Zarządzenie Nr R-25-2011
Transkrypt
Zarządzenie Nr R-25-2011
Zarządzenie Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r. w sprawie realizacji w Politechnice Lubelskiej ochrony danych osobowych Na podstawie art. 66 ust. 2 Ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. Nr 164, poz. 1365, z późn. zm.), art. 3 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. z 2002 r. Dz. U. Nr 101, poz. 926, z późn. zm.) oraz w związku z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), z a r z ą d z a m, co następuje: § 1. 1. Administratorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych przetwarzanych w Politechnice Lubelskiej jest Rektor. 2. Rektor swoje obowiązki jako administratora danych w Politechnice Lubelskiej przekazuje Pełnomocnikowi Rektora ds. ochrony danych osobowych oraz administratorom lokalnym. 3. Pełnomocnikiem Rektora ds. ochrony danych osobowych w Politechnice Lubelskiej jest Prorektor ds. Rozwoju Uczelni, który w drodze szczegółowego pełnomocnictwa realizuje obowiązki administratora danych osobowych w Politechnice. 4. Lokalnymi administratorami danych są: 1) dziekani wydziałów, dyrektorzy instytutów i kierownicy katedr w zakresie danych osobowych pracowników i studentów przetwarzanych i wykorzystywanych przez wydział; 2) Prorektor ds. Studenckich w zakresie pracowników jednostek i komórek organizacyjnych znajdujących się w pionie Prorektora ds. Studenckich oraz w zakresie przetwarzania przez Dział Nauczania i Toku Studiów oraz Dział Spraw Studenckich danych osobowych studentów oraz danych osobowych pracowników będących w posiadaniu tych jednostek i komórek; 3) Prorektor ds. Nauki w zakresie pracowników jednostek i komórek organizacyjnych znajdujących się w pionie Prorektora ds. Nauki oraz danych osobowych wykorzystywanych w podległym pionie, w tym przez Bibliotekę Politechniki Lubelskiej; 4) Prorektor ds. Rozwoju Uczelni w zakresie pracowników jednostek i komórek organizacyjnych znajdujących się w pionie Prorektora ds. Rozwoju Uczelni; 5) Kanclerz w zakresie pracowników bezpośrednio podległych Rektorowi i pozostałych jednostek, komórek organizacyjnych Uczelni oraz w zakresie danych osobowych wykorzystywanych przez te jednostki i komórki w swej pracy. § 2. Zobowiązuję Pełnomocnika Rektora ds. ochrony danych osobowych do wyznaczenia osoby odpowiedzialnej za bezpieczeństwo danych osobowych w systemie informatycznym, zwanej Administratorem bezpieczeństwa informacji. § 3. 1. Administrator bezpieczeństwa informacji wykonuje swoje zadania przy pomocy: 1) lokalnych administratorów bezpieczeństwa informacji wyznaczonych przez lokalnych administratorów danych; 2) kierownika Działu Spraw Osobowych. 2. Zobowiązuję Administratora bezpieczeństwa informacji do: 1) prowadzenia centralnej ewidencji osób zatrudnionych przy przetwarzaniu danych; 2) prowadzenia ewidencji miejsc przetwarzania danych osobowych i sposobu ich zabezpieczenia. 3. Zobowiązuję Dział Spraw Osobowych do uzupełnienia zakresu czynności osób zatrudnionych przy przetwarzaniu danych osobowych o obowiązki wynikające z ustawy o ochronie danych osobowych i o oświadczenia, że zapoznali się z przepisami ustawy o ochronie danych osobowych, aktami wykonawczymi do ustawy oraz wewnętrznymi uregulowaniami w tym zakresie. § 4. 1. Lokalnych administratorów danych zobowiązuję do przestrzegania wszystkich postanowień ustawy o ochronie danych osobowych, a także do pełnienia nadzoru nad pracownikami i studentami w tym zakresie. 2. Lokalni administratorzy danych są zobowiązani do: 1) wyznaczenia lokalnego administratora bezpieczeństwa informacji współpracującego z Administratorem bezpieczeństwa informacji; 2) określenia indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych; 3) zapoznania podległych pracowników z przepisami ustawy o ochronie danych osobowych i uregulowań wewnętrznych w tym zakresie; 4) bieżące zgłaszanie Administratorowi bezpieczeństwa informacji zmian do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych i ewidencji miejsc przetwarzania danych osobowych; 5) bieżące zaznajamianie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie; 6) wdrażanie i przestrzeganie wewnętrznych instrukcji dotyczących zarządzania systemem informatycznym i postępowania w sytuacji naruszenia danych osobowych w podległych jednostkach i komórkach organizacyjnych. 