólne zasady przetwarzania danych osobowych
1.
2.
3.
4.
5.
6.
7.
§ 4.
Wszelkie dane osobowe gromadzone w Uczelni są przetwarzane na podstawie obowiązujących przepisów prawa,
albo zgody osób fizycznych, których dane dotyczą lub na mocy umów z podmiotami zewnętrznymi (przetwarzane dane
osobowe dotyczą głównie pracowników i studentów Uczelni).
KaŜda osoba, której dane osobowe znajdują się w posiadaniu Uczelni ma prawo przeglądać swoje dane oraz
je modyfikować, w celu ich uzupełnienia lub poprawy.
Uwzględniając kategorie przetwarzanych danych oraz zagroŜenia wprowadza się wysoki poziom bezpieczeństwa
przetwarzania danych osobowych w systemie informatycznym.
Wszelkie informacje zawierające dane osobowe są przechowywane w taki sposób, aby zminimalizować ryzyko
ich ujawnienia, modyfikacji, zniszczenia lub utraty.
Dane osobowe są zabezpieczane fizycznie (np. przed awarią sprzętu), jak i elektronicznie (np. przed atakiem hackera lub
dostępem niepowołanych osób).
Przetwarzanie danych osobowych w zakresie niezbędnym do wykonywania obowiązków słuŜbowych powierza się
wyłącznie na podstawie zaewidencjonowanych upowaŜnień do przetwarzania danych osobowych.
W zakresie podmiotowym Polityka obowiązuje wszystkich pracowników Uczelni oraz inne osoby mające dostęp
do danych osobowych.
Rozdział III
Organizacja ochrony przetwarzania danych osobowych
§ 5.
1.
2.
3.
4.
5.
Administratorem Danych Osobowych, w sensie formalno-prawnym jest Uczelnia, natomiast w sensie praktycznym
za realizację podstawowych obowiązków ADO odpowiedzialny jest Rektor. Rektor swoje uprawnienia do nadawania
uprawnień i upowaŜnień do przetwarzania danych osobowych pracownikom niebędącym nauczycielami akademickimi
przekazuje Kanclerzowi.
Obowiązki wynikające z ustawy o ochronie danych osobowych ADO powierza się Lokalnym administratorom danych
osobowych, zwanymi dalej „LADO”, to jest:
a) prorektorom - w zakresie podległych im pracowników,
b) dziekanom wydziałów - w zakresie studentów wydziałów i podległych im pracowników,
c) dyrektorom/kierownikom pozostałych jednostek organizacyjnych – w zakresie podległych im pracowników.
Powierzenie obowiązków LADO następuje na podstawie powołania stanowiącego załącznik nr 1.
Za naruszenie ustawy LADO ponoszą pełną odpowiedzialność w zakresie wnioskowanych uprawnień oraz upowaŜnień
względem podległych pracowników.
Funkcję Administratora bezpieczeństwa informacji, w Uczelni pełni osoba powołana przez Rektora. Głównymi zadaniami
ABI są nadzór nad przeciwdziałaniem dostępowi osób nieuprawnionych do zbiorów danych oraz wykrywanie naruszeń
w systemie ochrony i prawidłowego wykorzystywania danych osobowych.
Obowiązki wynikające z ustawy o ochronie danych osobowych w zakresie zabezpieczenia systemów informatycznych
sprawuje główny informatyk za pośrednictwem Administratorów systemów informatycznych.
Członkowie komisji powoływani w Uczelni, na podstawie zarządzenia lub wniosku organu kolegialnego, otrzymują
upowaŜnienia do przetwarzania danych osobowych od Rektora lub Kanclerza.
§ 6.
LADO zobowiązani są do przestrzegania przepisów ustawy, w szczególności poprzez:
1) zapoznanie podległych pracowników z podstawowymi zasadami przetwarzania danych osobowych wynikającymi
z ustawy, Polityki w zakresie ochrony danych osobowych w Uczelni, oraz Instrukcji Zarządzania Systemem
Informatycznym w PWSZ im. Witelona w Legnicy,
2) wykonywanie zaleceń ABI oraz głównego informatyka w zakresie ochrony danych osobowych,
3) bieŜące przekazywanie do ABI wszelkich zmian mających wpływ na aktualizację ewidencji oraz praw dostępu
do przetwarzania danych osobowych w systemach tradycyjnych,
4) bieŜące przekazywanie do głównego informatyka wszelkich zmian mających wpływ na aktualizację ewidencji oraz
praw dostępu do przetwarzania danych osobowych w systemach informatycznych,
5) współpracę z ASI, w zakresie wdraŜania i nadzorowania przestrzegania Instrukcji Zarządzania Systemem
Informatycznym,
6) występowanie z wnioskiem o nadanie uprawnień oraz upowaŜnień do przetwarzania danych osobowych podległym
pracownikom; pracownika bez stosownego uprawnienia oraz upowaŜnienia LADO nie moŜe dopuścić do
przetwarzania danych osobowych,
7) informowanie ABI i ADO o nieprawidłowościach w zakresie przetwarzania danych osobowych w systemach
tradycyjnych.
1.
2.
3.
4.
1.
2.
1.
2.
3.
§ 7.
ABI realizuje zadania za pośrednictwem:
1) kierownika Działu Organizacji i Spraw Osobowych,
2) głównego informatyka.
Do zadań ABI naleŜy ochrona danych osobowych przetwarzanych w Uczelni, a w szczególności:
1) nadzór nad przestrzeganiem przez pracowników zasad ochrony danych osobowych obowiązujących w Uczelni,
2) nadzór nad nadawaniem i odbieraniem uprawnień, na wniosek osób upowaŜnionych do korzystania z danych
osobowych oraz prowadzenie ewidencji uprawnień,
3) koordynacja procesu reagowania na naruszenia lub próby naruszenia bezpieczeństwa danych osobowych
przetwarzanych w systemie informatycznym oraz tradycyjnym,
4) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych osobowych oraz
informowanie o nich ADO,
5) monitorowanie zaleceń i interpretacji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w zakresie
ochrony danych osobowych,
6) zgłaszanie do rejestracji zbioru danych osobowych do GIODO, na podstawie informacji otrzymanych od LADO.
ABI sprawuje nadzór nad realizacją zadań nałoŜonych na LADO do przetwarzania danych osobowych.
ABI gromadzi i przechowuje dokumentację związaną z przetwarzaniem danych osobowych w siedzibie Uczelni.
§ 8.
