Polityka bezpieczeństwa - e
Transkrypt
Polityka bezpieczeństwa - e
Załącznik nr 1 do Zarządzenia Dyrektora OSiR nr 38 z dnia 29 marca 2011 r. Polityka bezpieczeństwa ochrony danych osobowych w Ośrodku Sportu i Rekreacji w Olsztynie I. Wstęp Administrator Danych Osobowych zwany dalej ADO, świadomy wagi zagrożeń prywatności, w tym zwłaszcza zagrożeń danych osobowych przetwarzanych w związku z prowadzeniem statutowej działalności ośrodka, deklaruje podejmowanie wszelkich możliwych działań koniecznych do zapobiegania zagrożeniom, m.in. takim jak: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, kradzież, włamanie, działania terrorystyczne, niepożądana ingerencja ekipy remontowej; 2) niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych (nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne); 3) awarie sprzętu lub oprogramowania, , niewłaściwe działanie serwisantów, w tym pozostawienie serwisantów bez nadzoru, a także przyzwolenie na naprawę sprzętu zawierającego dane poza siedzibą ADO; 4) podejmowanie pracy w systemie z łamaniem lub zaniechaniem stosowania procedur ochrony danych, np. praca osoby, która nie jest upoważniona do przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby upoważnione; 5) celowe lub przypadkowe rozproszenie danych w Internecie z ominięciem zabezpieczeń systemu lub wykorzystaniem błędów systemu informatycznego ADO; 6) ataki z Internetu; 7) naruszenia zasad i procedur określonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upoważnione do przetwarzania danych osobowych, związane z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza: - niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wyłączenie komputera, niezablokowanie wyświetlenia treści pracy na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy, pozostawienie po zakończeniu pracy nie schowanych do zamykanych na klucz szaf dokumentów zawierających dane osobowe, niezamknięcie na klucz pokoju po jego opuszczeniu, nieoddanie klucza na portiernię), - naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie, - ujawnienie osobom nieupoważnionym procedur ochrony danych stosowanych u ADO, - ujawnienie osobom nieupoważnionym danych przetwarzanych przez ADO, w tym również nieumyślne ujawnienie danych osobom postronnym, przebywającym bez nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach ADO, - niewykonywanie stosownych kopii zapasowych, - przetwarzanie danych osobowych w celach prywatnych, - wprowadzanie zmian do systemu informatycznego ADO i instalowanie programów bez zgody Administratora Systemu Informatycznego (ASI) lub Administratora Bezpieczeństwa Informacji (ABI). II. 1. Postanowienia ogólne Definicje Ilekroć w instrukcji jest mowa o: 1) ABI – rozumie się przez to osobę, której ADO powierzył pełnienie obowiązków Administratora Bezpieczeństwa Informacji, 2) ADO – rozumie się przez to Administratora Danych Osobowych, reprezentowanego przez dyrektora OSiR, 3) ASI – rozumie się przez to Administratora Systemu Informatycznego - firmę obsługującą zasoby informatyczne, 4) danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (nie uważa się za dane osobowe dane osób fizycznych, zarejestrowane z uwagi na prowadzoną przez nie działalność gospodarczą), 5) GIODO – rozumie się przez to Głównego Inspektora Ochrony Danych Osobowych, 6) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi, 7) identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 8) MAS – rozumie się przez to Merytorycznego Administratora Systemu, 9) naruszeniu ochrony danych osobowych – rozumie się przez to zdarzenie lub działanie, które stanowi lub może stanowić przyczynę utraty poufności lub integralności danych osobowych oraz zmniejszenie dostępności lub niezawodności systemów, a także odstępstwo od obowiązujących procedur postępowania, nawet, jeżeli nie prowadzi do wyżej wymienionych skutków, 10) obszarze przetwarzania – rozumie się przez to strefę lub pomieszczenie, w którym dokonuje się przetwarzania danych, 11) ochronie danych (które należy utożsamiać z pojęciem bezpieczeństwa informacji) – rozumie się przez to zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności; wymienione właściwości polegają odpowiednio na: - poufność - zapewnieniu, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, - integralność - zapewnieniu, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany, - dostępność - zapewnieniu bycia osiągalnymi możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot, - rozliczalność - zapewnieniu, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, - autentyczność - zapewnieniu, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji), - niezaprzeczalność - braku możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie, - niezawodność - zapewnieniu spójności oraz zamierzonych zachowań 2 i skutków, 12) osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która upoważniona została do przetwarzania danych osobowych przez ADO na piśmie, 13) ośrodku – rozumie się przez to Ośrodek Sportu i Rekreacji w Olsztynie 14) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 15) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024), 16) sieci publicznej – rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 28 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU nr 171, poz. 1800 ze zm.), 17) sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU nr 171, poz. 1800 ze zm.), 18) serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego, 19) systemie – rozumie się przez to system informatyczny lub system nieinformatyczny, 20) systemie informatycznym – rozumie się przez to system przetwarzania danych osobowych w postaci elektronicznej, 21) systemie nieinformatycznym – rozumie się przez to kartoteki, skorowidze, księgi, wykazy, zbiory ewidencyjne, itp. zawierające dane osobowe, 22) teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 23) udostępnianiu danych – należy przez to rozumieć przekazywanie danych odbiorcy w rozumieniu art. 7 pkt 6 uodo, 24) uodo – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm.), 25) uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 26) użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, której nadano identyfikator i przyznano hasło, 27) WS – rozumie się przez to właściciela systemu. 