pokaż - Tychy

Załącznik Nr 2
Do Dokumentacji przetwarzania danych osobowych
URZĄD MIASTA TYCHY
INSTRUKCJA
ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI,
SŁUśĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH
Luty 2009 rok
Urząd Miasta Tychy
§1
Podstawa prawna
„Instrukcja określająca sposób zarządzania systemami informatycznymi słuŜącymi do przetwarzania
danych osobowych”, zwana dalej „Instrukcją”, stanowi wykonanie obowiązku, o którym mowa w § 3
ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do
przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
§2
Zakres
Instrukcja określa zasady zarządzania systemami informatycznymi słuŜącymi do przetwarzania
danych osobowych w Urzędzie Miasta Tychy, a w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz osoby odpowiedzialne za te czynności,
2) metody i środki uwierzytelnienia w systemie oraz procedury związane z ich zarządzaniem
i uŜytkowaniem,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŜytkowników
systemu,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych
słuŜących do ich przetwarzania,
5) sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane
osobowe oraz kopii zapasowych,
6) środki ochrony systemu przed złośliwym oprogramowaniem, w tym wirusami komputerowymi,
7) zasady i sposób odnotowywania w systemie informacji: komu, kiedy i w jakim zakresie dane
osobowe ze zbioru zostały udostępnione,
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji słuŜących
do przetwarzania danych osobowych,
§3
Definicje
Ilekroć w niniejszej Instrukcji mowa o:
1) Urzędzie – naleŜy przez to rozumieć Urząd Miasta Tychy, z siedzibą w Tychach,
2) jednostka organizacyjna - naleŜy przez to rozumieć kaŜde samodzielne, wyodrębnione
w strukturze Urzędu Miasta ogniwo organizacyjne, np.: wydział, urząd, samodzielne stanowisko
itp.,
3) Administratorze Danych Osobowych (AD) – naleŜy przez to rozumieć Prezydenta Miasta Tychy
4) Administratorze Bezpieczeństwa Informacji (ABI) – naleŜy przez to rozumieć Sekretarza
Miasta wyznaczonego przez Prezydenta do nadzorowania przestrzegania zasad ochrony przy
przetwarzaniu danych osobowych w Urzędzie Miasta Tychy.
5) uŜytkowniku systemu – naleŜy przez to rozumieć osobę upowaŜnioną i uprawnioną do
przetwarzania danych osobowych w systemie. UŜytkownikiem moŜe być wyłącznie osoba
posiadająca upowaŜnienie do przetwarzania danych osobowych nadane przez Administratora
Bezpieczeństwa Informacji.
6) Administratorze Systemu Informatycznego (ASI) – naleŜy przez to rozumieć Naczelnika
Wydziału Informatyki lub Naczelnika Wydziału Geodezji odpowiedzialnego za funkcjonowanie
systemów oraz stosowanie technicznych i organizacyjnych środków ochrony przewidzianych
w tych systemach,
7) sieci lokalnej – naleŜy przez to rozumieć połączenie systemów informatycznych Urzędu
wyłącznie dla własnych jego potrzeb przy wykorzystaniu urządzeń i sieci wewnętrznej Urzędu.
8) osobach trzecich – naleŜy przez to rozumieć kaŜdą osobę nieupowaŜnioną i przez to
nieuprawnioną do dostępu do danych osobowych zbiorów będących w posiadaniu AD. Osobą
trzecią jest równieŜ osoba posiadające upowaŜnienie wydane przez Administratora i podejmująca
czynności w zakresie przekraczającym ramy tego upowaŜnienia.
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 2
Urząd Miasta Tychy
§4
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz osoby odpowiedzialne za te czynności
1. Procedura nadawania upowaŜnień do przetwarzania danych osobowych.
1) kierownik jednostki organizacyjnej przekazuje do Wydziału Organizacyjnego, Kadr i Szkolenia
„wniosek o nadanie upowaŜnienia do przetwarzania danych osobowych” zawierający imię
i nazwisko pracownika (staŜysty lub praktykanta) ze wskazaniem czy będzie on przetwarzać
dane osobowe w systemie informatycznym,
2) Wydział Organizacyjny, Kadr i Szkolenia przygotowane upowaŜnienie przekazuje do podpisu
ABI,
3) ewidencję osób upowaŜnionych do przetwarzania danych osobowych prowadzi Wydział
Organizacyjny, Kadr i Szkolenia,
4) upowaŜnienia tracą waŜność z dniem ustania stosunku pracy, ukończenia staŜu lub praktyki.
