Zarządzenie Nr R-25-2011

Zarządzenie Nr R-25/2011
Rektora Politechniki Lubelskiej
z dnia 19 kwietnia 2011 r.
w sprawie realizacji w Politechnice Lubelskiej ochrony danych osobowych
Na podstawie art. 66 ust. 2 Ustawy z dnia 27 lipca 2005 r. Prawo
o szkolnictwie wyższym (Dz. U. Nr 164, poz. 1365, z późn. zm.), art. 3 Ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. z 2002 r. Dz. U.
Nr 101, poz. 926, z późn. zm.) oraz w związku z Rozporządzeniem Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100,
poz. 1024), z a r z ą d z a m, co następuje:
§ 1.
1. Administratorem danych osobowych w rozumieniu ustawy o ochronie
danych osobowych przetwarzanych w Politechnice Lubelskiej jest Rektor.
2. Rektor swoje obowiązki jako administratora danych w Politechnice
Lubelskiej przekazuje Pełnomocnikowi Rektora ds. ochrony danych
osobowych oraz administratorom lokalnym.
3. Pełnomocnikiem Rektora ds. ochrony danych osobowych w Politechnice
Lubelskiej jest Prorektor ds. Rozwoju Uczelni, który w drodze
szczegółowego pełnomocnictwa realizuje obowiązki administratora
danych osobowych w Politechnice.
4. Lokalnymi administratorami danych są:
1) dziekani wydziałów, dyrektorzy instytutów i kierownicy katedr
w zakresie danych osobowych pracowników i studentów
przetwarzanych i wykorzystywanych przez wydział;
2) Prorektor ds. Studenckich w zakresie pracowników jednostek
i komórek organizacyjnych znajdujących się w pionie Prorektora
ds. Studenckich oraz w zakresie przetwarzania przez Dział Nauczania
i Toku Studiów oraz Dział Spraw Studenckich danych osobowych
studentów oraz danych osobowych pracowników będących
w posiadaniu tych jednostek i komórek;
3) Prorektor ds. Nauki w zakresie pracowników jednostek i komórek
organizacyjnych znajdujących się w pionie Prorektora ds. Nauki oraz
danych osobowych wykorzystywanych w podległym pionie, w tym
przez Bibliotekę Politechniki Lubelskiej;
4) Prorektor ds. Rozwoju Uczelni w zakresie pracowników jednostek
i komórek organizacyjnych znajdujących się w pionie Prorektora
ds. Rozwoju Uczelni;
5) Kanclerz w zakresie pracowników bezpośrednio podległych Rektorowi
i pozostałych jednostek, komórek organizacyjnych Uczelni oraz
w zakresie danych osobowych wykorzystywanych przez te jednostki
i komórki w swej pracy.
§ 2.
Zobowiązuję Pełnomocnika Rektora ds. ochrony danych osobowych
do wyznaczenia osoby odpowiedzialnej za bezpieczeństwo danych
osobowych w systemie informatycznym, zwanej Administratorem
bezpieczeństwa informacji.
§ 3.
1. Administrator bezpieczeństwa informacji wykonuje swoje zadania przy
pomocy:
1) lokalnych administratorów bezpieczeństwa informacji wyznaczonych przez lokalnych administratorów danych;
2) kierownika Działu Spraw Osobowych.
2. Zobowiązuję Administratora bezpieczeństwa informacji do:
1) prowadzenia centralnej ewidencji osób zatrudnionych przy
przetwarzaniu danych;
2) prowadzenia ewidencji miejsc przetwarzania danych osobowych
i sposobu ich zabezpieczenia.
3. Zobowiązuję Dział Spraw Osobowych do uzupełnienia zakresu czynności
osób zatrudnionych przy przetwarzaniu danych osobowych o obowiązki
wynikające z ustawy o ochronie danych osobowych i o oświadczenia,
że zapoznali się z przepisami ustawy o ochronie danych osobowych,
aktami wykonawczymi do ustawy oraz wewnętrznymi uregulowaniami
w tym zakresie.
§ 4.
