instrukcja bezpieczeństwa danych osobowych

INSTRUKCJA BEZPIECZEŃSTWA
DANYCH OSOBOWYCH
Szkoła Podstawowa
im. Prymasa Tysiąclecia
w Woli Zarczyckiej
Podstawa prawna:
1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)
2. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy (Dz. U. z 1998 r.
Nr 21, poz. 94 z późn. zm.)
3. Rozporządzenie MPiPS z dnia 28 maja 1996 r. w sprawie zakresu
prowadzenia przez pracodawców dokumentacji w sprawach
związanych ze stosunkiem pracy oraz sposobu prowadzenia akt
osobowych pracownika (Dz. U. z 1996 r. Nr 62, poz. 286
z późn. zm.)
I USTALENIA WSTĘPNE
§1
1. Cele, dla których Szkoła Podstawowa w Woli Zarczyckiej zbiera dane
osobowe to:
- przebieg zatrudnienia i wynagradzania w odniesieniu do pracowników
i ich rodzin
- realizacja zadań dydaktyczno–wychowawczo-opiekuńczych w stosunku
do uczniów i ich rodzin
- gromadzenie ofert pracy.
2. Każdy z pracowników i uczniów ma prawo do ochrony dotyczących
go danych osobowych.
3. Przetwarzanie danych osobowych może mieć miejsce ze względu
na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich
w zakresie i trybie określonym regulaminem.
4. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej.
5. Obowiązek informowania, a także uzyskania oświadczeń o zgodzie
na przetwarzanie danych osobowych, traktowany jest łącznie w stosunku
do grup, których dane Szkoła Podstawowa w Woli Zarczyckiej zbiera
i przetwarza.
6. W przypadku pracowników obowiązek, o którym mowa w pkt 5 uważa
się za spełniony po podpisaniu stosownego oświadczenia.
7. W przypadku uczniów i rodziców obowiązek, o którym mowa w pkt 5 uważa
się za spełniony po zapisaniu dzieci przez rodziców (prawnych opiekunów)
do szkoły.
§2
1. W Szkole Podstawowej w Woli Zarczyckiej tworzy się następujące zbiory
danych osobowych:
Arkusze organizacji roku szkolnego
Akta osobowe pracowników
Akta Zakładowego Funduszu Socjalnego
Protokoły Rady Pedagogicznej
Arkusze hospitacji zajęć lekcyjnych
Listy płac pracowników
Ewidencja zwolnień lekarskich pracowników
Ewidencja osób korzystających z księgozbioru bibliotecznego
Księga ewidencji uczniów
Księga dzieci
Dzienniki lekcyjne i pozalekcyjne
Rejestr pedagoga szkolnego
Arkusze ocen wszystkich uczniów wraz z opiniami poradni PPP
Protokoły egzaminów klasyfikacyjnych i poprawkowych
Dokumentacja zdrowotna uczniów
Zwolnienia lekarskie uczniów z wychowania fizycznego
Rejestr wypadków uczniów
Oferty pracy – CV
2.
Dane
są
gromadzone
i
przechowywane
w
systemie
oraz są przetwarzane także za pomocą systemu komputerowego.
ręcznym
§3
1.
Administratorem
danych
osobowych
w
Szkole
Podstawowej
w Woli Zarczyckiej jest dyrektor szkoły.
2. Dyrektor szkoły w zakresie ochrony danych osobowych oświadcza,
że w szkole:
*
podejmuje
się
działania
dla
ochrony
praw
związanych
z bezpieczeństwem danych osobowych,
*
podnosi się świadomość oraz kwalifikacje osób przetwarzających dane
osobowe w zakresie problematyki bezpieczeństwa tych danych,
* ochrona danych osobowych należy do podstawowych obowiązków
pracowniczych,
* obowiązek ochrony danych będzie egzekwowany od każdego pracownika,
który w jakikolwiek sposób ma do nich dostęp.
§4
1. Dyrektor jest świadomy zagrożeń związanych z przetwarzaniem danych
w szczególności wynikających z dynamicznego rozwoju metod i technik
przetwarzania
danych
w
systemach
informatycznych
oraz
sieciach
telekomunikacyjnych.
2. Dyrektor zamierza doskonalić i rozwijać nowoczesne metody przetwarzania
danych.