2. Cel Wdrożenie polityki bezpieczeństwa u ADO ma na celu zabezpieczenie danych osobowych przetwarzanych w ośrodku, w tym danych przetwarzanych w systemie informatycznym ADO i poza nim, poprzez wykonanie obowiązków wynikających z uodo i rozporządzenia. W związku z tym, że w zbiorach ADO przetwarzane są między innymi dane wrażliwe, a system informatyczny ADO posiada szerokopasmowe połączenie z Internetem , niniejsza polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa danych osobowych w rozumieniu § 6 rozporządzenia. Dokument ten opisuje niezbędny do uzyskania tego bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych oraz ich zabezpieczenia. 3 3. Zakres stosowania Dokument określa: 1) ogólne zasady ochrony: - danych osobowych (przetwarzanych w formie papierowej i elektronicznej), - systemów do przetwarzania danych osobowych, - obszarów przetwarzania, 2) procedury i zasady ochrony danych osobowych stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych jak i innych, np. wolontariuszy, praktykantów. III. Organizacja przetwarzania danych osobowych 1. Administrator Danych Osobowych (ADO) W Ośrodku Sportu i Rekreacji Administratorem Danych Osobowych jest Dyrektor OSiR. ADO w zakresie ochrony danych osobowych realizuje następujące zadania, w tym zwłaszcza: 1) podejmuje decyzje o celach i środkach przetwarzania danych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji ADO oraz technik zabezpieczenia danych osobowych; 2) upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi jej obowiązków; 3) wyznacza i odwołuje oraz określa zakres ich zadań i czynności: - Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, - Właścicieli Systemów (WS) - Merytorycznych Administratorów Systemów (MAS) bezpośrednio zapewniających prawidłową eksploatację systemów informatycznych oraz odpowiedzialnych za użytkowanie systemów zgodnie z celami przetwarzania danych osobowych, - Administratorów Systemów Informatycznych dla zapewnienia technicznego wsparcia i obsługi systemów informatycznych służących do przetwarzania danych osobowych. 4) wyznacza pracownika właściwego do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych oraz pozostałej dokumentacji z zakresu ochrony danych, 5) zleca kierownikowi działu Administracyjno-Gospodarczego, by we współpracy z ASI oraz ABI zapewnił użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych 6) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych. 2. Administrator Bezpieczeństwa Informacji (ABI) ABI realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza: 1) sprawuje nadzór nad wdrożeniem środków fizycznych, organizacyjnych i technicznych 4 w celu zapewnienia bezpieczeństwa danych, 2) sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad prowadzeniem ewidencji z zakresu ochrony danych osobowych, 3) prowadzi rejestr upoważnień zawierający informacje o upoważnionych pracownikach oraz okresie ważności upoważnienia do przetwarzania danych osobowych, 4) przeprowadza raz w roku przegląd przetwarzanych danych osobowych pod kątem celowości ich dalszego przetwarzania i sporządza protokół z przeglądu podpisywany przez siebie i przez kierownika 5) wskazuje w dokumencie przekazania komputera przenośnego osobie upoważnionej do przetwarzania danych osobowych konieczność i częstotliwość sporządzania kopii zapasowych danych przetwarzanych na komputerze przenośnym (patrz pkt 9) 6) koordynuje wewnętrzne audyty przestrzegania przepisów o ochronie danych osobowych, 7) nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom, w tym przydziela w porozumieniu z ASI pracownikowi upoważnionemu do przetwarzania danych konto w systemie informatycznym, dostępne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnienia hasłem. 8) przygotuje wykaz zbiorów danych (ewidencyjnych), w którym poszczególnym kategoriom danych osobowych przypisane zostaną okresy ich przechowywania. Wykaz ten zostanie sporządzony po przeanalizowaniu przepisów wyznaczających m.in. obowiązek przechowywania dokumentacji i okresów przedawnienia roszczeń udokumentowanych z wykorzystaniem danych osobowych. Przed sporządzeniem takiego wykazu przygotowany zostanie wykaz przepisów, na mocy których przetwarzane są dane osobowe, na podstawie wykazów cząstkowych, sporządzonych przez poszczególne komórki organizacyjne. 9) przygotowuje wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inną korespondencję z GIODO. 10) zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczących ochrony danych osobowych, przygotowywane przez komórki organizacyjne ośrodka, 11) nadzoruje i prowadzi ewidencję dokumentacji z zakresu ochrony danych osobowych, 12) prowadzi oraz aktualizuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, 13) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia systemu informatycznego, 14) przygotowuje wyciągi z polityki bezpieczeństwa, dostosowane do zakresów obowiązków osób upoważnianych do przetwarzania danych osobowych, 15) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych oraz prowadzi szkolenia osób upoważnianych do przetwarzania danych osobowych, 16) w porozumieniu z ADO na czas nieobecności (urlop, choroba) wyznacza swojego zastępcę. 