1. Lokalnych administratorów danych zobowiązuję do przestrzegania
wszystkich postanowień ustawy o ochronie danych osobowych, a także do
pełnienia nadzoru nad pracownikami i studentami w tym zakresie.
2. Lokalni administratorzy danych są zobowiązani do:
1) wyznaczenia lokalnego administratora bezpieczeństwa informacji
współpracującego z Administratorem bezpieczeństwa informacji;
2) określenia indywidualnych obowiązków i odpowiedzialności osób
zatrudnionych przy przetwarzaniu danych osobowych, wynikających
z ustawy o ochronie danych osobowych;
3) zapoznania podległych pracowników z przepisami ustawy o ochronie
danych osobowych i uregulowań wewnętrznych w tym zakresie;
4) bieżące zgłaszanie Administratorowi bezpieczeństwa informacji zmian
do ewidencji osób zatrudnionych przy przetwarzaniu danych
osobowych i ewidencji miejsc przetwarzania danych osobowych;
5) bieżące zaznajamianie osób zatrudnionych przy przetwarzaniu danych
osobowych z przepisami obowiązującymi w tym zakresie;
6) wdrażanie i przestrzeganie wewnętrznych instrukcji dotyczących
zarządzania systemem informatycznym i postępowania w sytuacji
naruszenia danych osobowych w podległych jednostkach i komórkach
organizacyjnych.
3. W terminie do dnia 31 maja 2011 r. lokalni administratorzy danych
są zobowiązani do:
1) przekazania do Administratora bezpieczeństwa informacji Uczelni
nazwisk osób wyznaczonych jako lokalni administratorzy
bezpieczeństwa informacji;
2) przekazania do Działu Spraw Osobowych uzupełnienia zakresu
obowiązków pracowników zatrudnionych przy przetwarzaniu danych
osobowych wraz z oświadczeniami o zapoznaniu się podległych
pracowników
z
ustawą
o
ochronie
danych
osobowych
i uregulowaniami wewnętrznymi w tym zakresie.
§ 5.
Wprowadza się w Politechnice Lubelskiej Instrukcję określającą politykę
bezpieczeństwa związaną z przetwarzaniem danych osobowych, stanowiącą
załącznik do niniejszego zarządzenia.
§ 6.
W
zakresie
zabezpieczenia
danych
osobowych
zawartych
w
dokumentach
źródłowych,
nieprzetwarzanych
w
systemach
informatycznych obowiązują dotychczasowe przepisy o tajemnicy służbowej,
obiegu i zabezpieczeniu dokumentów służbowych oraz inne uregulowania
wewnętrzne z tym związane.
§ 7.
Osoby nieprzestrzegające przepisów w zakresie ochrony danych
osobowych podlegają odpowiedzialności porządkowej lub dyscyplinarnej,
a także karnej przewidzianej w rozdziale 8 ustawy o ochronie danych
osobowych.
§ 8.
Traci moc Zarządzenie Nr R-4/1999 Rektora Politechniki Lubelskiej
z dnia 8 marca 1999 r. w sprawie realizacji w Politechnice Lubelskiej ochrony
danych osobowych.
§ 9.
Zarządzenie wchodzi w życie z dniem podpisania.
Rektor
Prof. dr hab. inż. Marek Opielak
Załącznik
do Zarządzenia Nr R-25/2011
Rektora Politechniki Lubelskiej
z dnia 19 kwietnia 2011 r.
Instrukcja
określająca politykę bezpieczeństwa
związaną z przetwarzaniem danych osobowych
I. Informacje ogólne
1. Użyte w Instrukcji określenia oznaczają:
a) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej. Nie uważa się za dane
osobowe danych osób zmarłych i danych o osobach prawnych;
b) administrator danych – organ, jednostka organizacyjna, podmiot lub
osoba decydująca o celach i środkach przetwarzania danych osobowych;
c) administrator bezpieczeństwa informacji – osoba nadzorująca
przestrzeganie zasad ochrony danych osobowych;
d) zbiór danych osobowych – każdy posiadający strukturę zestaw danych
osobowych dostępny według określonych kryteriów systematycznych,
niezależnie od tego czy zestaw jest rozproszony czy podzielony
funkcjonalnie;
e) przetwarzanie danych – wszelkie operacje wykonywane na danych
osobowych i ich zbiorach, a w szczególności zbieranie, utrwalanie,
przechowywanie,
opracowywanie,
zmienianie,
udostępnianie
i usuwanie;
f) system informatyczny – zespół współpracujących ze sobą urządzeń,
programów,
procedur
przetwarzania
informacji
i
narzędzi
programowych zastosowanych w celu przetwarzania danych.