3. Dyrektor szkoły deklaruje, że szkoła będzie doskonaliła i rozwijała możliwe
środki ochrony danych osobowych w celu skutecznego zapobiegania
zagrożeniom wykradania zasobów komputerowych:
a) związanych z: wirusami, spamami, stronami i komunikatorami
internetowymi,
b) użytkowaniem oprogramowania do wymiany plików, mogącym
służyć do łatwego skopiowania pliku poza szkołę,
c) możliwością niekontrolowanego kopiowania danych na zewnętrzne,
przenośne nośniki,
d) możliwością podsłuchiwania sieci, dzięki któremu można zdobyć
hasła i skopiować objęte ochroną dane,
e) lekceważeniem
zasad
ochrony
danych
polegającym
na pozostawianiu pomieszczenia lub stanowiska pracy bez
ich zabezpieczenia,
f) brakiem
świadomości
niebezpieczeństwa
dopuszczania
osób
postronnych do swojego stanowiska pracy,
g) atakami z sieci uniemożliwiającymi przetwarzanie,
h) kradzieżą sprzętu lub nośników z danymi,
i) przekazywaniem sprzętu z danymi do serwisu,
j) innym możliwym zagrożeniom.
§5
1. Dane osobowe gromadzone są oraz przetwarzane z przestrzeganiem
obowiązujących przepisów prawa.
2. Dane osobowe przetwarzane są w celu realizacji statutowych celów szkoły
dla realizacji:
 zadań
dydaktycznych,
wychowawczych,
opiekuńczych
i organizacyjnych wynikających z ustawy z 7.09.1991 r. o systemie
oświaty,
 polityki kadrowej oraz bieżącej obsługi stosunków pracy
 i zatrudnienia.
§6
Polityka bezpieczeństwa danych osobowych dotyczy danych gromadzonych
i przetwarzanych w zbiorach:
* drukowanych znajdujących się w kartotekach, skorowidzach, księgach,
we wszystkich zbiorach ewidencyjnych,
* w systemach informatycznych.
§7
1. Szkoła chroni wszystkie posiadane zasoby zgodnie z ww. przepisami prawa.
2. Pod szczególną ochroną są tzw. wrażliwe dane osobowe wymienione
w art. 27 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych.
3. Przetwarzanie danych ujawniających:
* pochodzenie rasowe lub etniczne,
* poglądy polityczne, przekonania religijne lub filozoficzne,
* przynależność wyznaniową, partyjną lub związkową, jak również
* danych o stanie zdrowia,
* kodzie genetycznym, nałogach lub życiu seksualnym oraz
* danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także
innych orzeczeń wydanych w postępowaniu sadowym lub administracyjnym
dopuszczalne jest tylko w związku z realizacją celów statutowych szkoły
i w granicach wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia
1997 r. o ochronie danych.
§8
1. Szkoła stosuje środki informatyczne, techniczne i organizacyjne zapewniające
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną, zabezpieczając dane przed:
* ich udostępnieniem lub zabraniem przez osobę nieuprawnioną,
* zmianą, utratą, uszkodzeniem lub zniszczeniem,
* przetwarzaniem z naruszeniem ustawy.
2. Szkoła unowocześnia oraz zapewnia aktualizacje informatycznych środków
ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami,
nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi
z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.
3. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem:
* Dane osobowe przetwarzane są z użyciem dedykowanych serwerów,
komputerów stacjonarnych.
* Hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane
w przypadku :
* Systemu SIO, HERMES – co 30 dni,
* OFFICE, PROGMAN, BIP – zmiana hasła dostępu do stanowiska
komputerowego co 90 dni.
* Hasło oprócz znaków małych i dużych liter winno zawierać ciąg znaków
alfanumerycznych i specjalnych;
* Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów
w formie jawnej;
* Hasło nie może zawierać żadnych informacji, które można kojarzyć
z użytkownikiem komputera np. osobiste dane użytkownika, tj. nazwisko,
inicjały, imiona, marka lub nr rejestracyjny samochodu itp.;
§9
1. Szkoła sprawuje kontrole i nadzór nad niszczeniem zbędnych danych
osobowych, ich zbiorów.