17) prowadzi przechowywaną w kasie pancernej ewidencję komputerów przenośnych, nośników przenośnych oraz kluczy kryptograficznych, 18) sporządza protokoły z awarii, konserwacji i napraw systemu informatycznego. 5 Protokół podpisywany jest przez osoby w tych działaniach uczestniczące, a także przez ABI, 19) monitoruje dostęp do systemu informatycznego w tym do poszczególnych stacji roboczych, 20) przygotuje wzór dokumentów przewidujących powiadomienie, o którym mowa w art. 24 lub 25 ustawy. 3. Administrator Systemu Informatycznego (ASI) ASI realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym ADO, w tym zwłaszcza: 1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, 2) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe, 3) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych, 4) podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do systemu informatycznego, 5) w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje ABI o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia, 6) sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego, 7) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji, 8) współpracuje i jeśli zajdzie konieczność udziela pomocy dla ABI 4. Pracownik działu kadr Pracownik działu kadr realizuje przede wszystkim następujące zadania w zakresie ochrony danych osobowych: 1) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych oraz rejestr udostępnień, 2) występuje z wnioskiem do administratora danych ADO o nadanie upoważnienia do przetwarzania danych osobowych, 3) występuje z wnioskiem do ABI o nadanie identyfikatora i przyznanie hasła osobie upoważnionej do przetwarzania danych osobowych w systemie informatycznym, 4) występuje z wnioskiem o odwołanie upoważnienia do przetwarzania danych 6 osobowych i/lub wyrejestrowania użytkownika z systemu informatycznego. 5. Osoba upoważniona do przetwarzania danych osobowych Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać następujących zasad: 1) może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez ADO w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków (rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych), 2) musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania, 3) przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u ADO, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji, 4) zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 5) stosuje określone przez ADO oraz ABI procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych, 6) korzysta z systemu informatycznego ADO w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników, 7) zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym. IV. Wykaz budynków, pomieszczeń i części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Obszar przetwarzania danych osobowych Ośrodka Sportu i Rekreacji w Olsztynie obejmuje następujące budynki, pomieszczenia i części pomieszczeń: - obszarami, w których dane osobowe są przetwarzane z użyciem sprzętu komputerowego są: Ośrodek Sportu i Rekreacji w Olsztynie i wyodrębnione organizacyjnie obiekty OSiR. 1. Lp. 1. Zbiory danych Nazwa jednostki organizacyjnej Ośrodek Sportu i Rekreacji w Olsztynie Adres Olsztyn ul. Żołnierska 13a Obszar przetwarzania danych Dokumentacja dot. usług w szczególności: wystawianie pokwitowań, dowodów finansowo – księgowych, wezwań do zapłaty, korespondencja, akta 7 osobowe itp. Dokumentacja dotycząca kar ograniczenia wolności Pomieszczenia nr 1, 3, 7 Dział finansowy i kadry Programy zastosowane do przetwarzania / Nazwa zasobu* Lokalizacja zbioru/zasobu Miejsce przetwarzania danych parter- pokój 1i 3 parter- pokój 1 1. „Kadry i Fk” Płace, gospodarka magazynowa, Softar System Firma, 2. „Kadry i Fk” Edytor tekstu parter- pokój 1i 3 parter- pokój 1i 3 3. Kadry i Fk”” Gospodarka magazynowa parter- pokój 1 parter- pokój 1 4. Kadry i Fk” Kadry parter- pokój 3, piwnica - archiwum parter- pokój 3, piwnica - archiwum 5. Kadry i Fk” Rejestr faktur, finansowoksięgowy, Pokój 7 Pokój 7 Samodzielne stanowiska 1. stanowiska techniczne Norma Ekspert, Przegląd i kontrola Budynku, Do kosztorysowania 2. Radca prawny 3. Zamówienia publiczne Parter-pokój 2 Parter-pokój 2 Edytor tekstu 1 piętro pokój 9 1 piętro pokój 9 Edytor tekstu Piwnica piwnica Obiekty 1. Hotel Relaks Olsztyn ul. Żołnierska 13a Program Rechot, edytor tekstu 2. Zespół Krytych Obiektów Sportowych I Olsztyn ul. Głowackiego 27 Czarodziej faktur edytor tekstu 3. Zespół Krytych Obiektów Sportowych II Olsztyn, ul. Lengowskiego Czarodziej faktur edytor tekstu 4. Lodowisko-Boisko Olsztyn, ul. Jeziołowicza 4 Dokumentacja dot. usług w szczególności: Meldowanie osób – gości hotelowych, korespondencja z klientami, faktury. Dokumenty związane ze stosunkiem pracy Dokumentacja dot. usług w szczególności: Listy klientów, korespondencja, faktury, umowy Dokumentacja dot. usług w szczególności: Listy klientów, korespondencja, faktury, umowy Dokumenty związane ze stosunkiem pracy Dokumentacja dot. usług w szczególności: Listy klientów, korespondencja. Dokumenty związane ze stosunkiem pracy 8 Czarodziej faktur, Subiekt, edytor tekstu 5. Ośrodek Wypoczynkowy „Kłobuk” Nowa Kaletka 6. ZOWR Plaża Olsztyn ul. Jeziorna 8 edytor