2. Przedmiotem ochrony są:
a) zasoby informacyjne (dane) zawierające dane osobowe przechowywane
w
Politechnice
Lubelskiej,
ich
poufność
i autentyczność,
a w szczególności ochrona praw osób fizycznych do swobodnego
dysponowania własnymi danymi osobowymi;
b) zasoby informatyczne, w tym:
− struktury i egzemplarze baz danych,
− standardy administracyjne dotyczące systemów informatycznych
związanych z przetwarzaniem baz danych,
− obiekty materialne oraz ich używanie.
3. Celem polityki bezpieczeństwa danych osobowych jest:
a) zapewnienie ochrony danych osobowych, z równoczesną możliwością
łatwego dostępu do nich przez osoby upoważnione;
b) przeciwdziałanie
realnym
i
identyfikowalnym
zagrożeniom
bezpieczeństwa danych osobowych;
4.
5.
6.
7.
c) wdrożenie i realizacja określonych procedur przetwarzania,
przechowywania i udostępniania danych osobowych.
Polityka bezpieczeństwa danych osobowych obejmuje:
a) ograniczenie dostępu do stref przetwarzania danych osobowych;
b) utrzymywanie
wśród
pracowników
wysokiej
świadomości
bezpieczeństwa danych osobowych;
c) monitorowanie stanowisk pracy przetwarzania danych osobowych;
d) ograniczenie wpływu niepożądanych czynników zewnętrznych,
mogących mieć znaczenie dla bezpieczeństwa danych osobowych.
Na politykę bezpieczeństwa danych osobowych składają się:
a) identyfikowanie i analizowanie zagrożeń oraz ocena ryzyka ich
wystąpienia;
b) działania
dla
zabezpieczenia
danych
osobowych
przed
zidentyfikowanymi i potencjalnymi zagrożeniami;
c) realizacja zabezpieczeń odpowiednich do zagrożeń i uzgodnionych
z administratorem (właścicielem) danych osobowych;
d) monitorowanie działania systemu zabezpieczeń;
e) prowadzenie szkoleń;
f) prowadzenie dokumentacji dotyczącej ewidencji systemów i istotnych
czynności
administracyjnych
wykonywanych
w
systemach
informatycznych oraz innych czynności związanych z obsługą zasobów
informacyjnych i informatycznych zawierających dane osobowe;
g) określenie sposobów reakcji w przypadku naruszenia polityki
bezpieczeństwa.
Sprawy dotyczące bezpieczeństwa danych osobowych w Politechnice
Lubelskiej
prowadzi
powołany
przez
Rektora
administrator
bezpieczeństwa informacji (ABI). Administrator sprawuje nadzór nad
zachowaniem zasad polityki bezpieczeństwa określonych niniejszym
rozporządzeniem i realizacją przepisów dotyczących ochrony danych
osobowych, podejmuje lub inicjuje działania mające na celu przestrzeganie
ochrony danych osobowych.
Administrator bezpieczeństwa informacji sporządza i przedstawia raporty
dotyczące stanu bezpieczeństwa danych osobowych, zawierające wnioski
i propozycje dotyczące spraw bezpieczeństwa, w tym:
a) wskazania niedociągnięć lub zaniedbań;
b) dokonania koniecznych zabezpieczeń oraz niezbędnych doposażeń;
c) wprowadzenia procedur działania lub zmiany treści istniejących;
d) sposobu prowadzenia dzienników systemów;
e) sposobów podnoszenia wiedzy w zakresie bezpieczeństwa danych
osobowych.