2. Niszczenie tych danych osobowych, ich zbiorów polega na:
* trwałym, fizycznym ich zniszczeniu wraz z ich nośnikami w stopniu
uniemożliwiającym ich odtworzenie przez osoby niepowołane przy
zastosowaniu powszechnie dostępnych metod,
* anonimizacji danych osobowych, zbiorów polegającej na pozbawieniu
danych osobowych, ich zbiorów – cech umożliwiających identyfikację
osób fizycznych, których dane dotyczą.
3. Naruszenie przez zatrudnione osoby w ramach stosunku pracy, upoważnione
do dostępu i przetwarzania danych osobowych stosowanych procedur niszczenia
zbędnych danych osobowych, ich zbiorów traktowane będzie, jako ciężkie
naruszenie
podstawowych
obowiązków
pracowniczych
ze
wszystkimi
konsekwencjami, włącznie z rozwiązaniem stosunku pracy.
4. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych, ich zbiorów
może polegać na wprowadzeniu odpowiednich procedur niszczenia danych,
a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnętrznym,
gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie
do rodzaju nośnika tych danych.
§ 10
1. Szkoła prowadzi dokumentację określającą sposób przetwarzania danych oraz
środki ochrony tych danych, którą jest niniejsza procedura.
2. Załącznikami do niniejszej procedury są:
* rejestr upoważnień dostępu do danych osobowych oraz ich
przetwarzania ,
* upoważnienie dla pracownika do dostępu i przetwarzania danych,
* oświadczenie o zapoznaniu się pracownika z przepisami o ochronie
danych,
* oświadczenie o wyrażeniu zgody na gromadzenie i przetwarzanie
danych.
3. Zarządzenia Dyrektora w zakresie polityki bezpieczeństwa danych
osobowych mogą dotyczyć:
a) instrukcji sposobu i formy zabezpieczeń systemów informatycznych
służących do przetwarzania danych osobowych,
b) instrukcji postępowania w sytuacji naruszenia ochrony danych
osobowych,
c) innych wytycznych i zasad dotyczących bezpieczeństwa danych i ich
przetwarzania.
II. ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH
§ 11
1. Szkoła udostępnia dane na miejscu wyłącznie osobom upoważnionym.
2. Upoważnienie może wynikać w szczególności z:
a) pisemnego zakresu czynność, obowiązków wykonywanych na danym
stanowisku pracy,
b) z odrębnego dokumentu zawierającego imienne upoważnienie
do dostępu do danych osobowych.
3. Szkoła dopuszcza do przetwarzania danych w systemie informatycznym,
tradycyjnym na mocy pisemnych upoważnień nadanych przez dyrektora
lub inną osobę wskazaną przez dyrektora.
4. Upoważnienie wygasa w związku z ustaniem zatrudnienia lub w przypadku
pozbawienia upoważnienia w związku z łamaniem ustawy o ochronie danych.
5. Szkoła zapewnia dostęp do przetwarzanych danych osobom, które powierzyły
jej swoje dane.
§ 12
1. Osoby niezatrudnione przy przetwarzaniu danych osobowych określonego
zasobu, w tym osoby, które dane udostępniły, mające interes prawny
lub faktyczny w uzyskaniu dostępu do tych danych mogą mieć do nich wgląd
wyłącznie w obecności upoważnionego pracownika szkoły.
2. Zasada ta obowiązuje także w przypadku korzystania przez związki
zawodowe z uprawnień przysługujących im na mocy odrębnych przepisów
(k.p., ustawa o związkach zawodowych).
3. Dostęp do danych osobowych i ich przetwarzanie bez upoważnienia dyrektora
lub osoby przez niego upoważnionej może mieć nastąpić wyłącznie
w przypadku działań osób lub organów upoważnionych na mocy odpowiednich
przepisów prawa do dostępu i przetwarzania danych określonych zasobów.
4. Dostęp do danych osobowych mogą mieć: Najwyższa Izba Kontroli,
Generalny Inspektor Ochrony Danych Osobowych, Zakład Ubezpieczeń
Społecznych, Policja, organy skarbowe, Państwowa Inspekcja Pracy, Wojskowe
Służby
Informacyjne,
Agencja
Bezpieczeństwa
Wewnętrznego,
sądy
powszechne i inne upoważnione przez przepisy prawa podmioty i organy,
na mocy nadanych im uprawnień – po ich okazaniu.