Kierownik Działu Organizacji i Spraw Osobowych PWSZ im. Witelona w Legnicy zobowiązany jest do wykonywania
obowiązków LADO określonych w § 6, a ponadto:
a) uzupełniania akt osobowych pracowników zatrudnionych przy przetwarzaniu danych osobowych o oświadczenia,
z których wynika, Ŝe zapoznali się z przepisami obowiązującymi w tym zakresie,
b) zgłaszania głównemu informatykowi zmian kadrowych, w celu aktualizacji ewidencji praw dostępu do przetwarzania
danych osobowych w systemach informatycznych,
c) powiadamiania o dłuŜszej nieobecności w pracy ABI oraz ASI w celu niezwłocznego zawieszenia bądź wycofania
uprawnień,
d) wykonywania na polecenie ABI działań kontrolnych dotyczących przestrzegania przepisów w zakresie przetwarzania
danych osobowych w systemach tradycyjnych.
Główny informatyk zobowiązany jest do wykonywania następujących obowiązków:
a) wnioskowania o wyznaczenie ASI i nadzorowania ich pracy w zakresie ochrony danych osobowych,
b) prowadzenia aktualnej ewidencji osób upowaŜnionych do przetwarzania danych osobowych w systemach
informatycznych,
c) szkolenia uŜytkowników w zakresie przestrzegania zasad bezpieczeństwa w systemach informatycznych,
d) wnioskowania do Działu Administracyjno-Technicznego o konieczne zakupy związane z ochroną danych osobowych,
e) wykonywania na polecenie ABI działań kontrolnych dotyczących przestrzegania przepisów w zakresie przetwarzania
danych osobowych w systemach informatycznych,
f) zabezpieczenia systemów informatycznych zgodnie z zatwierdzonym poziomem bezpieczeństwa,
g) stosowania wszelkich dostępnych mechanizmów ochrony w celu właściwego zabezpieczenia systemu
do przetwarzania danych,
h) ochrony danych osobowych poprzez tworzenie i właściwe zabezpieczenie kopii zapasowych,
i) prowadzania w bezpieczny sposób napraw oraz konserwacji sprzętu i oprogramowania słuŜącego do przetwarzania
lub będącego nośnikiem danych osobowych,
j) niszczenia zbędnego sprzętu i oprogramowania zawierającego dane osobowe w sposób uniemoŜliwiający
ich odczytanie,
k) informowania ABI i ADO o nieprawidłowościach w zakresie przetwarzania danych osobowych w systemach
informatycznych.
§ 9.
ABI prowadzi Rejestr osób upowaŜnionych (UŜytkowników), zgodnie ze wzorem określonym w załączniku nr 2.
Przyznanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie z następującą procedurą:
1) LADO występuje do ADO z wnioskiem o przyznanie, zmianę lub wycofanie uprawnień do przetwarzania danych
osobowych (załącznik nr 3), który przekazuje do ABI.
2) w przypadku wnioskowania o uprawnienia do przetwarzania danych w systemie informatycznym, osoba określona we
wniosku kierowana jest do ASI celem ustalenia loginu do wnioskowanego systemu przetwarzania danych oraz
odbycia szkolenia.
3) przed otrzymaniem upowaŜnienia do przetwarzania danych osobowych, pracownik bądź inna osoba zapoznaje się
z obowiązującymi przepisami, a takŜe przyjętymi w Uczelni zasadami bezpieczeństwa danych osobowych oraz
zobowiązuje się do ich przestrzegania.
4) ABI na podstawie otrzymanego wniosku, któremu nadaje numer, wypełnia upowaŜnienie (załącznik nr 4), i w trzech
egzemplarzach przekazuje do ADO. Zaakceptowane i podpisane upowaŜnienie ABI wprowadza do rejestru nadając
kolejny numer, z czego: jeden egzemplarz otrzymuje osoba uprawniona lub upowaŜniona, drugi egzemplarz jest
przechowywany w aktach osobowych lub dokumentacji osoby upowaŜnionej, trzeci egzemplarz przechowywany jest
w rejestrze osób upowaŜnionych.
5) oryginał zatwierdzonego wniosku przechowuje i ewidencjonuje ABI, kopię wniosku otrzymuje uŜytkownik oraz ASI.
6) nadanie, zmiana i wycofanie uprawnień odbywa się zgodnie z instrukcją zarządzania systemem informatycznym.
Uprawnienia do przetwarzania danych osobowych wygasają z chwilą: ustania stosunku pracy, zmiany stanowiska lub
zakresu obowiązków, a takŜe z upływem okresu.
4.
5.
6.
7.
8.
KaŜdy uŜytkownik posiadający uprawnienie do przetwarzania danych osobowych w systemie informatycznym otrzymuje
od ASI jednoznaczny i niepowtarzalny login do systemu.
Sposób uwierzytelnienia uŜytkownika w systemie informatycznym określa Instrukcja Zarządzania Systemem
Informatycznym.
UŜytkownicy zobowiązani są do:
1) ścisłego przestrzegania zakresu nadanego upowaŜnienia,
2) przetwarzania i ochrony danych osobowych zgodnie z przepisami,
3) przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach słuŜbowych (lub
wyznaczonych ich częściach),
4) zachowania w tajemnicy loginów i haseł uwierzytelniających uŜytkownika w systemie do przetwarzania danych
osobowych,
5) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
6) niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób uniemoŜliwiający ich odczytanie,
7) niszczenia w sposób mechaniczny za pomocą niszczarek dokumentów, dokumentów zawierających dane osobowe
po ustaniu ich przydatności jeśli nie są archiwizowane,
8) nieudzielania informacji o danych osobowych przetwarzanych w Uczelni innym podmiotom, chyba Ŝe obowiązek taki
wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w tych przepisach zostały spełnione,
9) zgłaszania ASI i LADO zauwaŜonych incydentów związanych z naruszeniem bezpieczeństwa danych oraz
niewłaściwym funkcjonowaniem systemu, a takŜe informowania ABI o przypadkach naruszenia zasad ochrony
danych oraz o przypadkach utraty lub kradzieŜy dokumentów lub innych nośników zawierających dane osobowe.
Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład
systemu informatycznego Uczelni. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego
systemu, są umiejscawiane w sposób uniemoŜliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp
do ekranów oraz urządzeń słuŜących do przetwarzania, a zwłaszcza kopiowania danych.
Dane osobowe przetwarzane w formach papierowych w sposób tradycyjny przechowuje się w sposób uniemoŜliwiający
dostęp do nich osób nieupowaŜnionych, np. w zamkniętych szafach lub kasach pancernych.
Rozdział IV
Obszar przetwarzanych danych osobowych
§ 10.
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
w Uczelni jest prowadzony przez ABI na podstawie pisemnej informacji uzyskanej od Kierownika Działu AdministracyjnoTechnicznego. Wzór wykazu miejsc przetwarzania danych osobowych w Uczelni określa załącznik nr 5.
1.
2.
3.
4.
5.
6.
7.
§ 11.
Dostęp do budynków i pomieszczeń Uczelni, w których przetwarzane są dane osobowe podlega całodobowej kontroli
dostępu.
Kontrola dostępu polega na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków
i pomieszczeń. W ewidencji uwzględnia się: nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie
pomieszczenia lub budynku oraz godzinę pobrania lub zdania klucza.