tekstu 7. Przystań Olsztyn ul. Jodłowa 9a edytor tekstu 8. Przystań Słoneczna Polana (BSW) Olsztyn ul. Sielska 38 edytor tekstu 9. ZOOS „STADION” Olsztyn, ul. Piłsudskiego 69a edytor tekstu 10. HWS „URANIA” Olsztyn ul. Piłsudskiego 44 Czarodziej faktur edytor tekstu 11. Dział Sportu Olsztyn, ul. Żołnierska 13a edytor tekstu 2. Dokumentacja dot. usług w szczególności: Meldowanie osób – gości hotelowych, korespondencja z klientami, faktury, umowy. Dokumenty związane ze stosunkiem pracy Dokumentacja dot. usług w szczególności: Wystawianie pokwitowań, dowodów finansowo-księgowych – faktur, umowy. Dokumenty związane ze stosunkiem pracy. Dokumentacja dot. usług w szczególności: Wystawianie pokwitowań, dowodów finansowo-księgowych – faktur. Dokumenty związane ze stosunkiem pracy. Dokumentacja dot. usług w szczególności: Wystawianie pokwitowań, dowodów finansowo-księgowych – faktur, umowy. Dokumenty związane ze stosunkiem pracy. Dokumentacja dot. usług w szczególności: Wystawianie pokwitowań, dowodów finansowo-księgowych – faktur, umowy. Dokumenty związane ze stosunkiem pracy. Dokumentacja dot. usług w szczególności: Wystawianie pokwitowań, dowodów finansowo-księgowych – faktur, umowy Listy uczestników, listy kontrahentów. Dokumenty związane ze stosunkiem pracy. Dokumentacja dot. usług w szczególności: Wystawianie pokwitowań, dowodów finansowo-księgowych – faktur, umowy Dokumenty związane ze stosunkiem pracy, deklaracji udziału w zawodach. Ewidencje wykonania kar System informatyczny1 System informatyczny ADO obsługiwany jest przez serwery zlokalizowane w pok. nr 010. System ten ma bezpieczne połączenie z Internetem. W systemie informatycznym przetwarzane są dane ze zbiorów danych ADO, tj. „Kadr i wynagrodzeń” oraz „Obiekty”. Stacje robocze są zlokalizowane w siedzibie zarządu OSiR i podległych obiektach. 1 Zgodnie z art. 7 pkt 2a ustawy system informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Pojęcie „system informatyczny” obejmuje elementy zaliczone do czterech kategorii. Są to: 1) urządzenia, 2) programy, 3) procedury przetwarzania informacji, 4) narzędzia programowe. Urządzenie to „rodzaj mechanizmu lub zespół elementów, przyrządów służących do wykonania określonej czynności, ułatwiający pracę”. Program – według znaczenia przyjmowanego w informatyce – to odpowiednio uporządkowana sekwencja instrukcji, mająca na celu wykonanie określonych zadań. Procedury przetwarzania informacji mogłyby być utożsamiane z programem, lecz wobec ich odrębnego wskazania w analizowanej definicji należy przyjąć, że są to procedury inne niż przyjęte w stosowanych w konkretnym przypadku programach. Narzędzia programowe także mieszczą się w kategorii oprogramowania. 9 V. 1. Struktura zbiorów danych, sposób przepływu danych w systemie i zakres przetwarzania danych Zbiór danych „Kadry i wynagrodzenia” Zbiór ten obejmuje dane byłych i obecnych pracowników oraz osób świadczących usługi na rzecz ADO na innej podstawie niż stosunek pracy. 1) Zakres pierwszy danych tego zbioru, tzn. imię i nazwisko osoby oraz jej numer telefonu służbowego, dostępny jest wszystkim pracownikom ADO, a także niektórym osobom świadczącym usługi na rzecz ADO na innej podstawie niż stosunek pracy. Zakres drugi danych tego zbioru, tzn. imię i nazwisko osoby, jej adres, numer telefonu, wysokość wynagrodzenia, podstawowe, niezbędne do ustalenia wysokości wynagrodzenia, dane dotyczące stażu pracy, wykształcenia, urlopów i zwolnień, numer dowodu osobistego, numer konta bankowego, numer NIP i PESEL, imiona rodziców, datę i miejsce urodzenia, dostępny jest pracownikom działu kadr i księgowości. Dane tego zakresu są udostępniane przez upoważnionych pracowników księgowości ZUS-owi i urzędom skarbowym. 2) Zakres trzeci danych tego zbioru obejmuje dane kadrowe (w tym dane wrażliwe), takie jak informacje o odbytych szkoleniach, urlopach, dane dotyczące wykształcenia, zainteresowań i hobby, informacje o posiadanych dzieciach, zawartych związkach małżeńskich, a także dane o stanie zdrowia, wynikające z zaświadczeń lekarskich, wydawanych zwłaszcza w wyniku badań profilaktycznych (wstępnych, okresowych, kontrolnych). Dostęp do tych danych posiadają wyłącznie dyrektor oraz pracownicy działu kadr. Dane z tego zakresu mogą być udostępniane organom prowadzącym kontrolę, w tym zwłaszcza Państwowej Inspekcji Pracy i sądom powszechnym w związku z prowadzonym postępowaniem. 3) W systemie informatycznym ADO dane zbioru „Kadry i wynagrodzenia” są przetwarzane tylko w pierwszym i drugim zakresie. Na polecenie wyznaczonego pracownika działu kadr pracownicy tego działu przygotowują w programie „Edytor tekstu” teksty umów o pracę, porozumień i wypowiedzeń zmieniających, informacje o warunkach zatrudnienia, przekazywane zgodnie z art. 29 kp, zakresy obowiązków, korespondencję w sprawie zatrudnienia i wysokości zarobków. Dostęp do nich jest możliwy po wprowadzeniu odpowiedniego identyfikatora użytkownika (pracownika księgowości, kadr lub ADO). 4) Dane pierwszego i drugiego zakresu przetwarzane są za pomocą programu „SOFTAR-Płace”, z którego niezbędne dane są importowane półautomatycznie do programu „Płatnik”, służącego do korespondencji z zakładem ZUS. Kontakt z ZUSem odbywa się elektronicznie i jest uwierzytelniany zmienianym certyfikatem dostępu z przypisanym mu hasłem. 5) Na tym samym komputerze przetwarzane są dane (imię i nazwisko, adres, numer rachunku) w systemie bankowości elektronicznej za pomocą programu „PekaoBIZNES24”, dostępnym po połączeniu z siecią Internet (on-line), w którym tworzy się przelewy wynagrodzeń. Każdorazowy przelew opatrzony jest bezpiecznym podpisem elektronicznym, składanym przez pracownika księgowości upoważnionego przez dyrektora. 