III. PRACOWNICY PRZETWARZAJĄCY DANE
§ 13
1. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych
z
powszechnie
obowiązującymi
przepisami
prawa,
uregulowaniami
wewnętrznymi, a także technikami i środkami ochrony tych danych
stosowanymi w szkole może odbywać się poprzez:
* szkolenia wewnętrzne na terenie szkoły,
* szkolenie zewnętrzne,
* instruktaż stanowiskowy,
* udostępnienie procedury i in. przepisów w tym zakresie.
2. Osoby upoważnione do przetwarzania danych osobowych są zapoznane
z zakresem informacji objętych tajemnicą, a także o obowiązku zachowania
w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych
w szkole.
§ 14
Naruszenie zasad bezpiecznego i zgodnego z prawem ich przetwarzania
przez pracowników upoważnionych do dostępu, traktowane będzie jako ciężkie
naruszenie
podstawowych
obowiązków
pracowniczych
ze
wszystkimi
konsekwencjami, włącznie z rozwiązaniem stosunku pracy.
§ 15
Osoby, których dane są przetwarzane w związku z realizacją celów statutowych
szkoły, uzyskują informacje o przysługujących im prawach nadanych ustawą
o ochronie danych osobowych.
IV. OBSZAR SZKOŁY, W KTÓRYM PRZETWARZANE
SĄ DANE OSOBOWE
§ 16
1. Szkoła wyznacza pomieszczenia i części pomieszczeń, tworzące obszar,
w którym przetwarzane są dane.
2. Jeśli w pomieszczeniu, w którym przetwarzane są dane osobowe znajduje się
część ogólnodostępna, część, w której są przetwarzane dane, powinna być
wyraźnie oddzielona od ogólnodostępnej.
3. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe,
może być poprzez montaż barierek, lad lub odpowiednie ustawienie mebli
biurowych uniemożliwiające lub ograniczające dostęp osób niepowołanych
do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu.
4. Komputery, w których odbywa się praca w związku z przetwarzaniem lub
gromadzeniem danych, powinny być ustawiane w sposób uniemożliwiający
dostęp do danych.
5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe, określa zarządzenie dyrektora szkoły.
W pomieszczeniach i częściach pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe, mogą przebywać wyłącznie osoby
upoważnione do dostępu i przetwarzania danych oraz osoby sprawujące nadzór
i kontrolę nad bezpieczeństwem ich przetwarzania.
§ 17
1. Całkowite opuszczenie (przez pracownika upoważnionego do przetwarzania
danych) pomieszczenia, w którym przetwarzane są dane osobowe, może
nastąpić po odpowiednim zabezpieczeniu tych danych.
2. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich
przetwarzania bez jego zabezpieczenia oraz znajdujących się w nim zbiorów
danych jest niedopuszczalne i będzie traktowane jako ciężkie naruszenie
podstawowych obowiązków pracowniczych.
§ 18
1. Dostęp do budynków i pomieszczeń szkoły, w których przetwarzane są dane
osobowe podlega kontroli.
2. Kontrola dostępu polegać może na ewidencjonowaniu wszystkich
przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń.
3. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej
klucz, numer lub inne oznaczenie pomieszczenia oraz godzinę pobrania lub
zdania klucza.
4. Klucze do pomieszczeń, w których przetwarzane są dane osobowe mogą być
wydawane wyłącznie pracownikom upoważnionym do przetwarzania danych
osobowych lub innym pracownikom w związku z wykonywaną przez nich
pracą.
Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych
osobowych, może wprowadzać inne formy monitorowania dostępu do miejsc
przetwarzania danych osobowych.
V. ZBIORY DANYCH OSOBOWYCH
§ 19
Szkoła sprawuje nadzór nad rodzajami oraz zawartością zbiorów danych
osobowych tworzonych na jego obszarze. Wykaz zbiorów stanowi odrębny
dokument.
§ 20
Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych
osobowych, zapewnia – zgodnie z przepisami – ochronę zbiorom danych
osobowych sporządzanych doraźnie, ze względów technicznych, szkoleniowych
lub w związku z procesem dydaktycznym i wychowawczo-opiekuńczym
realizowanym przez szkołę, a po ich wykorzystaniu niezwłocznie usuwanych
albo poddanych anonimizacji.