Klucze do budynków lub pomieszczeń, w których przetwarzane są dane osobowe wydawane mogą być wyłącznie
pracownikom upowaŜnionym do przetwarzania danych osobowych lub innym pracownikom upowaŜnionym do dostępu do
tych budynków, lub pomieszczeń na innych zasadach.
ABI przekazuje w formie pisemnej słuŜbie ochrony budynku i aktualizuje wykaz pomieszczeń, do których dostęp jest
ograniczony ze względu na przetwarzanie danych osobowych, zgodnie z § 10 oraz wykaz osób upowaŜnionych
do pobierania kluczy do tych pomieszczeń, na podstawie informacji uzyskanych od LADO.
Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem
dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób nieupowaŜnionych.
Chwilowe opuszczenie pomieszczenia przez osobę przetwarzającą dane osobowe, wiąŜe się z zabezpieczeniem
ich przed dostępem osób trzecich, z zastosowaniem dostępnych środków zabezpieczających.
Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia
pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako
cięŜkie naruszenie podstawowych obowiązków pracowniczych.
Rozdział V
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych
1.
2.
§ 12.
Dane osobowe są przetwarzane przy zastosowaniu systemów informatycznych oraz tradycyjnych, w zbiorach
ewidencyjnych oraz poza zbiorami.
W Uczelni przetwarzane są następujące zbiory danych:
a) dane osobowe studentów,
b) dane osobowe absolwentów,
c) dane osobowe kandydatów na studia,
d) dane osobowe pracowników,
3.
1.
2.
3.
e) dane osobowe kandydatów do pracy,
f) dane osobowe staŜystów,
g) dane osobowe byłych staŜystów,
h) dane osobowe byłych pracowników,
i) dane osobowe osób, z którymi zawarto umowy cywilno-prawne,
j) dane osobowe osób, które posiadały umowy cywilno-prawne,
k) dane osobowe osób korzystających z Biblioteki,
l) dane osobowe osób, którzy korzystali z Biblioteki,
m) dane osobowe słuchaczy,
n) dane osobowe uczestników kursów,
o) dane osobowe byłych uczestników kursów,
p) dane osobowe osób korzystających z Domu Studenckiego,
q) dane osobowe osób, które korzystały z Domu Studenckiego.
Uczelnia posługuje się systemami informatycznymi wymienionymi w załączniku nr 6.
§ 13.
Systemy informatyczne słuŜące do przetwarzania danych osobowych zabezpieczone są przed działaniem niepoŜądanym
na bieŜąco aktualizowanymi systemami antywirusowymi.
Zbiory danych osobowych zlokalizowane są w przedmiotowych bazach danych umieszczonych na serwerach
bazodanowych.
Dane osobowe w zbiorach są przetwarzane tylko w aplikacjach (programach) dostosowanych do merytorycznych potrzeb
komórek organizacyjnych Uczelni.
Rozdział VI
Opis struktury zbiorów danych osobowych wskazujących zawartość pól informacyjnych
i powiązania między nimi
1.
2.
3.
4.
§ 14.
Zawartość pól informacyjnych, występujących w aplikacjach (programach) systemów zastosowanych do przetwarzania
danych, musi być zgodna z przepisami prawa, które uprawniają lub zobowiązują ADO do przetwarzania danych
osobowych.
Opisy struktur zbiorów danych wskazujące zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi
wykonują ASI na podstawie aplikacji zastosowanych do przetwarzania tych danych, jeŜeli opisów nie uzyskano
od dostawców oprogramowania.
Opisy, o których mowa w ust. 2 mogą być wykonywane w postaci wydruków zrzutów ekranowych lub struktur tablic bazy
prezentujących zawartość pól informacyjnych i powiązań pomiędzy nimi. W przypadku braku moŜliwości uzyskania
wydruku zrzutu ekranowego ASI sporządzają inne dostępne opisy struktury zbioru.
ASI zobowiązani są do przekazywania opisów do ABI oraz niezwłocznego informowania o wszelkich zmianach
w strukturze zbiorów danych, załącznik nr 7.
Rozdział VII
Sposób przepływu danych pomiędzy poszczególnymi systemami
1.
2.
3.
4.
5.
§ 15.
Schematy przepływu danych pomiędzy systemami informatycznymi, zastosowanymi w celu przetwarzania danych
osobowych wykonują ASI, zgodnie z relacjami występującymi pomiędzy tymi systemami.
ASI zobowiązani są do przekazywania schematów przepływu danych pomiędzy systemami informatycznymi oraz
niezwłocznego informowania o wszelkich zmianach do ABI.
Przepływ danych pomiędzy systemami zastosowanymi w celu przetwarzania danych osobowych moŜe odbywać się
w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego.
Przesyłanie danych pomiędzy systemami moŜe odbywać się w sposób manualny, przy wykorzystaniu nośników
zewnętrznych (w szczególności dyskietki, płyty CD i DVD, dysku wymiennego, PenDrive’a) lub w sposób
półautomatyczny, przy wykorzystaniu funkcji eksportu (importu) danych za pomocą teletransmisji (w szczególności
poprzez wewnętrzną sieć teleinformatyczną).
Wzór schematu przedstawiającego sposób przepływu danych osobowych pomiędzy poszczególnymi systemami określa
załącznik nr 8.
Rozdział VIII
Opis zdarzeń naruszających ochronę danych osobowych
1.
§ 16.
Podział zagroŜeń:
a) zagroŜenia losowe zewnętrzne (np. klęski Ŝywiołowe, przerwy w zasilaniu), ich występowanie moŜe prowadzić
do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu
zostaje zakłócona, nie dochodzi do naruszenia poufności danych,
b)
2.
3.
4.
zagroŜenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora systemu, awarie sprzętowe,
błędy oprogramowania), moŜe dojść do zniszczenia danych, moŜe zostać zakłócona ciągłość pracy systemu, moŜe
nastąpić naruszenie poufności danych,
c) zagroŜenia zamierzone, świadome i celowe – najpowaŜniejsze zagroŜenia, naruszenie poufności danych, (zazwyczaj
nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagroŜenia te moŜemy podzielić
na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego
wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagroŜenie
materialnych składników systemu.
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu
informatycznego, w którym przetwarzane są dane osobowe to głównie:
a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: poŜar,
zalanie pomieszczeń, katastrofa budowlana itp.;
b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola
elektromagnetycznego,
c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony
danych, a takŜe niewłaściwe działanie serwisu,
d) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub
inny komunikat o podobnym znaczeniu,
e) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego, wskazujące na zakłócenia systemu lub inną
nadzwyczajną i niepoŜądaną modyfikację w systemie,
f) nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,
g) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upowaŜnienia
(autoryzacji),
h) nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie,
i) ujawniono osobom nieupowaŜnionym dane osobowe lub objęte tajemnicą procedury ochrony danych osobowych
albo inne strzeŜone elementy systemu zabezpieczeń,
j) praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od załoŜonego rytmu pracy
wskazujące na przełamanie lub zaniechanie ochrony danych osobowych – np. praca przy komputerze lub w sieci
osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu,
itp.,
k) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki”, itp.,
l) podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upowaŜnienia lub w sposób
niedozwolony skasowano lub skopiowano dane osobowe,
m) raŜąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie
się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie
pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych
osobowych w celach prywatnych, itp.).
Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy stwierdzono naruszenie zabezpieczenia systemu
informatycznego lub stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania
programu lub jakość komunikacji w sieci telekomunikacyjnej wskazują na naruszenie zabezpieczeń tych danych.
Za naruszenie ochrony danych uwaŜa się równieŜ stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc
przechowywania danych osobowych (otwarte w trakcie nieobecności w pomieszczeniu osoby upowaŜnionej szafy, biurka,
regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych, tj. na papierze (wydrukach), dyskietkach w formie
niezabezpieczonej itp.
Rozdział IX
Zasady postępowania w sytuacji naruszenia ochrony danych osobowych
1.
2.
§ 17.
KaŜdy UŜytkownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym
oraz w systemie tradycyjnym Uczelni zobowiązany jest do niezwłocznego poinformowania o tym ASI, LADO lub
w przypadku ich nieobecności ABI.
ASI, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony bazy danych sytemu, którym administruje
zobowiązany jest do niezwłocznego:
a) zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu
uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu,
b) jeŜeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które
mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą, godziną i podpisania,
c) przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody
dostępu osoby niepowołanej do danych itp.,
d) podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej,
zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in.:
fizycznego odłączenia urządzeń i segmentów sieci które mogły umoŜliwić dostęp do bazy danych osobie
niepowołanej, wylogowania uŜytkownika podejrzanego o naruszenie ochrony danych, zmianę hasła na konto
administratora i uŜytkownika poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby
uzyskania takiego dostępu,
e) szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony
danych osobowych,
f)
3.
4.
5.
przywrócenia normalnego działania systemu, przy czym, jeŜeli nastąpiło uszkodzenie bazy danych, odtworzenia jej
z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostroŜności mających na celu uniknięcie ponownego
uzyskania dostępu przez osobę nieupowaŜnioną, tą samą drogą,
g) złoŜenie głównemu informatykowi raportu o zaistniałym wypadku naruszenia ochrony danych osobowych i podjętych
krokach zabezpieczających.
Główny informatyk powinien:
a) przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub
podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń
w przyszłości,
b) jeŜeli przyczyną zdarzenia był błąd uŜytkownika systemu informatycznego, naleŜy przeprowadzić szkolenie
wszystkich osób biorących udział w przetwarzaniu danych,
c) jeŜeli przyczyną zdarzenia była infekcja wirusem naleŜy ustalić źródło jego pochodzenia i wykonać
zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości,
d) w porozumieniu z właściwym LADO przygotować szczegółowy raport o przyczynach, przebiegu i wnioskach
ze zdarzenia i w terminie 14 dni od daty jego zaistnienia, przekazać do ADO i ABI.
LADO w przypadku naruszenia ochrony danych osobowych w formie tradycyjnej (np. pozostawienia niezabezpieczonych
przed dostępem osób postronnych dokumentów na: biurku, ksero lub drukarce, kradzieŜy dokumentów, niezamkniętej
szafy, niewłaściwego zniszczenia dokumentów w sposób umoŜliwiający identyfikacje zawartych w nich danych
osobowych, prace na danych osobowych w celach prywatnych itp.) ma obowiązek ponownie przeszkolić UŜytkownika,
a w przypadku zaniedbań sporządzić raport z zaistniałej sytuacji i poinformować o tym fakcie ABI.
JeŜeli przyczyną naruszenia zasad ochrony danych osobowych było zaniedbanie ze strony uŜytkownika systemu, ADO
moŜe wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych.
Załącznik nr 1 do Polityki Bezpieczeństwa
Wzór dokumentu powołania Lokalnego Administratora Danych Osobowych
Legnica, dnia ……………….. r.
POWOŁANIE LOKALNEGO ADMINISTRATORA DANYCH OSOBOWYCH
1
Nr …………….. )
Celem spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.):
powołuję, Panią/Pana ………….......................................................................................................................................................
(imię i nazwisko)
zatrudnioną(nego) na stanowisku/pełniącą(ego) funkcję ...............................................................................................................
w .....................................................................................................................................................................................................
(nazwa jednostki/komórki organizacyjnej)
do pełnienia funkcji Lokalnego Administratora Danych Osobowych dla zbioru ........................................................................
.........................................................……………………..………….......................................................………………………....……
na okres ..........................................................................................................................................................................................
……………..……………………………………
(podpis Rektora )
……………………………………
(podpis LADO)
1) numer nadaje ABI
Załącznik nr 2 do Polityki Bezpieczeństwa
Wzór rejestru osób upowaŜnionych do przetwarzanie danych osobowych.
Lp.
Nazwisko
Imię
Komórka
organizacyjna
Zakres
uprawnień
Login
Numer
upowaŜnienia
nadania
uprawnień
Data
wycofania
uprawnień
Uwagi
Załącznik nr 3 do Polityki Bezpieczeństwa
Legnica, dnia ……………….. r.
AKCEPTUJĘ:
……………………………………
(Rektor/Kanclerz)
Wniosek
1
o (przyznanie/zmianę/wycofanie )
Uprawnień
do przetwarzania danych osobowych
2
Nr……………..
dla Pani/Pana ................................................................................................................................................................................
(imię i nazwisko)
zatrudnionej/nego na stanowisku ...................................................................................................................................................
w .................................................................................................. pomieszczenie ....................................../................./.................
(nazwa jednostki/komórki organizacyjnej)
(obiekt/budynek/nr)
1
do przetwarzania danych osobowych, które obejmuje/obejmowało przetwarzanie
w zakresie ......................................................................................................................................................................................
........................................................................................................................................................................................................
(wymienić rodzaj danych)
3
4
w ............................................................................................................................ login : ...........................................................
na okres od ……………………. do ………………………
…………………………………..
(podpis ASI)
1
……………………………………
(podpis LADO)
) podkreślić właściwe
) numer nadaje ABI
3
) podać sposób przetwarzania danych np. w systemie informatycznym (podać nazwę systemu) lub/takŜe w kartotekach, skorowidzach,
księgach, wykazach i innych zbiorach ewidencyjnych (wymienić)
4
) (identyfikator uŜytkownika w systemie informatycznym) w przypadku nowego pracownika, po zatwierdzeniu Wniosku przez Rektora login do
systemu informatycznego zakłada ASI, w przypadku zmian login podaje osoba dla której składany jest wniosek
2
Załącznik nr 4 do Polityki Bezpieczeństwa
Legnica, dnia …....…………….. r.