3. W terminie do dnia 31 maja 2011 r. lokalni administratorzy danych są zobowiązani do: 1) przekazania do Administratora bezpieczeństwa informacji Uczelni nazwisk osób wyznaczonych jako lokalni administratorzy bezpieczeństwa informacji; 2) przekazania do Działu Spraw Osobowych uzupełnienia zakresu obowiązków pracowników zatrudnionych przy przetwarzaniu danych osobowych wraz z oświadczeniami o zapoznaniu się podległych pracowników z ustawą o ochronie danych osobowych i uregulowaniami wewnętrznymi w tym zakresie. § 5. Wprowadza się w Politechnice Lubelskiej Instrukcję określającą politykę bezpieczeństwa związaną z przetwarzaniem danych osobowych, stanowiącą załącznik do niniejszego zarządzenia. § 6. W zakresie zabezpieczenia danych osobowych zawartych w dokumentach źródłowych, nieprzetwarzanych w systemach informatycznych obowiązują dotychczasowe przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów służbowych oraz inne uregulowania wewnętrzne z tym związane. § 7. Osoby nieprzestrzegające przepisów w zakresie ochrony danych osobowych podlegają odpowiedzialności porządkowej lub dyscyplinarnej, a także karnej przewidzianej w rozdziale 8 ustawy o ochronie danych osobowych. § 8. Traci moc Zarządzenie Nr R-4/1999 Rektora Politechniki Lubelskiej z dnia 8 marca 1999 r. w sprawie realizacji w Politechnice Lubelskiej ochrony danych osobowych. § 9. Zarządzenie wchodzi w życie z dniem podpisania. Rektor Prof. dr hab. inż. Marek Opielak Załącznik do Zarządzenia Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r. Instrukcja określająca politykę bezpieczeństwa związaną z przetwarzaniem danych osobowych I. Informacje ogólne 1. Użyte w Instrukcji określenia oznaczają: a) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nie uważa się za dane osobowe danych osób zmarłych i danych o osobach prawnych; b) administrator danych – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych; c) administrator bezpieczeństwa informacji – osoba nadzorująca przestrzeganie zasad ochrony danych osobowych; d) zbiór danych osobowych – każdy posiadający strukturę zestaw danych osobowych dostępny według określonych kryteriów systematycznych, niezależnie od tego czy zestaw jest rozproszony czy podzielony funkcjonalnie; e) przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych i ich zbiorach, a w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie; f) system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 2. Przedmiotem ochrony są: a) zasoby informacyjne (dane) zawierające dane osobowe przechowywane w Politechnice Lubelskiej, ich poufność i autentyczność, a w szczególności ochrona praw osób fizycznych do swobodnego dysponowania własnymi danymi osobowymi; b) zasoby informatyczne, w tym: − struktury i egzemplarze baz danych, − standardy administracyjne dotyczące systemów informatycznych związanych z przetwarzaniem baz danych, − obiekty materialne oraz ich używanie. 3. Celem polityki bezpieczeństwa danych osobowych jest: a) zapewnienie ochrony danych osobowych, z równoczesną możliwością łatwego dostępu do nich przez osoby upoważnione; b) przeciwdziałanie realnym i identyfikowalnym zagrożeniom bezpieczeństwa danych osobowych; 4. 5. 6. 7. c) wdrożenie i realizacja określonych procedur przetwarzania, przechowywania i udostępniania danych osobowych. Polityka bezpieczeństwa danych osobowych obejmuje: a) ograniczenie dostępu do stref przetwarzania danych osobowych; b) utrzymywanie wśród pracowników wysokiej świadomości bezpieczeństwa danych osobowych; c) monitorowanie stanowisk pracy przetwarzania danych osobowych; d) ograniczenie wpływu niepożądanych czynników zewnętrznych, mogących mieć znaczenie dla bezpieczeństwa danych osobowych. Na politykę bezpieczeństwa danych osobowych składają się: a) identyfikowanie i analizowanie zagrożeń oraz ocena ryzyka ich wystąpienia; b) działania dla zabezpieczenia danych osobowych przed zidentyfikowanymi i potencjalnymi zagrożeniami; c) realizacja zabezpieczeń odpowiednich do zagrożeń i uzgodnionych z administratorem (właścicielem) danych osobowych; d) monitorowanie