§ 21
Szkoła zabrania gromadzenia i tworzenia zbiorów danych osobowych innych
niż niezbędne dla realizacji celów statutowych.
Załącznik nr 1
OŚWIADCZENIE
Imię i nazwisko: …................................................................................................
Stanowisko służbowe: ….......................................................................................
Nazwa komórki organizacyjnej:..........................................................................
Stwierdzam własnoręcznym podpisem, że zapoznałem(am) się z
Regulaminem Ochrony Danych Osobowych
Jednocześnie, zgodnie z przepisami Ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. Nr 101 z dnia 6 lipca 2002 r. poz. 926
z późn. zm.) zobowiązuję się do ochrony przed niepowołanym dostępem,
nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem
lub pozyskaniem, danych osobowych przetwarzanych w Szkole Podstawowej
im.
Prymasa
Tysiąclecia
w
Woli
Zarczyckiej
oraz do zachowania
ich w tajemnicy w czasie trwania jak i po ustaniu zatrudnienia.
Równocześnie
oświadczam,
że
zostałem(am)
poinformowany(a)
o odpowiedzialności służbowej i karnej związanej z ochroną danych
osobowych.
...................................................
podpis Dyrektora
przyjmującego oświadczenie
..…...............................................
data i podpis
składającego oświadczenie
Załącznik nr 2
…............................................., dnia ….................
OŚWIADCZENIE
Oświadczam, że przed przystąpieniem do pracy przy przetwarzaniu danych
osobowych zastałam/em zaznajomiona/ny z przepisami dotyczącymi ochrony
danych osobowych, w tym z ustawą z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz.U. Z 2002 r. nr 101, poz. 926 z późn. zm.) oraz
rozporządzeniami wykonawczymi wydanymi na jej podstawie.
Zapoznałam/em się i rozumiem zasady dotyczące ochrony danych
osobowych.
….....................................
(podpis pracownika)
Załącznik nr 3
(pieczęć administratora danych)
…................. dnia ………… roku
Upoważnienie do przetwarzania danych osobowych
Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych
osobowych (Dz. U. z 2002 roku nr 101, poz. 926 z późn. zm.) upoważniam
Panią/Pana ……..……………………………………………………………..
(imię i nazwisko, stanowisko)
do przetwarzania danych osobowych w
danych*………………………………………….
zbiorze
danych/zbiorach
w następującym zakresie:
1. ………………………………………………………………
2. ………………………………………………………………
3. ………………………………………………………………
wyłącznie w związku
zleceniobiorcy.
z wykonywaniem obowiązków pracowniczych/
Upoważnienie nie obejmuje przetwarzania danych osobowych w zakresie:
………………………………………………………………
………………………………………………………………
………………………………………………………………
Upoważnienie udzielane jest na czas trwania zatrudnienia/do odwołania/
od ………………do ..……………
…………………………………………….
(podpis osoby reprezentującej administratora danych)
Wnoszę/nie wnoszę* o nadanie identyfikatora użytkownika i przyznanie hasła
…………………………………….
(podpis kierownika)
Pouczenie: osoba upoważniona do przetwarzania danych zgodnie z art. 39 ust. 2 ustawy o
ochronie danych osobowych obowiązana jest zachować w tajemnicy dane osobowe oraz
sposoby ich zabezpieczenia, w tym także po ustaniu zatrudnienia/odwołaniu
upoważnienia/upływie jego ważności. Ponadto podlega odpowiedzialności karnej wynikającej
z art. 51-52 ustawy o ochronie danych osobowych, a także art. 266 kodeksu karnego.
Załącznik nr 4
…………………………………
…………………………………
…………………………………
……............…. dnia ………………
(pieczęć lub pełna nazwa i adres)
WNIOSEK O UDOSTĘPNIENIE DANYCH
ZE ZBIORU DANYCH OSOBOWYCH
1.Wniosek do:...............................................................................................
2.Wnioskodawca…………………………...................................................