2. Procedura nadawania uprawnień do systemu informatycznego:
1) kierownik jednostki organizacyjnej występuje z wnioskiem do ASI o nadanie uprawnień do
pracy w systemie informatycznym. We wniosku zamieszczone są następujące informacje:
a) imię i nazwisko upowaŜnionego do przetwarzania danych osobowych,
b) nazwę systemu informatycznego,
c) zakres dostępu,
Uwaga: W przypadku uprawnień do systemu informatycznego, nad którym nadzór pełni
inna jednostka organizacyjna, konieczna jest akceptacja wniosku przez kierownika tej
jednostki.
2) ASI weryfikuje wniosek pod względem moŜliwości nadania uprawnienia w systemie,
3) po pozytywnej weryfikacji ASI nadaje uprawnienia do przetwarzania danych osobowych
w systemach informatycznych,
4) ewidencję osób uprawnionych do pracy w systemie informatycznym prowadzą Wydział
Informatyki i Wydział Geodezji,
5) w przypadku utraty waŜności upowaŜnienia, ASI blokuje uprawnienia w systemie
informatycznym.
3. Ewidencja osób upowaŜnionych do przetwarzania danych osobowych oraz ewidencja
uprawnionych do pracy w systemie informatycznym prowadzona jest w jednym wspólnym
systemie.
§5
Stosowane metody i środki uwierzytelnienia w systemie
oraz procedury związane z ich zarządzaniem i uŜytkowaniem
1. W systemie informatycznym stosuje się uwierzytelnianie trzystopniowe na poziomie:
1) dostępu do stacji roboczej (równoznaczne z dostępem do sieci lokalnej),
2) dostępu do serwera,
3) dostępu do aplikacji na serwerze,
2. W przypadku stacji roboczych włączonych do środowiska domenowego, uwierzytelnianie
ogranicza się do dwóch poziomów:
1) dostęp do domeny,
2) dostęp do aplikacji na serwerze.
3. Do uwierzytelnienia uŜytkownika na wszystkich poziomach stosuje się hasła, za wyjątkiem
systemów, w których do uwierzytelniania słuŜą karty mikroprocesorowe. W przypadku weryfikacji
toŜsamości uŜytkownika przy uŜyciu karty mikroprocesorowej uŜytkownik jest zobowiązany do:
1) umieszczenia karty mikroprocesorowej w czytniku kart,
2) wpisania indywidualnego kodu PIN.
4. Hasła składają się, co najmniej z 8 znaków, zawierają małe i wielkie litery oraz cyfry i znaki
specjalne. Początkowe hasło dostępu nadawane jest przez pracownika Wydziału Informatyki
i przekazywane pracownikom w formie ustnej. Hasło to powinno zostać niezwłocznie zmienione
przez uŜytkownika przy uŜyciu odpowiednich narzędzi informatycznych.
5. Hasła nie mogą być powszechnie uŜywanymi słowami. W szczególności nie naleŜy jako haseł
wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów
telefonów.
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 3
Urząd Miasta Tychy
6. Zabrania się ujawniania haseł jakimkolwiek osobom trzecim oraz zapisywania haseł lub takiego
z nimi postępowania, które umoŜliwia lub ułatwia dostęp do haseł osobom trzecim. Punkt ten
obowiązuje równieŜ w odniesieniu do haseł, których waŜność wygasła.
7. Zmiana hasła do systemu, jak równieŜ kodu PIN w przypadku uŜycia karty mikroprocesorowej,
następuje nie rzadziej, niŜ co 30 dni albo niezwłocznie w przypadku podejrzenia, Ŝe hasło mogło
zostać ujawnione. W systemach, które to umoŜliwiają hasła są zmieniane przez UŜytkowników,
a w pozostałych przypadkach przez pracowników Wydziału Informatyki.
8. Hasła uŜytkowników systemów informatycznych nie są przechowywane. W przypadku zagubienia
hasła uŜytkownik zwraca się do ASI o nadanie nowego hasła.
9. Hasła uŜytkowników posiadających uprawnienia administratorów przechowywane są w sejfie
Wydziału Informatyki. O awaryjnym ich uŜyciu decyduje kaŜdorazowo ASI.