II. Obszar bezpieczeństwa
1. Za obszar, w którym są przetwarzane dane osobowe, uznaje się
pomieszczenia zajmowane przez wydziały i inne komórki (zgodnie ze
strukturą) oraz pomieszczenia, w których znajdują się urządzenia
łączności lub dostępu do sieci, którą są przesyłane dane osobowe.
2. Kopie danych osobowych przetwarzanych na serwerze przechowywane są
w innym pomieszczeniu niż znajduje się sam serwer.
III. Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności danych
1. Pomieszczenia w obszarze bezpieczeństwa są zamykane w sposób
uniemożliwiający dostęp do nich osób nieuprawnionych.
2. Klucze do pomieszczeń przechowywane są na portierni budynku.
Każdorazowe pobranie klucza odnotowywane jest w rejestrze
i uwierzytelnione podpisem osoby upoważnionej.
3. Przebywanie w pomieszczeniach w obszarze bezpieczeństwa osób
nieuprawnionych do dostępu do danych osobowych jest dopuszczalne
tylko w obecności osoby upoważnionej do dostępu do tych danych.
4. Prace związane z zarządzaniem systemami informatycznymi mogą
wykonywać jedynie wyznaczeni administratorzy tych systemów lub inni
upoważnieni pracownicy w obecności administratora systemu.
5. Każda osoba dopuszczona do pracy przy przetwarzaniu danych
osobowych:
a) potwierdza własnoręcznym podpisem znajomość ustawy o ochronie
danych osobowych; zarządzenie określające politykę bezpieczeństwa
oraz instrukcję określającą sposób postępowania w przypadku
naruszenia bezpieczeństwa;
b) ma przyznany zakres uprawnień najniższy z umożliwiających
wykonywanie zadania.
6. Do pracy z systemami informatycznymi dopuszczani są jedynie uprawnieni
pracownicy posiadający indywidualny identyfikator użytkownika i osobiste
hasło. Osoby dopuszczone do przetwarzania danych posiadają zakresy
czynności określające ich uprawnienia i odpowiedzialność.
7. Uprawnienia do pracy w systemie, w którym przetwarza się dane osobowe,
nadaje administrator systemu na pisemny wniosek kierownika jednostki
organizacyjnej. Administrator przechowuje pisemne wnioski o nadanie
uprawnień do pracy w systemie.
8. Administrator systemu prowadzi ewidencję nadanych indywidualnych
identyfikatorów użytkowników zawierającą nazwę użytkownika, jego
identyfikator, datę nadania oraz datę wycofania.
9. Administrator
systemu
zmienia
główne
hasła
do
systemów
informatycznych najdalej co 30 dni.
10. Hasło dostępu do systemu, w którym przetwarza się dane osobowe,
powinno składać się z co najmniej 8 znaków, zawierać małe i duże litery
oraz cyfry i znaki specjalne. Systemy lub aplikacje, w których przetwarzane
są dane osobowe, powinny automatycznie wymuszać okresową zmianę
hasła, jak również sprawdzać siłę hasła.
11. Zabrania się zapisywania i przechowywania identyfikatorów i haseł
w miejscach ogólnie dostępnych.
12. Każdy przetwarzający dane ponosi odpowiedzialność wynikającą
z zakresu jego czynności, w szczególności za zniszczenie, nieprawidłową
modyfikację, udostępnienie danych osobom trzecim, prawidłowe
konstruowanie i terminową zmianę haseł.
13. Kierownik komórki organizacyjnej wyznacza pracownika, który wykonuje
kopie awaryjne na zakończenie dnia pracy i przechowuje w sejfie poza
obszarem przetwarzania danych. Kopie są przechowywane przez okres
odpowiadający rodzajowi kopii, z zachowaniem trzech ostatnich kopii
danego rodzaju.
14. Kobie bezpieczeństwa powinny być przechowywane poza obszarem,
w którym przetwarzane są dane. Kopie danych zapisywane na nośnikach
wymiennych (płyty CD, taśmy magnetyczne, pendrive'y itp.) powinny być
przechowywanie w sejfie. W przypadku kopii bezpieczeństwa
przechowywanych na zewnętrznym zasobie (np. serwer plików), zasób ten
musi znajdować się w innym pomieszczeniu niż znajduje się serwer,
na którym przetwarzane są dane osobowe.