UpowaŜnienie
do przetwarzania danych osobowych w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy
nr ……..................……..
Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101 poz. 926 z późn.
zm), Rektor/Kanclerz PWSZ im. Witelona w Legnicy upowaŜnia
Panią/Pana:
………………………………….............................................………………………………………………………………………...…...
(imię i nazwisko)
…………………………….…………………………………………………………………………...............................................……...
(nazwa jednostki/komórki organizacyjnej)
do przetwarzania danych osobowych PWSZ im. Witelona w Legnicy zgodnie z Wnioskiem nr …..........................………….
oraz zobowiązuje do przetwarzania danych osobowych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych, wydanymi na jej podstawie aktami wykonawczymi oraz obowiązującymi przepisami wewnętrznymi.
……………………………………………
(Rektor/Kanclerz)
…………………………..……………………...
(data i podpis ABI)
…………………………..……………………...
(data i podpis upowaŜnionego)
UpowaŜnienie wycofano dnia: …………………..
……………………………………..…………..
(data i podpis ABI)
Strona 1
……………………………………..…………..
Legnica, dnia …...........…………….. r.
(nazwisko i imię)
……………………………………..…………..
(stanowisko słuŜbowe oraz nazwa komórki organizacyjnej)
..................................................................
(numer ewidencyjny)
OŚWIADCZENIE
Ja niŜej podpisana/ny oświadczam, iŜ:
1.
Zostałam/em przeszkolona/ny w zakresie ochrony danych osobowych i znana jest mi treść ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.) oraz Polityki Bezpieczeństwa w
Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy a takŜe Instrukcji zarządzania systemem informatycznym
słuŜącym do przetwarzania danych osobowych.
2.
Zobowiązuję się:
−
zachować w tajemnicy dane osobowe, z którymi zetknęłam się/zetknąłem się* w trakcie wykonywania swoich
obowiązków słuŜbowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu;
−
chronić dane osobowe przed dostępem do nich osób do tego nieupowaŜnionych, zabezpieczać je przed
zniszczeniem i nielegalnym ujawnieniem.
3.
Znana jest mi odpowiedzialność karna za naruszenie ustawy o której mowa w ust.1 (art. 49-54).
4.
Przyjmuję do wiadomości, iŜ:
−
sposoby zabezpieczenia danych osobowych stosowane w PWSZ im. Witelona w Legnicy są tajemnicą Uczelni;
−
postępowanie sprzeczne z powyŜszymi zobowiązaniami moŜe być uznane przez administratora danych osobowych
za cięŜkie naruszenie obowiązków pracowniczych w rozumieniu art. 52 § 1 pkt 1 Kodeksu Pracy lub za naruszenie
przepisów karnych ww. ustawy o ochronie danych osobowych, a takŜe przepisów prawa cywilnego w przypadku
umowy cywilno-prawnej.
............................................................
.................................................................
(Rektor/Kanclerz)
(podpis)
* niepotrzebne skreślić
Strona 2
Załącznik nr 5 do Polityki Bezpieczeństwa
Wzór wykazu miejsc przetwarzania danych osobowych w PWSZ im. Witelona w Legnicy
Lp.
Nazwa zbioru
danych(1)
Budynek
Nr pokoju
Nazwa
Systemu(2)
Funkcja
lokalizacji(3)
Zabezpieczenie
fizyczne(4)
(1) nazwa zbioru danych osobowych zgodna z Polityką Bezpieczeństwa
(2) nazwa systemu do przetwarzania – tradycyjny (papierowy), informatyczny (nazwa systemu)
(3) S - serwer, K – miejsce przechowywania kopii bezpieczeństwa, Z – pomieszczenie, w którym wykonywane są kopie bezpieczeństwa,
U – pomieszczenie osób wprowadzających dane, A – pomieszczenie administratora bazy danych, P – pomieszczenie, gdzie przetwarza
się dane osobowe w sposób tradycyjny (papierowy), AP – archiwum zbiorów papierowych,
(4) A – alarm, W – wzmocnione drzwi
Dane aktualne na dzień…..................………..……
Sporządził………….....................…………………..
Załącznik nr 6 do Polityki Bezpieczeństwa
Wzór wykazu systemów informatycznych przetwarzania danych osobowych w PWSZ im. Witelona w Legnicy
Lp.
Nazwa zbioru danych
Systemy informatyczne
stosowane do przetwarzania
danych osobowych w zbiorze
Dane aktualne na dzień………........…..……
Sporządził…………………...........…………..
Zastosowany poziom
bezpieczeństwa
Uwagi
Załącznik nr 7 do Polityki Bezpieczeństwa
Wzór struktury zbiorów danych
………………………..................………………………….…………
System informatyczny stosowany do przetwarzania danych osobowych
Lp.
Nazwa zbioru danych
Dane aktualne na dzień…………..……
Sporządził……………………………..
Zakres przetwarzanych danych
Załącznik nr 8 do Polityki Bezpieczeństwa
Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami.
Nazwa systemu
Nazwa systemu
Przepływ jednokierunkowy
sposób przepływu informacji (manualny,
automatyczny, półautomatyczny),
wykorzystywany nośnik
do
przetwarzania
danych osobowych
do
przetwarzania
danych osobowych
Przepływ dwukierunkowy
Dane aktualne na dzień…………..……
Sporządził……………………………..
Załącznik nr 2 do zarządzenia nr 9/11 Rektora Państwowej WyŜszej
Szkoły Zawodowej im. Witelona w Legnicy z dnia 21 marca 2011 r.
Instrukcja
zarządzania systemem informatycznym słuŜącym do przetwarzania danych osobowych
w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy
§ 1.
Postanowienia ogólne
Celem wprowadzenia instrukcji jest ustalenie ramowych zasad właściwego zarządzania zabezpieczeniami systemu
informatycznego oraz ochrony danych osobowych zwanych dalej „danymi” przetwarzanych w tym systemie.
§ 2.
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym.
1.
Dane osobowe przetwarzane są w PWSZ im. Witelona w Legnicy z uŜyciem dedykowanych serwerów, komputerów
stacjonarnych i przenośnych.
2. Dla kaŜdego uŜytkownika systemu informatycznego, który przetwarza dane osobowe, ASI (Administrator Systemów
Informatycznych) ustala niepowtarzalny login.
3. Dostęp do danych osobowych przetwarzanych w systemie informatycznym moŜliwy jest wyłącznie po podaniu przez
uŜytkownika loginu i właściwego hasła dostępu.
4. Główny informatyk lub osoba przez niego upowaŜniona tj. ASI przekazując uŜytkownikowi login i hasło przeprowadza
szkolenie z zakresu pracy w systemie informatycznym oraz bezpieczeństwa danych w systemie informatycznym.