§6
Procedury rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla uŜytkowników systemu
1. Przed przystąpieniem do pracy w systemie informatycznym uŜytkownik zobowiązany jest
sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły
okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia
ochrony danych osobowych uŜytkownik niezwłocznie powiadamia ABI za pośrednictwem ASI.
2. UŜytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności:
1) włączenia komputera,
2) uwierzytelnienia się („zalogowania”) do komputera/serwera za pomocą identyfikatora i hasła,
3) uruchomienia aplikacji i uzyskania dostępu do określonej funkcjonalności tej aplikacji przez
podanie identyfikatora i hasła dostępu, lub weryfikacji toŜsamości uŜytkownika przy uŜyciu
karty mikroprocesorowej.
3. Niedopuszczalna jest praca w systemie informatycznym na koncie innego uŜytkownika.
4. Po zalogowaniu się w systemie uŜytkownik ma obowiązek ocenić pracę systemu i stan zbioru
danych a w przypadku jakichkolwiek wątpliwości zgłosić ten fakt ASI.
5. UŜytkownicy zobowiązani są do natychmiastowego stosowania się do komunikatów pojawiających
się na monitorach.
6. W trakcie pracy uŜytkownik powinien stosować przedsięwzięcia zapewniające bezpieczeństwo
przetwarzania danych osobowych w systemie, a w szczególności:
a) ustawić ekrany monitorów w sposób uniemoŜliwiający podgląd osobom nieupowaŜnionym,
b) dopilnować aby w pomieszczeniach, stanowiących obszar przetwarzania danych nie
przebywały jakiekolwiek osoby trzecie, a jeśli przebywają to tylko za zgodą przełoŜonych
i w obecności osób uprawnionych.
7. Zakończenie pracy uŜytkownika w systemie następuje po „wylogowaniu się” z systemu oraz
wyłączeniu wszystkich urządzeń. Po zakończeniu pracy uŜytkownik zabezpiecza swoje
stanowisko pracy, a w szczególności nośniki informatyczne, dokumenty i wydruki zawierające
dane osobowe, przed dostępem osób nieupowaŜnionych.
8. Praca uŜytkownika w systemie komputerowym po godzinach pracy Urzędu wymaga
wcześniejszego zgłoszenia przełoŜonemu i ASI.
9. W przypadku dłuŜszego opuszczenia stanowiska pracy, uŜytkownik zobowiązany jest „wylogować
się” z systemu informatycznego lub zablokować komputer. Dopuszczalne jest zaktywowanie
wygaszacza ekranu zabezpieczonego hasłem, którego wpisanie daje moŜliwość wznowienia
pracy na stacji roboczej.
10. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania („logowaniu się”
w systemie), uŜytkownik niezwłocznie powiadamia o nich ASI.
§7
Procedury tworzenia kopii zapasowych zbiorów danych
oraz programów i narzędzi programowych słuŜących do ich przetwarzania
1. Kopiowanie danych osobowych na nośniki informacji, robienie wydruków oraz wykorzystywanie
tych danych w celach innych niŜ wynikających z nałoŜonych na uŜytkowników obowiązków lub
wynikających z odrębnych przepisów prawa jest zabronione.
2. Przynajmniej raz w tygodniu tworzy się pełne kopie systemów sieciowych (programy wraz
z bazami) na odpowiednio oznaczone nośniki danych. Sposób oznaczenia nośników a takŜe
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 4
Urząd Miasta Tychy
szczegółowy sposób tworzenia kopii zapasowych oraz ich magazynowania i likwidacji opisuje
odrębna procedura tworzenia kopii zapasowych, za której opracowanie odpowiedzialny jest ASI.
3. Za tworzenie tych kopii, rejestrowanie ich zawartości, przechowywanie i sprawdzanie
odpowiedzialny jest ASI lub osoba upowaŜniona do zastępstwa.
4. Kopie baz i programów zainstalowanych na dyskach lokalnych zobowiązani są tworzyć
i zabezpieczać uŜytkownicy komputerów w sposób uzgodniony z ASI.
5. Sporządzający kopie zapasowe zobowiązani są do okresowego ich sprawdzania pod kątem
dalszej przydatności. Dane nieprzydatne naleŜy usunąć.