10 2. Zbiór danych „Baza danych klientów” 1) Baza danych klientów hotelu Relaks i ośrodka wypoczynkowego Kłobuk w Nowej Kaletce podlegających obowiązkowi meldunkowemu, zgodnie z ustawą z dnia 10.04.1974r. o ewidencji ludności i dowodach osobistych, tworzona jest w związku z wypełnieniem obowiązku wynikającego z przepisu prawa, w szczególności poprzez rejestrację danych w miejscach pobytu. 2) W celu wypełnienia obowiązku meldunkowego zbierane są dane w następującym zakresie: a) w stosunku do obywateli naszego kraju przetwarzane są następujące dane: - imię, nazwisko i adres zamieszkania (miejscowość, kod, ulica, nr domu i lokalu), - data i miejsce urodzenia, - kraj urodzenia, - imiona rodziców, - rodzaj (dowód osobisty, prawo jazdy, paszport), seria i nr dokumentu tożsamości, - nr ewidencyjny PESEL b) w stosunku do obcokrajowców: - narodowość, - nr paszportu, - data urodzenia c) a w stosunku do obcokrajowców posługujących się dowodem kraju pochodzenia: - imię, nazwisko i adres zamieszkania (kraj, miejscowość, kod, ulica, nr domu, nr lokalu), - data i miejsce urodzenia, - narodowość, - rodzaj, seria i nr dokumentu tożsamości dokumentu tożsamości, - nr ewidencyjny kraju pochodzenia, jeśli jest w dokumencie tożsamości. 3) W stosunku do klientów korzystających z usług ośrodka, w tym z obiektów, urządzeń sportowo-rekreacyjnych itp., przetwarzanie danych osobowych obejmuje m.in. sporządzanie list osób uprawnionych do korzystania z ww. usług i obiektów, list zawodników, wystawianie imiennych pokwitowań, faktur, zawieranie umów, wystawianie dokumentów rozliczeniowych, wezwań, ponagleń. 4) W stosunku do ukaranych prawomocnym wyrokiem sądu, skierowanych do prac na rzecz OsiR - na czas wykonywania prac (czas określony decyzją sądu) z sądu do ośrodka przekazywane są akta ukaranych zawierające ich dane (imię, nazwisko, data oraz miejsce urodzenia, imię ojca, adres zamieszkania, wymiar kary ograniczenia wolności, czas i forma odpracowania kary) wraz z kopią wyroku. Akta te opatrzone są sygnaturą sprawy. Na ich podstawie pracownik działu kadr tworzy listę obecności zawierającą imię i nazwisko oraz datę i ilość godzin do odpracowania, a także wykaz skazanych zawierający (imię i nazwisko, sygnatura akt ilość godzin do odpracowania w danym miesiącu, data zgłoszenia się ukaranego do odbywania kary). Osoba odpowiedzialna za wykonanie pracy w danym obiekcie sportowym OSiR sporządza wykaz zawierający dane o przebiegu wykonania kary przez każdą osobę skierowaną do odbycia kary. Wykaz zawiera informacje: imię i nazwisko, sygnatura akt, data wykonania pracy, ilość przepracowanych godzin, miejsce wykonywania pracy, rodzaj pracy, ocena pracy. Akta przechowywane są w zamkniętej na klucz szafie w dziale kadr; akta nie są kopiowane i nie są sporządzane żadne odpisy. Po zakończeniu 11 okresu wykonywania pracy akta są zwracane do sądu wraz z kopią wykazu zawierającego dane o przebiegu wykonania kary. Druga kopia zostaje w ośrodku. VI. Strategia zabezpieczenia danych osobowych (działania niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych) 1. Bezpieczeństwo osobowe Zachowanie poufności 1) ADO przeprowadza nabór na wolne stanowiska w drodze konkursu. Kandydaci na pracowników są dobierani z uwzględnieniem ich kompetencji merytorycznych, a także kwalifikacji moralnych. Zwraca się uwagę na takie cechy kandydata, jak uczciwość, odpowiedzialność, przewidywalność zachowań. 2) Ryzyko utraty bezpieczeństwa danych przetwarzanych przez ADO pojawiające się ze strony osób trzecich, które mogą mieć dostęp do danych osobowych (np. serwisanci), jest minimalizowane przez podpisanie umów powierzenia przetwarzania danych osobowych. 3) Ryzyko ze strony osób, które potencjalnie mogą w łatwiejszy sposób uzyskać dostęp do danych osobowych (np. osoby sprzątające pomieszczenia), jest minimalizowane przez zobowiązywanie ich do zachowania tajemnicy na podstawie odrębnych, pisemnych oświadczeń. Szkolenia w zakresie ochrony danych osobowych 4) Warunkiem dopuszczenia do przetwarzania danych osobowych jest odbycie szkolenia z bezpieczeństwa informacji w zakresie zasad ochrony danych osobowych oraz zasad ich przetwarzania w systemach ADO. 5) Ponadto szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania danych osobowych przeprowadzane są także w przypadku każdej zmiany zasad lub procedur ochrony danych osobowych, 6) Plany i programy szkoleń w tym zakresie zatwierdza ADO. 7) Szkolenia przeprowadza ABI. 8) ABI prowadzi ewidencje szkoleń i ich uczestników. 2. Strefy bezpieczeństwa 1) W siedzibie ADO wydzielono strefę bezpieczeństwa klasy I, w której dostęp do informacji zabezpieczony jest wewnętrznymi środkami kontroli. W skład tej strefy wchodzą: - pomieszczenie księgowości z kasą pancerną (pokój 1), w którym mogą przebywać pracownicy księgowości, inni użytkownicy danych tylko w towarzystwie pracowników księgowości, a osoby postronne w ogóle nie mają dostępu; złożony na portierni hotelu klucz do tego pokoju jest przechowywany w woreczku zalakowanym referentką, - pomieszczenie serwerowni (pokój nr 010). 