5. Za realizację procedury rejestrowania, aktualizacji oraz wyrejestrowywania uŜytkowników w systemie informatycznym
odpowiedzialny jest ASI.
6. Login wraz z danymi uŜytkownika podlega wpisowi do rejestru osób upowaŜnionych do przetwarzania danych osobowych
oraz rejestracji w systemie informatycznym.
7. UŜytkownicy nie mogą korzystać z innych loginów niŜ te, do których są upowaŜnieni.
8. Login uŜytkownika nie podlega zmianie, a po wyrejestrowaniu uŜytkownika z systemu informatycznego, nie jest
przydzielany innej osobie.
9. Główny informatyk wyznacza dla kaŜdego systemu informatycznego ASI oraz osobę zastępującą, w przypadku jego
nieobecności. ASI przydziela się w systemie login uŜytkownika uprzywilejowanego.
10. LADO (Lokalny Administrator Danych Osobowych), informuje głównego informatyka o fakcie utraty przez podległą mu
osobę uprawnień dostępu do danych osobowych w systemie informatycznym.
11. Login osoby, która utraciła uprawnienia dostępu do danych osobowych, naleŜy niezwłocznie wyrejestrować
z systemu informatycznego, uniewaŜnić jej hasło, oraz podjąć inne stosowne działania w celu zapobieŜenia dalszemu
dostępowi tej osoby do danych.
§ 3.
Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i uŜytkowaniem
1.
Hasło ustanowione podczas przyznawania uprawnień przez ASI naleŜy zmienić na indywidualne podczas pierwszego
logowania się w systemie.
2. Hasło dostępu uŜytkownika ulega automatycznej zmianie raz na miesiąc. Za jego zmianę odpowiedzialny jest uŜytkownik.
3. Hasło składa się z co najmniej ośmiu znaków, zawiera małe i duŜe litery oraz cyfry lub znaki specjalne.
4. Hasło nie moŜe być udostępniane innym uŜytkownikom ani przechowywane w miejscach umoŜliwiających dostęp
do niego osobom trzecim.
5. W przypadku, gdy istnieje podejrzenie, Ŝe hasło mogła poznać osoba nieuprawniona, uŜytkownik zobowiązany jest
do natychmiastowej zmiany hasła, lub w razie problemów powiadomić o tym fakcie ASI.
6. Pracownik ma prawo do wykonywania tylko tych czynności, do których został upowaŜniony.
7. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy uŜyciu jego logina i hasła dostępu.
8. W przypadku przetwarzania danych osobowych w komputerach przenośnych za bezpieczeństwo danych osobowych
w całości odpowiada uŜytkownik urządzenia.
9. Komputery przenośne, dyski twarde oraz inne wykorzystywane nośniki informacji powinny być zabezpieczone w sposób
uniemoŜliwiający dostęp do danych osobowych osobom postronnym (np. nieuprawniony dostęp, kradzieŜ komputera,
szpiegostwo przemysłowe), poprzez wykorzystanie metod i środków kryptograficznych (szyfrowane partycje dysków
twardych, szyfrowanie plików, ochrona fizyczna nośników).
10. Stanowiska komputerowe, na których skonfigurowanie logina i hasła zapewniającego ochronę jest nieskuteczne,
zabezpiecza się dodatkowym hasłem (hasło wygaszacza ekranu, hasło BIOSu)
11. Hasła ASI są zdeponowane w Kancelarii Tajnej i podlegają zmianie raz w roku.
§ 4.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone
dla uŜytkowników systemu
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Dane osobowe, których administratorem jest PWSZ im. Witelona w Legnicy mogą być przetwarzane
z uŜyciem systemu informatycznego tylko na potrzeby realizowania zadań statutowych i organizacyjnych Uczelni.
UŜytkownik przystępujący do pracy w systemie informatycznym, w którym przetwarzane są dane osobowe wpisuje login
oraz hasło dostępu, a po uzyskaniu akceptacji uruchamia właściwy program.
UŜytkownik ma obowiązek wylogowania się lub zablokowania systemu w przypadku nieobecności
na stanowisku pracy lub w przypadku zakończenia pracy. Stanowisko komputerowe nie moŜe pozostać z uruchomionym i
dostępnym systemem bez nadzoru pracującego na nim uŜytkownika.
Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają
upowaŜnień do przetwarzania danych osobowych, naleŜy ustawić w taki sposób, aby uniemoŜliwić osobom postronnym
wgląd w dane.
Po zakończeniu pracy naleŜy zamknąć programy i po zastosowaniu odpowiedniej procedury wyłączyć komputer.
Wychodząc z pomieszczenia, w którym przetwarzane są dane z systemu informatycznego naleŜy sprawdzić czy
zamknięte są okna i wejście do pomieszczenia.
UŜytkownik niezwłocznie powiadamia ASI o przypadku braku moŜliwości zalogowania się na swoje konto oraz LADO
w przypadku podejrzenia fizycznej ingerencji w przetwarzane dane osobowe lub uŜytkowane narzędzia programowe
lub sprzętowe. Wówczas, uŜytkownik jest zobowiązany do natychmiastowego wyłączenia sprzętu.
Osoby uŜytkujące przenośny komputer, słuŜący do przetwarzania danych osobowych, obowiązane są zabezpieczyć
dostęp do komputera hasłem, zachować szczególną ostroŜność podczas transportu i przechowywania komputera,
nie zezwalając na uŜywanie komputera przez osoby nieupowaŜnione.
Drukarki nie mogą być pozostawione bez kontroli jeśli są lub wkrótce będą drukowane na nich dane osobowe z systemu
informatycznego, o ile dostęp osób trzecich do pomieszczeń drukarek nie jest odpowiednio ograniczony.
Drukowanie na takich drukarkach jest dopuszczalne o ile otoczenie drukarki jest chronione przed fizycznym dostępem
osób nieuprawnionych.
Za przechowywanie wydruku zawierającego dane z systemu informatycznego w PWSZ im. Witelona w Legnicy
odpowiada uŜytkownik tj. wykonawca wydruku.
Wykonawca który odpowiada za przechowywanie wydruku zawierającego dane z systemu informatycznego, moŜe
przekazać wydruk oraz odpowiedzialność za jego przechowanie innej osobie tylko wtedy, gdy jest ona upowaŜniona do
dostępu informacji zawartych na wydruku.
Wydruki zawierające dane z systemu informatycznego po zakończeniu pracy powinny być przechowywane
w zamkniętych szafach.
Wydruki, notatki, kserokopie dokumentów itp. nie wykorzystane a zawierające dane osobowe z systemu informatycznego
muszą być bezwzględnie niszczone w sposób uniemoŜliwiający odtworzenie ich treści.
§ 5.
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŜących
do ich przetwarzania
1.
2.
3.
4.
5.
6.
7.
Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą:
a) urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej,
b) sporządzania kopii zapasowych zbiorów danych (kopie pełne).