3. Podstawa prawna upoważniająca do pozyskania danych albo wskazanie
wiarygodnie uzasadnionej potrzeby posiadania danych w przypadku osób
innych niż wymienione w art. 29 ust. 1 ustawy o ochronie danych osobowych:
……………………………………………………………………………………
…...…………......………………………………………………...………………
4. Wskazanie przeznaczenia dla udostępnionych danych:
……………………….....………………………………………………………...
…………………........….……………………………………...…………………
5. Oznaczenie lub nazwa zbioru z którego mają być udostępnione dane:
Posiadane zbiory danych właściwe do zakresu żądanych informacji.
6. Zakres żądanych informacji ze zbioru:
……………………………………………………………………………………
…...…………..................……………………………………...…………………
7. Informacje umożliwiające wyszukanie w zbiorze żądanych danych:
……………………………………………………………………………………
…..…………..................................………………………………………………
…......................................................
(data i podpis wnioskodawcy)
Załącznik nr 5
………………………….
…………………………….
imię i nazwisko rodzica/opiekuna
miejscowość, data
Oświadczenie dotyczące wyrażania zgody na wykorzystanie wizerunku
dziecka/ucznia
Oświadczam, że wyrażam zgodę na wykorzystanie wizerunku mojego
dziecka …………………………………………………………......................
(imię i nazwisko dziecka)
do promowania rezultatów działań związanych z realizacją
..............................................................................................................................
(tytuł projektu, pomysłu)
poprzez upowszechnianie zdjęć oraz materiałów filmowych.
...............................................................
(czytelny podpis rodzica/opiekuna)
Załacznik nr 6
Tabela form naruszeń bezpieczeństwa danych osobowych
Sposób postępowania
Kod
naruszenia
Formy naruszeń
A
Forma naruszenia ochrony danych
zatrudnionego przy przetwarzaniu danych
A. 1
W zakresie wiedzy:
A. 1. 1
Ujawnianie sposobu działania
aplikacji
i
systemu
jej
zabezpieczeń
osobom
niepowołanym
A. 1. 2
Ujawnianie informacji o sprzęcie i Natychmiast przerwać rozmowę lub inną
pozostałej
infrastrukturze czynność prowadzącą do ujawnienia
informacji. Sporządzić raport z opisem,
informatycznej
jaka informacja została ujawniona,
powiadomić
Administratora
Bezpieczeństwa Informacji.
A. 1. 3
Dopuszczanie
i
stwarzanie
warunków, aby ktokolwiek taką
wiedzę mógł pozyskać np. z
obserwacji lub dokumentacji
A. 2
W zakresie sprzętu i oprogramowania
A. 2. 1
Opuszczenie stanowiska pracy i Niezwłocznie
zakończyć
pozostawienie aktywnej aplikacji aplikacji. Sporządzić raport.
umożliwiającej dostęp do bazy
danych osobowych
A. 2. 2
Dopuszczenie do korzystania z
aplikacji umożliwiającej dostęp
do bazy danych osobowych przez
jakiekolwiek inne osoby niż
osoba, której identyfikator został
osobowych
przez
pracownika
Natychmiast przerwać rozmowę lub inną
czynność prowadzącą do ujawnienia
informacji. Sporządzić raport z opisem,
jaka informacja została ujawniona,
powiadomić
Administratora
Bezpieczeństwa Informacji.
Natychmiast przerwać rozmowę lub inną
czynność prowadzącą do ujawnienia
informacji. Sporządzić raport z opisem,
jaka informacja została ujawniona,
powiadomić
Administratora
Bezpieczeństwa Informacji.
działanie
Wezwać osobę bezprawnie korzystającą z
aplikacji do opuszczenia stanowiska przy
komputerze. Pouczyć osobę, która
dopuściła do takiej sytuacji. Sporządzić
przydzielony
raport.
A. 2. 3
Pozostawienie w jakimkolwiek
niezabezpieczonym,
a
w
szczególności
w
miejscu
widocznym, zapisanego hasła
dostępu
do
bazy
danych
osobowych i sieci
Natychmiast zabezpieczyć notatkę z
hasłami w sposób uniemożliwiający
odczytanie. Niezwłocznie powiadomić
Administratora
Bezpieczeństwa
Informacji. Sporządzić raport.