2) W strefie bezpieczeństwa klasy II do danych osobowych mają dostęp wszystkie osoby upoważnione do przetwarzania danych osobowych zgodnie z zakresami upoważnień do ich przetwarzania, a osoby postronne mogą w niej przebywać tylko 12 w obecności pracownika upoważnionego do przetwarzania danych osobowych. Strefa ta obejmuje wszystkie pozostałe pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie ADO. 3. Zabezpieczenie sprzętu 1) Serwer jest zlokalizowany w wentylowanej szafie w odrębnym pomieszczeniu, zamykanym wzmocnionymi drzwiami (pokój nr 010). Okno tego pomieszczenia zabezpieczone jest kratą antywłamaniową. W pomieszczeniu serwerowni mogą przebywać wyłącznie ASI, ABI lub ich zastępcy, inne osoby upoważnione do przetwarzania tylko w ich towarzystwie, a osoby postronne w ogóle nie mają dostępu. 2) Wszystkie urządzenia księgowości i kadr są zasilane za pośrednictwem zasilaczy awaryjnych (UPS). 3) Bieżąca konserwacja sprzętu wykorzystywanego przez ADO do przetwarzania danych prowadzona jest tylko przez ASI na zasadach określonych w instrukcji zarządzania systemem informatycznym. 4) Zabezpieczenie i przechowywanie elektronicznych nośników informacji odbywa się na zasadach określonych w instrukcji zarządzania systemem informatycznym. 4. Zabezpieczenia we własnym zakresie Niezwykle ważne dla bezpieczeństwa danych jest wyrobienie przez każdą osobę upoważnioną do przetwarzania danych lub użytkownika nawyku: 1) ustawiania ekranów komputerowych tak, by osoby niepowołane nie mogły oglądać ich zawartości, a zwłaszcza nie naprzeciwko wejścia do pomieszczenia; 2) niepozostawiania bez kontroli dokumentów, nośników danych i sprzętu w hotelach i innych miejscach publicznych oraz w samochodach; 3) dbania o prawidłową wentylację komputerów (nie zasłaniać kratek wentylatorów, nie stawiać komputerów w sposób utrudniający ich właściwą wentylację); 4) niepodłączania do listew podtrzymujących napięcie przeznaczonych dla sprzętu komputerowego innych urządzeń (np. grzejniki, czajniki, wentylatory); 5) pilnego strzeżenia akt, dyskietek, pamięci przenośnych i komputerów przenośnych; 6) kasowania po wykorzystaniu danych na dyskach przenośnych; 7) nieużywania powtórnie dokumentów zadrukowanych jednostronnie; 8) niezapisywania hasła wymaganego do uwierzytelnienia się w systemie na papierze lub innym nośniku; 9) powstrzymywania się od samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzętu (szczególnie komputerów przenośnych), nawet gdy z pozoru mogłoby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych; 10) właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła stosownie do otrzymanych uprawnień w systemie i stosowania się do zaleceń ABI; 11) opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób; 12) kopiowania tylko jednostkowych danych (pojedynczych plików). Obowiązuje zakaz robienia kopii całych zbiorów danych lub takich ich części, które nie są konieczne do 13 wykonywania obowiązków przez pracownika. Jednostkowe dane mogą być kopiowane na nośniki elektroniczne po ich zaszyfrowaniu oraz przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane; 13) przesyłania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej; 14) niewynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej; 15) wykonywania kopii roboczych danych, na których się właśnie pracuje, tak często, aby zapobiec ich utracie; 16) kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie obszary serwera, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera oraz odcięciu napięcia w UPS i listwie; 17) niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszelkich wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy; 18) chowania do zamykanych na klucz szaf wszelkich akt zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy; 19) niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej do przetwarzania danych osobowych; 20) zachowania tajemnicy danych, w tym także wobec najbliższych; 21) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy; 22) zamykania okien w razie opadów czy innych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu danych osobowych; 23) zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po zakończeniu dnia pracy; 24) zamykania drzwi na klucz po zakończeniu pracy w danym dniu i złożenia klucza na portierni. Jeśli niemożliwe jest umieszczenie wszystkich dokumentów zawierających dane osobowe w zamykanych szafach, należy powiadomić o tym kierownika budynku, który zgłasza firmie sprzątającej jednorazową rezygnację z wykonania usługi sprzątania. W takim przypadku także należy zostawić klucz na portierni. 5. Wymiana danych i ich bezpieczeństwo 1) Bezpieczeństwo danych osobowych, a w szczególności ich integralność i dostępność, w dużym stopniu zależy od zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych zasobach serwera. Pozwala to (przynajmniej w pewnym stopniu) uniknąć wielokrotnego wprowadzania tych samych danych do systemu. 2) Sporządzanie i przechowywanie kopii zapasowych następuje na zasadach opisanych w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 3) Inne wymogi bezpieczeństwa systemowego są określane w instrukcjach obsługi producentów sprzętu i używanych programów, wskazówkach ABI oraz w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 14 4) Pocztą elektroniczną można przesyłać tylko jednostkowe dane, a nie całe bazy lub szerokie z nich wypisy i tylko w postaci zaszyfrowanej. Chroni to przesyłane dane przed „przesłuchami” na liniach teletransmisyjnych oraz przed przypadkowym rozproszeniem ich w Internecie. 5) Przed atakami z sieci zewnętrznej wszystkie komputery (w tym także przenośne) chronione są środkami dobranymi przez ASI w porozumieniu z ABI. Ważne jest, aby użytkownicy zwracali uwagę na to, czy urządzenie, na którym pracują, domaga się aktualizacji tych zabezpieczeń (w systemach to umożliwiających). O wszystkich takich przypadkach należy informować ABI i ASI oraz umożliwić im monitorowanie oraz aktualizację środków bezpieczeństwa (urządzeń, programów). 