§8
Sposób, miejsce i okres przechowywania
elektronicznych nośników oraz kopii zapasowych
1. Elektroniczne nośniki informacji zawierające dane osobowe:
1) wymienne elektroniczne nośniki danych powinny być oznaczone i uŜywane zgodnie
z Instrukcją kancelaryjną dla organów gmin,
2) wymienne elektroniczne nośniki informacji są przechowywane w pokojach budynków
stanowiących obszar przetwarzania danych osobowych, określony w Wykazie przetwarzanych
zbiorów danych osobowych w Urzędzie Miasta Tychy,
3) po zakończeniu pracy przez uŜytkowników systemu, wymienne elektroniczne nośniki
informacji są przechowywane w zamykanych na klucze szafach biurowych lub kasetkach,
4) dane osobowe w postaci elektronicznej naleŜy usunąć z nośnika informacji w sposób
uniemoŜliwiający ich ponowne odtworzenie, po utracie ich przydatności dla uŜytkownika,
5) jeŜeli z przyczyn technicznych danych nie moŜna usunąć z nośnika w sposób trwały, naleŜy
nośnik zniszczyć fizycznie w sposób uniemoŜliwiający odczyt danych.
6) uŜytkownik komputera przenośnego obowiązany jest do zachowania szczególnej ostroŜności
podczas jego transportu i przechowywania poza obszarem Urzędu, w celu zapobieŜenia
dostępowi do danych na nim zgromadzonych osobom niepowołanym.
2. Sposób, miejsce i okres przechowywania kopii zapasowych:
1) Kopie zapasowe
a) kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi
programowych zastosowanych do przetwarzania danych są przechowywane w sejfach –
w Wydziale Informatyki (Al. Niepodległości 49) oraz w Wydziale Komunikacji
(ul. Budowlanych 59),
b) dostęp do sejfów mają tylko upowaŜnieni pracownicy,
3. Wydruki:
1) wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie
w zamykanych na klucz szafach,
2) osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający
dane osobowe ma obowiązek na bieŜąco sprawdzać przydatność wydruku w wykonywanej
pracy, a w przypadku jego nieprzydatności – niezwłocznie wydruk zniszczyć.
4. Dane wejściowe do systemu. Dane osobowe zapisane w formie papierowej innej niŜ wydruki
z systemów (pisma, ankiety itp.) są przechowywane na podobnych zasadach jak wydruki.
§9
Sposób zabezpieczenia systemu informatycznego
przed złośliwym oprogramowaniem, w tym wirusami komputerowymi
1. Ochrona antywirusowa:
1) za ochronę antywirusową odpowiada ASI.
2) czynności związane z ochroną antywirusową systemu informatycznego wykonują pracownicy
Wydziału Informatyki, wykorzystując w trakcie pracy systemu informatycznego moduł
programu antywirusowego w aktualnej wersji, sprawdzający na bieŜąco zasoby systemu
informatycznego. Moduł programu antywirusowego działający „w tle” naleŜy zainstalować na
kaŜdym komputerze działającym w sieci lokalnej Urzędu.
3) ochroną antywirusową objęto następujące punkty infrastruktury Urzędu:
a. punkt styku sieci rozległej z siecią lokalną,
b. stacje robocze uŜytkowników,
c. serwer pocztowy urzędu.
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 5
Urząd Miasta Tychy
4) program antywirusowy zainstalowany na stacjach roboczych jest zasilany automatycznie
nowymi definicjami wirusów nie rzadziej niŜ raz na dzień.
5) uŜytkownik systemu na stanowisku komputerowym, uŜywający w trakcie wykonywanej pracy
informatycznych nośników danych (płytka CD, dyskietka, pendrive i inne) jest odpowiedzialny
za sprawdzenie tych nośników pod kątem moŜliwości występowania wirusów,
6) uŜytkownik ma obowiązek zgłosić pracownikom wydziału informatyki kaŜdy fakt, który moŜe
świadczyć o obecności w systemie szkodliwego oprogramowania,
7) naleŜy zachować szczególną ostroŜność na stacjach roboczych, z których moŜliwe jest
korzystanie z sieci Internet. Aby ograniczyć ryzyko przedostania się szkodliwego
oprogramowania do systemów informatycznych nie naleŜy: instalować dodatkowych
programów narzędziowych i dodatków do przeglądarek internetowych, unikać otwierania stron
o nieznanym pochodzeniu i podejrzanej treści, otwierać załączników pocztowych od
nieznanych adresatów.
2. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej
1) ASI jest odpowiedzialny za monitorowanie sieci lokalnej w celu wykrycia prób
nieautoryzowanego dostępu, skanowania sieci itp.