A. 2. 4
Dopuszczenie do użytkowania
sprzętu
komputerowego
i
oprogramowania umożliwiającego
dostęp
do
bazy
danych
osobowych przez osoby nie
będące pracownikami
Wezwać osobę nieuprawnioną do
opuszczenia stanowiska. Ustalić jakie
czynności
zostały
przez
osoby
nieuprawnione wykonane. Przerwać
działające
programy.
Niezwłocznie
powiadomić
Administratora
Bezpieczeństwa Informacji. Sporządzić
raport.
A. 2. 5
Samodzielne
instalowanie Pouczyć osobę popełniającą wymieniona
czynność, aby jej zaniechała. Wezwać
jakiegokolwiek oprogramowania
służby
informatyczne
w
celu
odinstalowania programów. Sporządzić
raport.
A. 2. 6
Modyfikowanie
systemu i aplikacji.
A. 2. 7
Odczytywanie dyskietek i innych Pouczyć osobę popełniającą wymienioną
nośników przed sprawdzeniem ich czynność, aby zaczęła stosować się do
wymogów
bezpieczeństwa
pracy.
programem antywirusowym.
Wezwać służby informatyczne w celu
wykonania
kontroli
antywirusowej.
Sporządzić raport.
A. 3
W zakresie dokumentów i obrazów zawierających dane osobowe
A. 3. 1
Pozostawienie dokumentów w Zabezpieczyć
otwartych pomieszczeniach bez raport.
nadzoru
A. 3. 2
Przechowywanie
dokumentów Powiadomić przełożonych. Spowodować
zabezpieczonych
w poprawienie zabezpieczeń sporządzić
niedostatecznym stopniu przed raport.
dostępem osób niepowołanych
parametrów Wezwać osobę popełniającą wymieniona
czynność, aby jej zaniechała. Sporządzić
raport.
dokumenty.
Sporządzić
A. 3. 3
Wyrzucanie
dokumentów
w Zabezpieczyć niewłaściwie zniszczone
stopniu
zniszczenia dokumenty. Powiadomić przełożonych.
umożliwiającym ich odczytanie.
Sporządzić raport.
A. 3. 4
Dopuszczanie do kopiowania Zaprzestać kopiowania. Odzyskać i
dokumentów i utraty kontroli nad zabezpieczyć
wykonaną
kopię.
Powiadomić przełożonych. Sporządzić
kopią
raport.
A. 3. 5
Dopuszczanie, aby inne osoby
odczytywały zawartość ekranu
monitora, na którym wyświetlane
są dane osobowe
A. 3. 6
Sporządzanie kopii danych na Spowodować zaprzestanie kopiowania.
nośnikach danych w sytuacjach Odzyskać i zabezpieczyć wykonaną
kopię.
Powiadomić
Administratora
nie przewidzianych procedurą.
Bezpieczeństwa Informacji. Sporządzić
raport.
A. 3. 7
Utrata kontroli nad kopią danych Podjąć
próbę
odzyskania
kopii.
Powiadomić
Administratora
osobowych
Bezpieczeństwa Informacji. Sporządzić
raport.
A. 4
W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych
osobowych
A. 4. 1
Opuszczanie i pozostawianie bez Zabezpieczyć (zamknąć) pomieszczenie.
dozoru
nie
zamkniętego Powiadomić przełożonych . Sporządzić
pomieszczenia,
w
którym raport.
zlokalizowany
jest
sprzęt
komputerowy
używany
do
przetwarzania danych osobowych,
co stwarza ryzyko dokonania na
sprzęcie lub oprogramowaniu
modyfikacji
zagrażających
bezpieczeństwu
danych
osobowych
A. 4. 2
Wpuszczanie do pomieszczeń Wezwać osoby bezprawnie przebywające
osób nieznanych i dopuszczanie w pomieszczeniach do ich opuszczenia,
do ich kontaktu ze sprzętem próbować
ustalić
ich
tożsamość.
Powiadomić
przełożonych
i
komputerowym
Administratora
Bezpieczeństwa
Wezwać
nieuprawnioną
osobę
odczytującą dane do zaprzestania
czynności, wyłączyć monitor. Jeżeli
ujawnione
zostały
ważne
dane.
Sporządzić raport
Informacji. Sporządzić raport.