6) ASI w porozumieniu z ABI dobiera środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń (nowe wirusy, robaki, trojany, inne możliwości wdarcia się do systemu), a także stosownie do rozbudowy systemu informatycznego ADO i powiększania bazy danych. Jednocześnie należy zwracać uwagę, czy rozwijający się system zabezpieczeń sam nie wywołuje nowych zagrożeń. 7) Należy stosować następujące sposoby kryptograficznej ochrony danych: - przy przesyłaniu danych za pomocą poczty elektronicznej stosuje się POP – tunelowanie, szyfrowanie połączenia, - przy przesyłaniu danych pracowników, niezbędnych do wykonania przelewów wynagrodzeń, używa się bezpiecznych stron https://. 6. Kontrola dostępu do systemu 1) Poszczególnym osobom upoważnionym do przetwarzania danych osobowych przydziela się konta opatrzone niepowtarzalnym identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania na zasadach określonych w instrukcji zarządzania systemem informatycznym. 2) ABI, w razie potrzeby, po uzyskaniu uprzedniej akceptacji ADO, może przydzielić konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych osobowych, nieposiadającej statusu pracownika. 7. Kontrola dostępu do sieci 1) System informatyczny posiada szerokopasmowe połączenie z Internetem. Dostęp do niego jest monitorowany przez ABI. 2) ADO wykorzystuje centralną zaporę sieciową w celu separacji lokalnej sieci od sieci publicznej. 3) Korzystanie z zasobów sieci wewnętrznej jest możliwe tylko w zakresie uprawnień przypisanych do danego konta osoby upoważnionej do przetwarzania danych osobowych. 4) Wszelkie operacje finansowe za pośrednictwem rachunku bankowego ośrodka może wykonywać wyłącznie pracownik działu księgowości, upoważniony przez dyrektora, po uwierzytelnieniu się zgodnie z procedurami określonymi przez bank obsługujący rachunek. 8. Komputery przenośne i praca na odległość 1) Urządzenia przenośne oraz nośniki danych wynoszone z siedziby ADO nie powinny być pozostawiane bez nadzoru w miejscach publicznych. Komputery przenośne należy przewozić w służbowych torbach, stosowanie własnych charakterystycznych 15 toreb na laptopy nie jest dopuszczalne. 2) Nie należy pozostawiać bez kontroli dokumentów, nośników danych lub sprzętu w hotelach i innych miejscach publicznych ani też w samochodach. 3) Informacje przechowywane na urządzeniach przenośnych lub komputerowych nośnikach danych należy chronić przed uszkodzeniami fizycznymi, a ze względu na działanie silnego pola elektromagnetycznego należy również przestrzegać zaleceń producentów dotyczących ochrony sprzętu. 4) Wykorzystywanie komputerów przenośnych ADO w miejscach publicznych jest dozwolone, o ile otoczenie, w którym znajduje się użytkownik, stwarza warunki minimalizujące ryzyko zapoznania się z danymi przez osoby nieupoważnione. W konsekwencji korzystanie z komputera przenośnego będzie z reguły niedozwolone w restauracjach czy środkach komunikacji publicznej. 5) W domu niedozwolone jest udostępnianie domownikom komputera przenośnego należącego otrzymanego od ADO, a użytkownik powinien zachować w tajemnicy wobec domowników identyfikator i hasło, których podanie jest konieczne do rozpoczęcia pracy na powierzonym mu komputerze przenośnym. 6) ABI w razie potrzeby wskazuje użytkownikowi w dokumencie powierzenia komputera przenośnego konieczność i częstotliwość sporządzania kopii zapasowych danych przetwarzanych na komputerze przenośnym. 7) Do pracy z wykorzystaniem komputerów przenośnych stosuje się postanowienia zawarte w polityce bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a także inne zalecenia ABI określone w odrębnych procedurach i instrukcjach. 9. Monitorowanie dostępu do systemu i jego użycia 1) ABI cyklicznie (nie rzadziej jak raz w miesiącu) kontroluje, jakie programy były uruchamiane na poszczególnych stacjach roboczych. 2) ASI przeprowadza synchronizację zegarów stacji roboczych z serwerem, ograniczając dopuszczalność zmian w ustawieniach zegarów. Jakiekolwiek zmiany ustawień zegarów mogą być dokonywane jedynie przez ASI. 3) System informatyczny ADO umożliwia zapisywanie zdarzeń wyjątkowych na potrzeby audytu i przechowywanie informacji o nich przez określony czas. Zapisy takie obejmują: - identyfikator użytkownika, datę i czas zalogowania i wylogowania się z systemu, tożsamość stacji roboczej, zapisy udanych i nieudanych prób dostępu do systemu, zapisy udanych i nieudanych prób dostępu do danych osobowych i innych zasobów systemowych. 10. Przeglądy okresowe zapobiegające naruszeniom obowiązku szczególnej staranności ADO (art. 26 ust. 1 ustawy) 1) ABI przeprowadza raz w roku przegląd przetwarzanych danych osobowych pod kątem celowości ich dalszego przetwarzania. Osoby upoważnione do przetwarzania danych osobowych, w tym zwłaszcza kierownicy poszczególnych działów, są obowiązani współpracować z ABI w tym zakresie i wskazywać mu dane osobowe, które powinny zostać usunięte ze względu na zrealizowanie celu przetwarzania 16 danych osobowych lub brak ich adekwatności do realizowanego celu. 2) ABI może zarządzić przeprowadzenie dodatkowego przeglądu w wyżej określonym zakresie w razie zmian w obowiązującym prawie, ograniczających dopuszczalny zakres przetwarzanych danych osobowych. Dodatkowy przegląd jest możliwy także w sytuacji zmian organizacyjnych OSiR. 3) Z przebiegu usuwania danych osobowych należy sporządzić protokół podpisywany przez ABI i kierownika komórki organizacyjnej, w której usunięto dane osobowe. 