działania systemu zabezpieczeń; e) prowadzenie szkoleń; f) prowadzenie dokumentacji dotyczącej ewidencji systemów i istotnych czynności administracyjnych wykonywanych w systemach informatycznych oraz innych czynności związanych z obsługą zasobów informacyjnych i informatycznych zawierających dane osobowe; g) określenie sposobów reakcji w przypadku naruszenia polityki bezpieczeństwa. Sprawy dotyczące bezpieczeństwa danych osobowych w Politechnice Lubelskiej prowadzi powołany przez Rektora administrator bezpieczeństwa informacji (ABI). Administrator sprawuje nadzór nad zachowaniem zasad polityki bezpieczeństwa określonych niniejszym rozporządzeniem i realizacją przepisów dotyczących ochrony danych osobowych, podejmuje lub inicjuje działania mające na celu przestrzeganie ochrony danych osobowych. Administrator bezpieczeństwa informacji sporządza i przedstawia raporty dotyczące stanu bezpieczeństwa danych osobowych, zawierające wnioski i propozycje dotyczące spraw bezpieczeństwa, w tym: a) wskazania niedociągnięć lub zaniedbań; b) dokonania koniecznych zabezpieczeń oraz niezbędnych doposażeń; c) wprowadzenia procedur działania lub zmiany treści istniejących; d) sposobu prowadzenia dzienników systemów; e) sposobów podnoszenia wiedzy w zakresie bezpieczeństwa danych osobowych. II. Obszar bezpieczeństwa 1. Za obszar, w którym są przetwarzane dane osobowe, uznaje się pomieszczenia zajmowane przez wydziały i inne komórki (zgodnie ze strukturą) oraz pomieszczenia, w których znajdują się urządzenia łączności lub dostępu do sieci, którą są przesyłane dane osobowe. 2. Kopie danych osobowych przetwarzanych na serwerze przechowywane są w innym pomieszczeniu niż znajduje się sam serwer. III. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności danych 1. Pomieszczenia w obszarze bezpieczeństwa są zamykane w sposób uniemożliwiający dostęp do nich osób nieuprawnionych. 2. Klucze do pomieszczeń przechowywane są na portierni budynku. Każdorazowe pobranie klucza odnotowywane jest w rejestrze i uwierzytelnione podpisem osoby upoważnionej. 3. Przebywanie w pomieszczeniach w obszarze bezpieczeństwa osób nieuprawnionych do dostępu do danych osobowych jest dopuszczalne tylko w obecności osoby upoważnionej do dostępu do tych danych. 4. Prace związane z zarządzaniem systemami informatycznymi mogą wykonywać jedynie wyznaczeni administratorzy tych systemów lub inni upoważnieni pracownicy w obecności administratora systemu. 5. Każda osoba dopuszczona do pracy przy przetwarzaniu danych osobowych: a) potwierdza własnoręcznym podpisem znajomość ustawy o ochronie danych osobowych; zarządzenie określające politykę bezpieczeństwa oraz instrukcję określającą sposób postępowania w przypadku naruszenia bezpieczeństwa; b) ma przyznany zakres uprawnień najniższy z umożliwiających wykonywanie zadania. 6. Do pracy z systemami informatycznymi dopuszczani są jedynie uprawnieni pracownicy posiadający indywidualny identyfikator użytkownika i osobiste hasło. Osoby dopuszczone do przetwarzania danych posiadają zakresy czynności określające ich uprawnienia i odpowiedzialność. 7. Uprawnienia do pracy w systemie, w którym przetwarza się dane osobowe, nadaje administrator systemu na pisemny wniosek kierownika jednostki organizacyjnej. Administrator przechowuje pisemne wnioski o nadanie uprawnień do pracy w systemie. 8. Administrator systemu prowadzi ewidencję nadanych indywidualnych identyfikatorów użytkowników zawierającą nazwę użytkownika, jego identyfikator, datę nadania oraz datę wycofania. 9. Administrator systemu zmienia główne hasła do systemów informatycznych najdalej co 30 dni. 10. Hasło dostępu do systemu, w którym przetwarza się dane osobowe, powinno składać się z co najmniej 8 znaków, zawierać małe i duże litery oraz cyfry i znaki specjalne. Systemy lub aplikacje, w których przetwarzane są dane osobowe, powinny automatycznie wymuszać okresową zmianę hasła, jak również sprawdzać siłę hasła. 11. Zabrania się zapisywania i przechowywania identyfikatorów i haseł w miejscach ogólnie dostępnych. 12. Każdy przetwarzający dane ponosi odpowiedzialność wynikającą z zakresu jego czynności, w szczególności za zniszczenie, nieprawidłową modyfikację, udostępnienie danych osobom trzecim, prawidłowe konstruowanie i terminową zmianę haseł. 