15. Administrator systemu przeprowadza okresowe kontrole zasobów
informatycznych, nie rzadziej niż raz na tydzień, programami
antywirusowymi. W przypadku wykrycia wirusa powiadamia
administratora bezpieczeństwa informacji i usuwa wirusa posiadanym
programem. Dokonanie kontroli i jej wynik odnotowuje się w dzienniku
systemu.
16. Zewnętrzne nośniki danych są przed ich użyciem sprawdzane programem
antywirusowym.
17. Wgrywanie
jakiegokolwiek
oprogramowania
do
systemów
informatycznych, na których przetwarzane są dane osobowe, jest możliwe
tylko przez administratora systemu lub za jego wiedzą i po akceptacji
formalnej administratora bezpieczeństwa informacji.
18. Zasoby informacyjne oraz nośniki z danymi podlegają szczególnej ochronie
przed kradzieżą, modyfikacją zawartości, podglądnięciem i kopiowaniem.
19. Zasoby informacyjne, w szczególności wydruki zawierające dane osobowe
oraz nośniki z danymi, przechowuje się w warunkach uniemożliwiających
dostęp do nich osobom niepowołanym. O ile jest to niezbędne do bieżącej
pracy lub wykonywania zleconego zadania, dopuszcza się ich
przechowywanie w szafkach biurowych plombowanych referentką,
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
znajdujących się w strefie bezpieczeństwa.
Dane osobowe przekazywane poza obszar bezpieczeństwa muszą być
odbierane za potwierdzeniem przez uprawnione osoby, w sposób
zapewniający zachowanie poufności danych.
Udostępnianie danych pracownikom upoważnionych instytucji odbywa się
na zasadach ustalonych oddzielnym przepisami, w zgodzie z niniejszą
instrukcją.
Zasoby informacyjne, w szczególności wydruki, które zawierają dane
osobowe i są przeznaczone do usunięcia, należy zniszczyć zgodnie
z zasadami niszczenia dokumentów.
Systemy informatyczne muszą być zabezpieczone przed utratą
przetwarzanych danych spowodowaną awarią zasilania lub zakłóceniami
w sieci zasilającej.
Osoba użytkująca komputer przenośny, zawierający dane osobowe
zachowuje
szczególną
ostrożność
podczas
jego
transportu,
przechowywania i użytkowania poza wyznaczonym obszarem
przetwarzania danych osobowych, w tym stosuje środki ochrony
kryptograficznej wobec przetwarzanych danych osobowych.
Przeznaczone do naprawy urządzenia lub nośniki danych zawierające dane
osobowe pozbawia się przed naprawą danych osobowych albo naprawia się
je pod nadzorem administratora systemu lub osoby upoważnionej.
Zawierające dane osobowe urządzenia lub nośniki danych przeznaczone do
przekazania odbiorcy nieuprawnionemu do otrzymania danych osobowych
przed przekazaniem pozbawia się zapisu tych danych w sposób
uniemożliwiający ich odtworzenie.
Przeznaczone do likwidacji urządzenia lub nośniki danych zawierające
dane osobowe, administrator systemu w obecności administratora
bezpieczeństwa informacji pozbawia wcześniej zapisu tych danych
w sposób uniemożliwiający ich odtworzenie, a gdy nie jest to możliwe,
uszkadza się w sposób uniemożliwiający ich odtworzenie. Fakt dokonania
likwidacji potwierdza się protokołem.
Użytkowanie sieci komputerowych o zasięgu ponadlokalnym do
przesyłania danych osobowych powinno być ograniczone w sposób
udokumentowany, z oznaczeniem zakresu uprawnień tylko do wskazanych
osób, stanowisk, usług.
Dopuszczalnym sposobem użytkowania sieci o zasięgu ponadlokalnym jest:
a) pozyskiwanie informacji niezbędnych do działalności służbowej;
b) udostępnianie informacji niezbędnych do działalności służbowej;
c) przesyłanie informacji środkami telekomunikacji publicznej w sposób
uzgodniony z administratorem (właścicielem) danych.