Główny informatyk odpowiedzialny jest za tworzenie kopii bezpieczeństwa systemu informatycznego, przy czym moŜe on
zlecić wykonanie tej kopii wyznaczonemu ASI.
Pełne kopie zapasowe zbiorów danych tworzone są codziennie po zakończonym dniu pracy.
W szczególnych przypadkach – przed aktualizacją lub zmianą w systemie naleŜy bezwarunkowo wykonać pełną kopię
zapasową systemu.
Kopie zapasowe zbiorów danych naleŜy okresowo sprawdzać pod kątem ich przydatności do odtworzenia
gdyby doszło do awarii systemu. Za przeprowadzanie tej procedury odpowiedzialny jest właściwy ASI.
Nośniki danych po ustaniu ich uŜyteczności naleŜy pozbawić danych lub zniszczyć w sposób uniemoŜliwiający odczyt
danych.
W przypadku komputerów stacjonarnych i przenośnych nie będących własnością PWSZ im. Witelona
w Legnicy, uŜytkownik systemu ma obowiązek sporządzania kopii zapasowych jak równieŜ ochrony nośników informacji.
Wymaga się od uŜytkownika stosowania zasad dotyczących ochrony danych osobowych przed dostępem osób
nieuprawnionych.
§ 6.
Sposób, miejsce i okres przechowywania nośników informacji zawierających dane osobowe, w tym kopii zapasowych
1.
Okresowe kopie zapasowe wykonywane są na dyskietkach, płytach CD, DVD, kasetach do streamerów
lub innych elektronicznych nośnikach informacji. Kopie powinny być przechowywane w innych pomieszczeniach niŜ te,
2.
3.
4.
5.
6.
7.
8.
9.
w których przechowywane są zbiory danych osobowych wykorzystywane na bieŜąco. Kopie zapasowe przechowuje się
w sposób uniemoŜliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie.
Dostęp do nośników z kopiami zapasowymi systemu oraz kopiami danych osobowych, ma wyłącznie Rektor, Kanclerz,
Główny Informatyk, ABI oraz ASI.
Kopie miesięczne przechowuje się przez okres 12 miesięcy. Kopie zapasowe naleŜy bezzwłocznie usuwać po ustaniu ich
uŜyteczności.
Usunięcie danych z systemu powinno zostać zrealizowane przy pomocy oprogramowania przeznaczonego do
bezpiecznego usuwania danych z nośnika informacji.
W przypadku kopii zapasowych sporządzanych indywidualnie przez uŜytkownika, za ich zniszczenie odpowiada
uŜytkownik.
Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu
podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych.
W przypadku nośników informacji, przez ich zniszczenie rozumie się ich trwałe i nieodwracalne zniszczenie fizyczne do
stanu nie dającego moŜliwości ich rekonstrukcji i odzyskania danych.
W przypadku braku moŜliwości zrealizowania procedury zniszczenia nośników informacji, naleŜy fakt ten zgłosić
głównemu informatykowi. Po przekazaniu nośników zostaną one zniszczone w ramach środków technicznych Działu
Administracyjno-Technicznego, bądź poddane procedurze utylizacji nośników informacji realizowanej przez firmę
zewnętrzną.
Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy naleŜy pozbawić przed naprawą
zapisu danych albo naprawiać pod nadzorem osoby upowaŜnionej przez ADO.
§ 7.
Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego
oprogramowania
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
Ruch w sieci komputerowej PWSZ im. Witelona w Legnicy jest zabezpieczony przed dostępem z zewnętrznej publicznej
sieci przez zastosowanie rozbudowanej ściany ogniowej (firewall). Ruch jest monitorowany przez ABI w celu kontroli
przepływu danych między siecią publiczną, a siecią PWSZ im. Witelona w Legnicy oraz kontroli działań w sieciach.
Na wszystkich stacjach roboczych oraz serwerach zainstalowane jest oprogramowanie antywirusowe NOD32.
Aktualizacje baz danych pobierane są codziennie do lokalnego repozytorium, z którego aktualizacje pobierane są przez
pozostałe komputery.
Funkcjonowanie oprogramowania antywirusowego nadzorowane jest centralnie przez oprogramowanie konsoli
zarządzającej.
UŜytkownicy powinni być przeszkoleni w ramach wewnętrznych szkoleń adaptacyjnych, w szczególności
z zasad bezpiecznej pracy pozwalających unikać szkodliwego oprogramowania oraz zasad postępowania
w przypadku wykrycia, lub podejrzenia działania złośliwego oprogramowania.
Oprogramowanie uŜywane w systemie informatycznym w PWSZ im. Witelona w Legnicy musi być chronione przed
jakąkolwiek niekontrolowaną modyfikacją, nieautoryzowanym usunięciem oraz kopiowaniem.
Przed jakimkolwiek zainstalowaniem nowego oprogramowania naleŜy sprawdzić jego działanie pod kątem
bezpieczeństwa całego systemu.
W systemie informatycznym w PWSZ im. Witelona w Legnicy moŜe być uŜywane wyłącznie oprogramowanie
licencjonowane przez posiadacza praw autorskich.
Oprogramowanie moŜe być uŜywane tylko zgodnie z prawami licencji.
Narzędzia związane z bezpieczeństwem systemów mogą być wykorzystane w systemie informatycznym
w PWSZ im. Witelona w Legnicy tylko jeśli pochodzą od zaufanego dostawcy.
ASI raz w miesiącu dokonuje sprawdzenia serwera przy uŜyciu uaktualnionego oprogramowania antywirusowego.
UŜytkownik przeprowadza cykliczne kontrole antywirusowe w przydzielonym mu komputerze - minimum
raz w miesiącu. W przypadku wykrycia wirusów komputerowych, sprawdzane jest stanowisko komputerowe na którym
wykryto wirusa oraz wszystkie posiadane przez uŜytkownika nośniki
Kontrola antywirusowa przeprowadzana jest równieŜ na wybranym komputerze, w przypadku zgłoszenia
nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowaniu.
W przypadku podejrzenia wykrycia wirusa komputerowego uŜytkownik powinien natychmiast powiadomić
o tym głównego informatyka lub ASI.
Bez zgody głównego informatyka oraz ASI zabronione jest instalowanie jakiegokolwiek oprogramowania komputerowego.
Pobieranie w niezbędnym zakresie danych ze źródeł zewnętrznych moŜliwe jest wyłącznie po uprzednim
ich sprawdzeniu na obecność wirusów komputerowych.
Rejestr wydanych komputerowych nośników informacji przeznaczonych do przetwarzania danych osobowych
prowadzony jest przez głównego informatyka.
Za pobrany komputerowy nośnik informacji, bezpieczeństwo zapisanych na nim danych oraz rejestrację,
o której mowa w ust. 17 odpowiada uŜytkownik, który pobrał dany nośnik i posiada go na swoim stanie.