13. Kierownik komórki organizacyjnej wyznacza pracownika, który wykonuje kopie awaryjne na zakończenie dnia pracy i przechowuje w sejfie poza obszarem przetwarzania danych. Kopie są przechowywane przez okres odpowiadający rodzajowi kopii, z zachowaniem trzech ostatnich kopii danego rodzaju. 14. Kobie bezpieczeństwa powinny być przechowywane poza obszarem, w którym przetwarzane są dane. Kopie danych zapisywane na nośnikach wymiennych (płyty CD, taśmy magnetyczne, pendrive'y itp.) powinny być przechowywanie w sejfie. W przypadku kopii bezpieczeństwa przechowywanych na zewnętrznym zasobie (np. serwer plików), zasób ten musi znajdować się w innym pomieszczeniu niż znajduje się serwer, na którym przetwarzane są dane osobowe. 15. Administrator systemu przeprowadza okresowe kontrole zasobów informatycznych, nie rzadziej niż raz na tydzień, programami antywirusowymi. W przypadku wykrycia wirusa powiadamia administratora bezpieczeństwa informacji i usuwa wirusa posiadanym programem. Dokonanie kontroli i jej wynik odnotowuje się w dzienniku systemu. 16. Zewnętrzne nośniki danych są przed ich użyciem sprawdzane programem antywirusowym. 17. Wgrywanie jakiegokolwiek oprogramowania do systemów informatycznych, na których przetwarzane są dane osobowe, jest możliwe tylko przez administratora systemu lub za jego wiedzą i po akceptacji formalnej administratora bezpieczeństwa informacji. 18. Zasoby informacyjne oraz nośniki z danymi podlegają szczególnej ochronie przed kradzieżą, modyfikacją zawartości, podglądnięciem i kopiowaniem. 19. Zasoby informacyjne, w szczególności wydruki zawierające dane osobowe oraz nośniki z danymi, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom niepowołanym. O ile jest to niezbędne do bieżącej pracy lub wykonywania zleconego zadania, dopuszcza się ich przechowywanie w szafkach biurowych plombowanych referentką, 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. znajdujących się w strefie bezpieczeństwa. Dane osobowe przekazywane poza obszar bezpieczeństwa muszą być odbierane za potwierdzeniem przez uprawnione osoby, w sposób zapewniający zachowanie poufności danych. Udostępnianie danych pracownikom upoważnionych instytucji odbywa się na zasadach ustalonych oddzielnym przepisami, w zgodzie z niniejszą instrukcją. Zasoby informacyjne, w szczególności wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć zgodnie z zasadami niszczenia dokumentów. Systemy informatyczne muszą być zabezpieczone przed utratą przetwarzanych danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Osoba użytkująca komputer przenośny, zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza wyznaczonym obszarem przetwarzania danych osobowych, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Przeznaczone do naprawy urządzenia lub nośniki danych zawierające dane osobowe pozbawia się przed naprawą danych osobowych albo naprawia się je pod nadzorem administratora systemu lub osoby upoważnionej. Zawierające dane osobowe urządzenia lub nośniki danych przeznaczone do przekazania odbiorcy nieuprawnionemu do otrzymania danych osobowych przed przekazaniem pozbawia się zapisu tych danych w sposób uniemożliwiający ich odtworzenie. Przeznaczone do likwidacji urządzenia lub nośniki danych zawierające dane osobowe, administrator systemu w obecności administratora bezpieczeństwa informacji pozbawia wcześniej zapisu tych danych w sposób uniemożliwiający ich odtworzenie, a gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odtworzenie. Fakt dokonania likwidacji potwierdza się protokołem. Użytkowanie sieci komputerowych o zasięgu ponadlokalnym do przesyłania danych osobowych powinno być ograniczone w sposób udokumentowany, z oznaczeniem zakresu uprawnień tylko do wskazanych osób, stanowisk, usług. Dopuszczalnym sposobem użytkowania sieci o zasięgu ponadlokalnym jest: a) pozyskiwanie informacji niezbędnych do działalności służbowej; b) udostępnianie informacji niezbędnych do działalności służbowej; c) przesyłanie informacji środkami telekomunikacji publicznej w sposób uzgodniony z administratorem (właścicielem) danych.