A. 4. 3
Dopuszczanie, aby osoby spoza
służb
informatycznych
i
telekomunikacyjnych podłączały
jakikolwiek urządzenia do sieci
komputerowej,
demontowały
elementy obudów gniazd i torów
kablowych
lub
dokonywały
jakichkolwiek manipulacji.
Wezwać osoby dokonujące zakazanych
czynność do ich zaprzestania. Postarać się
ustalić ich tożsamość. Powiadomić służby
informatyczne
i
Administratora
Bezpieczeństwa Informacji. Sporządzić
raport.
A. 5
W zakresie pomieszczeń w których znajdują się komputery centralne i
urządzenia sieci.
A. 5. 1
Dopuszczenie lub ignorowanie
faktu, że osoby spoza służb
informatycznych
i
telekomunikacyjnych
dokonują
jakichkolwiek manipulacji przy
urządzeniach lub okablowaniu
sieci komputerowej w miejscach
publicznych (hole, korytarze, itp.)
Wezwać osoby dokonujące zakazanych
czynność do ich zaprzestania i ew.
opuszczenia pomieszczeń. Postarać się
ustalić ich tożsamość. Powiadomić służby
informatyczne
i
Administratora
Bezpieczeństwa Informacji. Sporządzić
raport.
A. 5. 2
Dopuszczanie do znalezienia
się
w
pomieszczeniach
komputerów
centralnych
lub węzłów sieci komputerowej
osób spoza służb informatycznych
i
telekomunikacyjnych
lub
ignorowania takiego faktu
Wezwać osoby dokonujące zakazanych
czynność
do
ich
zaprzestania
i opuszczenia chronionych pomieszczeń.
Postarać się ustalić ich tożsamość.
Powiadomić
służby
informatyczne
i
Administratora
Bezpieczeństwa
Informacji. Sporządzić raport.
B
Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych
B. 1
Ślady manipulacji przy układach Powiadomić niezwłocznie Administratora
sieci
komputerowej
lub Bezpieczeństwa Informacji oraz służby
informatyczne. Nie używać sprzętu ani
komputerach
oprogramowania do czasu wyjaśnienia
sytuacji. Sporządzić raport.
B. 2
Obecność
nowych
kabli Powiadomić
niezwłocznie
służby
o
nieznanym
przeznaczeniu informatyczne. Nie używać sprzętu ani
oprogramowania do czasu wyjaśnienia
i pochodzeniu
sytuacji. Sporządzić raport.
B. 3
Niezapowiedziane
w wyglądzie lub
zmiany Powiadomić
niezwłocznie
służby
zachowaniu informatyczne. Nie używać sprzętu ani
aplikacji
służącej
do oprogramowania do czasu wyjaśnienia
przetwarzania danych osobowych sytuacji. Sporządzić raport.
B. 4
Nieoczekiwane, nie dające się Powiadomić
niezwłocznie
służby
wyjaśnić, zmiany zawartości bazy informatyczne. Nie używać sprzętu ani
oprogramowania do czasu wyjaśnienia
danych
sytuacji. Sporządzić raport.
B. 5
Obecność nowych programów Powiadomić
niezwłocznie
służby
w komputerze lub inne zmiany informatyczne. Nie używać sprzętu ani
oprogramowania do czasu wyjaśnienia
w konfiguracji oprogramowania
sytuacji. Sporządzić raport.
B. 6
Ślady włamania do pomieszczeń, Postępować zgodnie z właściwymi
w których przetwarzane są dane przepisami. Powiadomić niezwłocznie
Administratora
Bezpieczeństwa
osobowe
Informacji. Sporządzić raport.
C
Formy naruszenia ochrony danych osobowych przez obsługę informatyczną
w kontaktach z użytkownikiem
C. 1
Próba
uzyskania
hasła Powiadomić
Administratora
uprawniającego do dostępu do Bezpieczeństwa Informacji. Sporządzić
danych osobowych w ramach raport.
pomocy technicznej
C. 2
Próba
nieuzasadnionego Powiadomić
Administratora
przeglądania (modyfikowania) w Bezpieczeństwa Informacji. Sporządzić
ramach
pomocy
technicznej raport.
danych osobowych za pomocą
aplikacji
w
bazie
danych
identyfikatorem
i
hasłem
użytkownika.