2) ASI jest odpowiedzialny za zapewnienie bezpieczeństwa wymiany danych na styku:
a) sieci lokalnej i sieci rozległej,
b) stanowiska komputerowego uŜytkownika systemu i pozostałych urządzeń wchodzących
w skład sieci lokalnej.
§ 10
Zasady i sposób odnotowywania w systemie informacji,
komu, kiedy i w jakim zakresie dane osobowe ze zbioru zostały udostępnione
1. W systemach informatycznych odnotowywane są informacje o odbiorcach.
2. Odbiorcą danych jest kaŜdy, komu udostępnia się dane osobowe, z wyłączeniem:
1) osoby, której dane dotyczą,
2) osoby uŜytkownika systemu lub innej osoby upowaŜnionej do przetwarzania danych
osobowych w Urzędzie,
3) podmiotu, któremu powierzono przetwarzanie danych,
4) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane
w związku z prowadzonym postępowaniem.
3. Odnotowanie obejmuje informacje o:
1) nazwie jednostki organizacyjnej lub imieniu i nazwisku osoby, której udostępniono dane,
2) zakresie udostępnianych danych,
3) dacie udostępnienia,
4) obowiązek odnotowania ww. informacji spoczywa na uŜytkowniku systemu, w tym celu
wypełnia on odpowiednie pole w bazie danych osobowych, arkuszu kalkulacyjnym lub tabele
w edytorze tekstu.
4. Odnotowanie informacji powinno nastąpić niezwłocznie po udostępnieniu danych.
5. Udostępnienie danych osobowych moŜe nastąpić wyłącznie na pisemną prośbę odbiorcy danych.
6. Nadzór nad prawidłowością odnotowywania w systemie ww. informacji sprawuje kierownik
jednostki organizacyjnej, który merytorycznie odpowiada za funkcjonowanie danego systemu
informatycznego.
§ 11
Procedury wykonywania przeglądów i konserwacji systemów
oraz nośników informacji słuŜących do przetwarzania danych osobowych
1. Celem przeglądu i konserwacji systemów informatycznych oraz nośników informacji jest
zapewnienie bezawaryjnej pracy Urzędu i przeciwdziałanie utracie danych osobowych
przetwarzanych przez uŜytkowników systemu.
2. Przegląd i konserwacja systemów oraz nośników informacji wykonywane są w przypadku:
1) zgłoszenia przez uŜytkowników systemu nieprawidłowości w ich działaniu,
2) po wymianie elementów składowych systemu,
3) po awarii systemu informatycznego lub serwera, na którym umieszczone były zbiory danych
przetwarzanych przez system.
3. Przeglądu i konserwacji dokonują pracownicy Wydziału Informatyki lub pracownicy firm
posiadających prawa autorskie do systemów na podstawie umów konserwacyjnych.
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 6
Urząd Miasta Tychy
4. W przypadku zlecenia wykonywania czynności, o których mowa wyŜej, podmiotowi
zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem pracowników Wydziału
Informatyki.
5. Przed wykonaniem przeglądu i konserwacji pracownik Wydziału Informatyki sporządza
odpowiednie kopie bezpieczeństwa.
6. Po dokonaniu zmian w systemie informatycznym sprawdzenie jego funkcjonowania powinno
obejmować:
1) poprawność logowania się do systemu, w zaleŜności od posiadanych uprawnień,
2) poprawność działania wszystkich elementów aplikacji.
7. BieŜące przeglądanie danych osobowych wykonują osoby zatrudnione przy ich przetwarzaniu.
8. Urządzenia, dyski lub inne informatyczne nośniki informacji, przeznaczone do napraw w firmach
zewnętrznych, lub przeznaczone do przekazania podmiotom nieupowaŜnionym do przetwarzania
danych osobowych, pozbawia się wcześniej zapisu danych. Dopuszczalne jest przeprowadzenie
napraw pod nadzorem ASI, wtedy zapis danych nie musi być usuwany.
9. Urządzenia, dyski lub inne informatyczne nośniki informacji posiadające zapis danych osobowych,
które przeznaczone są do likwidacji pozbawia się zapisu lub uszkadza mechanicznie w sposób
uniemoŜliwiający ich odczytanie.