4) Wzory dokumentów przewidujących powiadomienie, o którym mowa w art. 24 lub 25 uodo, mogą być stosowane po zaakceptowaniu przez ADO. 5) ABI przygotuje wykaz zbiorów danych (ewidencyjnych), w którym poszczególnym kategoriom danych osobowych przypisane zostaną okresy ich przechowywania. Wykaz ten zostanie sporządzony po przeanalizowaniu przepisów wyznaczających m.in. obowiązek przechowywania dokumentacji czy też okresy przedawnienia roszczeń udokumentowanych z wykorzystaniem danych osobowych. Przed sporządzeniem takiego wykazu przygotowany zostanie wykaz przepisów, na mocy których przetwarzane są dane osobowe, na podstawie wykazów cząstkowych, sporządzonych przez poszczególne komórki organizacyjne. 11. Udostępnianie danych osobowych Na podstawie uodo udostępnianie danych osobowych odbiorcom danych może nastąpić wyłącznie po złożeniu wypełnionego wniosku, którego wzór został ustalony w załączniku nr 1 do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych2. Udostępnianie danych osobowych na podstawie ustaw szczególnych Udostępnianie informacji Policji3 1) Udostępnianie danych osobowych funkcjonariuszom policji może nastąpić tylko po przedłożeniu wniosku o przekazanie lub udostępnienie informacji. Wniosek ten powinien mieć formę pisemną i zawierać: - oznaczenie wnioskodawcy, - wskazanie przepisów uprawniających do dostępu do informacji, - określenie rodzaju i zakresu potrzebnych informacji oraz formy ich przekazania lub udostępnienia, - wskazanie imienia, nazwiska i stopnia służbowego policjanta upoważnionego do pobrania informacji lub zapoznania się z ich treścią. 2) Udostępnianie danych osobowych na podstawie ustnego wniosku zawierającego wszystkie powyższe cztery elementy wniosku pisemnego może nastąpić tylko wtedy, gdy zachodzi konieczność niezwłocznego działania, np. w trakcie pościgu za osobą podejrzaną o popełnienie czynu zabronionego albo podczas wykonywania czynności 2 3 DzU nr 80, poz. 522 ze zm. Rozporządzenie już nie obowiązuje, lecz Generalny Inspektor przyjmuje, że jego treść odpowiada wymaganiom ustanowionym przez ustawę i dlatego możne być nadal stosowane. Por. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (DzU nr 170, poz. 1203). 17 mających na celu ratowanie życia i zdrowia ludzkiego lub mienia. 3) Osoba udostępniająca dane osobowe jest obowiązana zażądać od policjanta pokwitowania pobrania dokumentów zawierających informacje przekazane na podstawie pisemnego wniosku albo potwierdzenia faktu uzyskania wglądu w treść informacji. Policjant jest obowiązany do pokwitowania lub potwierdzenia. 4) Jeśli informacje są przekazywane na podstawie ustnego wniosku, należy stosownie do okoliczności zwrócić się z prośbą o pokwitowanie albo potwierdzenie. Jeśli pokwitowanie albo potwierdzenie ze względu na okoliczności udostępniania nie są możliwe, osoba udostępniająca informacje sporządza na tę okoliczność notatkę służbową. 5) Jeśli policjant pouczył osobę udostępniającą informacje o konieczności zachowania w tajemnicy faktu i okoliczności przekazania informacji, to okoliczność ta jest odnotowywana w rejestrze udostępnień niezależnie od odnotowania faktu udostępnienia informacji. 12. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych 1) Niezastosowanie się do obowiązującej w ośrodku polityki bezpieczeństwa danych osobowych wprowadzonej przez ADO, której założenia określa niniejszy dokument lub naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 Kodeksu pracy. 2) Niezależnie od rozwiązania stosunku pracy osoby popełniające przestępstwo będą pociągane do odpowiedzialności karnej zwłaszcza na podstawie art. 51-52 ustawy oraz art. 266 Kodeksu Karnego. Przykładowo przestępstwo można popełnić wskutek: - stworzenia możliwości dostępu do danych osobowych osobom nieupoważnionym albo osobie nieupoważnionej, - niezabezpieczenia nośnika lub komputera przenośnego, - zapoznania się z hasłem innego pracownika wskutek wykonania nieuprawnionych operacji w systemie informatycznym ADO. VII. Przeglądy polityki bezpieczeństwa i audyty systemu 1) Polityka bezpieczeństwa powinna być poddawana przeglądowi przynajmniej raz na rok. W razie istotnych zmian dotyczących przetwarzania danych osobowych ABI może zarządzić przegląd polityki bezpieczeństwa stosownie do potrzeb. 2) ABI analizuje, czy polityka bezpieczeństwa i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do: - zmian w budowie systemu informatycznego, - zmian organizacyjnych ADO, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych, - zmian w obowiązującym prawie. 3) ABI po uzgodnieniu z ADO może, stosownie do potrzeb, przeprowadzić wewnętrzny audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Przeprowadzenie audytu wymaga uzgodnienia jego zakresu z ASI. Zakres, przebieg i rezultaty audytu dokumentowane są na piśmie w protokole podpisywanym zarówno przez ABI jak i ASI. 18 4) ADO, biorąc pod uwagę wnioski ABI, może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowany podmiot. VIII. Postanowienia końcowe 1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania danych z niniejszym dokumentem oraz złożyć stosowne oświadczenie, potwierdzające znajomość jego treści. 2. Każdej osobie upoważnionej do przetwarzania danych ABI przekazuje wyciąg z polityki bezpieczeństwa, a użytkownikom dodatkowo z instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, przygotowany z uwzględnieniem stanowiska tej osoby (obowiązków). 3. Polityka bezpieczeństwa wchodzi w życie z dniem 29.03.2011 r. 19