Autoryzowane, do uŜywania z systemu informatycznego w PWSZ im. Witelona w Legnicy, nośniki informacji powinny być
po zakończeniu pracy przechowywane w sposób zapewniający bezpieczeństwo zapisanych na nim danych.
W przypadku uszkodzenia lub zuŜycia dyskietki, płyty CD-ROM lub inne komputerowe nośniki winny być zdawane
głównemu informatykowi.
Główny informatyk dokonuje zniszczenia uszkodzonego lub zuŜytego komputerowego nośnika informacji w sposób
uniemoŜliwiający odtworzenie zapisanych na nim danych.
§ 8.
Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych.
1.
2.
3.
4.
5.
Udostępnienie danych osobowych instytucjom, osobom spoza Uczelni moŜe odbywać się wyłącznie na pisemny
uzasadniony wniosek, za zgodą Rektora lub Kanclerza.
ABI prowadzi ewidencję udostępniania danych osobowych.
Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie osobom uprawnionym.
Udostępnienie danych osobowych nie moŜe być realizowane drogą telefoniczną.
Programy wykorzystywane do obsługi baz danych osobowych zapewniają odnotowanie informacji o udostępnianiu
danych odbiorcom.
§ 9.
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji słuŜących
do przetwarzania danych
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Przeglądy i konserwacje systemu oraz zbiorów danych wykonuje na bieŜąco wyznaczony przez głównego informatyka
ASI – nie rzadziej niŜ raz w miesiącu. Sprawdzana jest spójność danych, indeksów oraz stan nośników informacji, np.
dysków twardych oraz urządzeń peryferyjnych.
ASI okresowo sprawdza moŜliwość odtworzenia danych z kopii zapasowej. Częstotliwość wykonywania procedury
odtwarzania danych jest ustalana przez głównego informatyka.
Umowy dotyczące instalacji i konserwacji sprzętu naleŜy zawierać z podmiotami, których kompetencje nie budzą
wątpliwości, co do wykonania usługi oraz których wiarygodność finansowa została sprawdzona
na rynku – z pełnym zastosowaniem procedur obowiązujących w PWSZ im. Witelona w Legnicy.
Naprawa sprzętu, na którym mogą znajdować się dane osobowe powinna odbywać się pod nadzorem osób uŜytkujących
sprzęt oraz wyznaczonego przez głównego informatyka pracownika, w miejscu jego uŜytkowania.
W przypadku konieczności naprawy poza miejscem uŜytkowania, sprzęt komputerowy, przed oddaniem
do serwisu, powinien być odpowiednio przygotowany. Dane naleŜy zarchiwizować na nośniki informacji,
a dyski twarde, bezwzględnie, wymontować na czas naprawy.
Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe lub zmiana jego lokalizacji, moŜe być
dokonana tylko za wiedzą i zgodą głównego informatyka.
W przypadku komputerów stacjonarnych i przenośnych nie będących własnością PWSZ im. Witelona
w Legnicy uŜytkownik systemu jest odpowiedzialny za zabezpieczenie danych osobowych znajdujących się na jego
komputerze, przed przekazaniem sprzętu do serwisu.
W przypadku problemów z realizacją zabezpieczenia danych osobowych, uŜytkownik systemu zobowiązany jest zwrócić
się o pomoc, w tym zakresie, do pracowników Sekcji informatyki.
Niesprawne nośniki danych, na których przechowywano dane osobowe powinny być niszczone trwale,
aby nie był moŜliwy odczyt z nich jakichkolwiek danych.
Uszkodzone urządzenia i nośniki, które zawierają dane osobowe, powinny być trwale niszczone fizycznie.
W przypadku braku moŜliwości zakupu nowych urządzeń lub nośników oraz odtworzenia utraconych danych z kopii
zapasowych, naleŜy podjąć ich naprawę na miejscu w obecności upowaŜnionego pracownika.
W przypadku zbywania/darowizny komputerów lub nośników wykorzystywanych dotychczas przez PWSZ im. Witelona w
Legnicy wszystkie dane osobowe w nich zawarte powinny być wykasowywane nieodwracalnie.
Uszkodzone urządzenie lub nośnik nie będący własnością PWSZ im. Witelona w Legnicy, na którym znajdują się dane
osobowe powinien być trwale niszczony fizycznie lub naprawiany w obecności uŜytkownika.
Osobą odpowiedzialną za okresową weryfikację uprawnień poszczególnych uŜytkowników aplikacji jest główny
informatyk.
KaŜdy system wielodostępny powinien zawierać odpowiednie, automatyczne narzędzia pozwalające głównemu
informatykowi oraz wyznaczonemu ASI na weryfikację stanu bezpieczeństwa systemu.
Poszczególne systemy informatyczne muszą w sposób bezpieczny prowadzić zapis wszystkich znaczących zdarzeń
systemowych
mających
wpływ
na
bezpieczeństwo
przetwarzanych
w
nich
danych
osobowych
a w szczególności:
a) zmian logina uŜytkownika w czasie sesji,
b) prób odgadywania haseł,
c) prób wykorzystania uprawnień, do których uŜytkownik nie uzyskał autoryzacji,
d) modyfikacji oprogramowania aplikacyjnego,
e) modyfikacji oprogramowania systemowego,
f)
zmian uprawnień uŜytkowników,
g) prób ingerencji w systemowe rejestry zdarzeń.
Rejestry zdarzeń systemowych związanych z bezpieczeństwem systemów informatycznych muszą być przechowywane
przez okres co najmniej 1 roku.
Podczas tego okresu muszą być zabezpieczone w taki sposób aby nie była moŜliwa ich modyfikacja oraz aby były one
dostępne jedynie dla autoryzowanych pracowników.
ASI powinien codziennie kontrolować zbiory systemowe dla prawidłowego funkcjonowania systemu.
Co kwartał naleŜy przeprowadzać weryfikację całego oprogramowania uŜytkowego eksploatowanego na wszystkich
komputerach podłączonych do systemu informatycznego pod kątem spełnienia wymogów bezpieczeństwa. Czynności
te winny być dokumentowane przez ASI.
Główny informatyk co najmniej raz na kwartał winien przeprowadzić weryfikację usług sieciowych dostępnych
w systemach informatycznych oraz blokować usługi niewykorzystywane.
21. Główny informatyk jest odpowiedzialny za uaktualnianie systemów operacyjnych i aplikacji.
22. ABI lub osoba wyznaczona wraz z głównym informatykiem raz na miesiąc, a w przypadku podejrzeń naruszenia
zabezpieczeń danych osobowych z uwagi na stan urządzeń lub sposób działania programu, bezzwłocznie:
a) sprawdzają serwer oraz poszczególne komputery za pomocą istniejących w systemie informatycznym programów
monitorujących,
b) dokonują przeglądu i bieŜącej konserwacji sprzętu oraz zbioru danych.