§ 12
Korzystanie z sieci komputerowej
W zakresie korzystania z sieci komputerowej w Urzędzie Miasta Tychy obowiązują następujące
zasady:
1) pracownicy nie są uprawnieni do instalacji jakiegokolwiek prywatnego oprogramowania (w tym
równieŜ oprogramowania typu freeware, shareware itp.) bez odpowiedniej pisemnej zgody
ABI po zaopiniowaniu przez ASI,
2) instalacja oprogramowania na komputerach Urzędu przez podmioty zewnętrzne wymaga
obecności pracowników Wydziału Informatyki,
3) pracownicy mogą uŜywać połączenia z Internetem jedynie w celach słuŜbowych.
4) osoby nie upowaŜnione nie mogą uŜywać sprzętu komputerowego będącego na stanie
Urzędu,
5) jeŜeli w jakiejkolwiek fazie pracy UŜytkownik podejmie podejrzenie o ingerencji z zewnątrz
(nieprawidłowe działanie programu, niezgodności w danych, podejrzany wygląd sprzętu) jest
zobowiązany zgłosić ten fakt przełoŜonemu i ASI
§ 13
Zasady postępowania w sytuacji naruszenia ochrony danych osobowych
1. W przypadku naruszenia danych osobowych w systemach informatycznych uŜytkownik
bezzwłocznie zgłasza o tym przełoŜonemu, ABI lub ASI.
2. ABI przy pomocy ASI oraz przełoŜonego uŜytkownika niezwłocznie dokonuje czynności mających
na celu sprawdzenie zasadności podejrzenia i dokumentuje wykonane czynności w notatce
słuŜbowej, która zawiera: datę, opis stanu faktycznego, stopień naruszenia danych (ewentualne
uszkodzenie sprzętu, itp.) i (w miarę moŜliwości) sposób usunięcia naruszenia. Notatkę tę
podpisuje uŜytkownik, przełoŜony uŜytkownika, ABI oraz ASI.
3. ABI powiadamia Administratora Danych i ewentualnie inne organy o fakcie naruszenia danych
osobowych i, o ile jest to moŜliwe, podejmuje kroki przeciwdziałające rozpowszechnieniu
chronionych danych. Podejmuje takŜe działania mające na celu zapobieganie podobnym
naruszeniom w przyszłości.
4. W przypadku gdy dane zostały zniszczone (uszkodzone) ASI podejmuje następujące czynności:
dokonuje uzupełnienia, uaktualnienia lub odtworzenia danych osobowych z nośników
archiwalnych i w zaleŜności od konkretnego przypadku dokonuje innych czynności niezbędnych
do zabezpieczenia systemu tj. zmienia identyfikator uŜytkownika i hasło dostępu.
5. W sytuacji permanentnego naruszania ochrony danych osobowych, gdy pomimo działań ABI
podjętych wskutek naruszenia ochrony informacji, stan się nie poprawia i następują ponownie
przypadki naruszenia tej ochrony, ABI powiadamia Administratora Danych i Generalnego
Inspektora Ochrony Danych Osobowych, ewentualnie inne organy, a ASI zabezpiecza kopie
archiwalne danych oraz wyrejestrowuje wszystkich uŜytkowników.
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 7
Urząd Miasta Tychy
6. W przypadku stwierdzenia naruszenia danych osobowych w pozostałych zbiorach np.
skorowidzach, wykazach mogą wskazywać między innymi uszkodzenia dokumentów, ślady
włamania itp. uŜytkownik bezzwłocznie zgłasza ten fakt przełoŜonemu oraz ABI, który:
powiadamia Administratora Danych, ewentualnie inne organy, dokonuje oględzin i zabezpieczenia
miejsca zdarzenia, spisuje notatkę słuŜbową, podejmuje działania niezbędne do odtworzenia
treści danych i podejmuje działania mające na celu zapobieganie podobnym naruszeniom
w przyszłości.
§ 14
Odpowiedzialność uŜytkownika związana z obowiązywaniem instrukcji
1. KaŜdy uŜytkownik systemu przetwarzający dane osobowe zobowiązany jest zapoznać się
z niniejszą instrukcją i stosować jej przepisy na swoim stanowisku pracy.
2. Naruszenie postanowień niniejszej instrukcji moŜe zostać potraktowane jako naruszenie
obowiązków i powodować określoną przepisami odpowiedzialność uŜytkownika systemu.
Administrator Danych
PREZYDENT MIASTA TYCHY
( – ) Andrzej Dziuba
Instrukcja Zarządzania Systemami Informatycznymi, słuŜącymi do przetwarzania danych osobowych
Strona 8