IV. Załączniki do PB - Instytut Filozofii i Socjologii PAN
Transkrypt
IV. Załączniki do PB - Instytut Filozofii i Socjologii PAN
IV. Załączniki do PB Załącznik nr 1: Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane Obszarem przetwarzania danych osobowych jest siedziba Instytutu Filozofii i Socjologii Polskiej Akademii Nauk w Warszawie w budynku przy ul. Nowy Świat 72 (Pałac Staszica). W szczególności obejmuje: Pokoje 150 (AD), 137 – Dyrekcja Instytutu. 1. JEDNOSTKI EDUKACYJNE, USŁUGOWE I ADMINISTRACYJNE IFiS PAN Pokoje 150 – Sekretariat Dyrekcji Instytutu, Pokoje 110 – Rada Naukowa, Pokoje 133, 135 – Dział Obsługi Badań, ABI Pokoje 158, 200, 201, 201B, 242, 280, 201A, 247, 276, 282, 322 oraz pomieszczenia G II-1 i G II-2 oraz piwnica – SNS, Pokój 272 – Podyplomowe Studium Public Relations, Pokoje 106, 108A, 133 – ORBS, Pokoje 229 i 231 – Wydawnictwo, Pokoje 141, 143, 156 – Księgowość, Pokoje 112 – Kadry, Komisja Socjalna, Pomieszczenie 011 w piwnicy – Archiwum, Pokoje 010, 122, 124 – Laboratoria Komputerowe, Serwerownia - pomieszczenie 02 NASK w piwnicy – oraz pomieszczenia G-I-6; G-I-5; oraz G-I 3 na I. p. Pałacu Staszica. Obszarem przetwarzania danych osobowych IFiS PAN jest także pokój 114A przy ul. Krakowskie Przedmieście 3 – Biblioteka połączonych IFiS PAN i WFiS UW. 2 2. ZAKŁADY I ZESPOŁY IFiS PAN I INNE JEDNOSTKI, W TYM RÓWNIEŻ PROJEKTY REALIZOWANE W IFiS PAN (GRANTY) Pokoje 105 – Fundacja IFiS PAN, Zakład Teorii Poznania i Filozofii Nauki, Zespół Filozofii Przyrody, Zespół Filozofii i Hermeneutyki Matematyki, Zespół Filozofii Podstaw Nauki, Zespół Badań nad Filozofią Antyczną i Historią Ontologii, Zespół Studiów Europejskich, Pokój 110 – Rada Naukowa, Pokój 109 – Radca Prawny, Pokój 113 – Zakład Historii Filozofii Starożytnej i Średniowiecznej, Pokój 116, 237 – Zespół Badań Struktury Społecznej, Pokój 118 – Zakład Filozofii Nowożytnej i Współczesnej, Zespół Badań nad Historią Filozofii Nowożytnej, Zespół Badawczy Przeobrażeń Metafizyki w Filozofii Współczesnej, Pokój 120 – Centrum Badań nad Zagładą Żydów, Pokój 139 – Zakład Socjologii Teoretycznej, Zespół Socjologii i Antropologii Kultury, Pokoje 207 – Panel: GIMNAZJUM - RYNEK PRACY i EWD (granty), Pokoje 209 – Zespół Badawczy Socjologii Polityki i Gospodarki, Gospodarki i Edukacji, Pokój 211, 233, 239, 207, – Zespół Porównawczych Analiz Nierówności Społecznych, Zespół Badań Struktury Społecznej, Pokój 227 – Zespół Badawczy Antropologii Filozoficznej i Filozofii Społecznej, Zespół Badawczy Psychoanalizy Badań nad Kategorią Gender w Filozofii, Zespół do Badań nad Myślą Postsekularną, Pokój 235 – Zespół Socjologii i Antropologii Kultury, Zespół Studiów nad Metodami i Technikami Badań Socjologicznych, Pokój 224, 244 - Zakład Badań nad Religią, Pokój 225 – Zakład Logiki i Kognitywistyki, Pokój 237 – Zespół Badania Warunków Życia i Społecznych Podstaw Zdrowia, Pokój 238 – Zakład Społeczeństwa Obywatelskiego, Pokój 243 – Zespół Badawczy Retrospektywnej Bibliografii Filozofii Polskiej, Pokój 270 – Zakład Teorii Kultury, Zespół Socjologii i Antropologii Kultury, Pokój 286 – Zespół Badań Filozofii Kultury. 3 Załącznik nr 2. Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do ich przetwarzania ZBIORY ZGŁOSZONE DO GIODO Podstawa przetwarzania Program do przetwarzania danych Lokalizacja Nr księgi GIODO I. POLSKI SURVEY PANELOWY POLPAN Administrator danych Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 106, 108A 076121 II. GIMNAZJUM - RYNEK Administrator PRACY danych Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 207, CBOS III. Administrator danych Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 207, CBOS Lp. Zbiór danych osobowych PANEL EWD ZBIORY NIEWYMAGAJĄCE ZGŁOSZENIA DO GIODO 4 083031 083033 1. JEDNOSTKI USŁUGOWE I ADMINISTRACYJNE IFiS PAN Lp. Zbiór danych osobowych Program do Podstawa przetwarzania przetwarzania danych 1. Dane osobowe ujęte w systemie kadrowo-płacowym Administrator danych System Enova 365 kadry i płace, pakiet złoty 2. Dane osobowe ujęte w systemie księgowym Administrator danych Program księgowy Nowy Świat 72, Finka, Program pokój 143, 156, księgowy Sage 141 Symfonia FK 3. Dane osobowe pracowników – pożyczkobiorców z PKZP Administrator danych program Excel Nowy Świat 72, pokój 143 4. Dane osobowe w systemie kadrowopłacowym Administrator danych Płatnik Nowy Świat 72, pokój 143 5. Dane osobowe w systemie księgowym do obsługi kontrahentów Administrator danych Program do Nowy Świat 72, wystawiania faktur pokój 143,156 Finka Faktura 6. Dane osobowe ujęte w systemie księgowym obejmującym dane pracowników, współpracowników, kontrahentów itp. Administrator danych Program księgowy Nowy Świat 72, Finka pokój 231 7. POLON - rejestr pracowników naukowych, studentów SNS Administrator danych System POLON Nowy Świat 72, pokój 150, 247 8. Rejestr wniosków i realizowanych projektów Administrator danych program Excel Nowy Świat 72, pokój 135 9. Program Ocena Administrator danych Program Ocena Nowy Świat 72, pokój 133, 135 10. Biblioteka Administrator danych Horizon Krakowskie Przedmieście 3, pokój 114A 11. Archiwum PAN Administrator danych Brak (archiwum tradycyjne – papierowe) Nowy Świat 72, pokój 011 Administrator danych Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 106, 108A 12. Program Ankieter 5 Lokalizacja Nowy Świat 72, pokój 143, 156 2. ZAKŁADY I ZESPOŁY IFiS PAN Lp. Program do Podstawa przetwarzania przetwarzania danych Zbiór danych osobowych Lokalizacja 3. PROJEKTY REALIZOWANE W IFiS PAN (GRANTY I INNE ZLECENIA ZEWNĘTRZNE) Lp. Program do Podstawa przetwarzania przetwarzania danych Zbiór danych osobowych 6 Lokalizacja Załącznik nr 3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Informacje o zbiorach danych przetwarzanych w IFiS PAN zgodne z zakresem przedstawionym w Prezentacji dot-Ustawa-o-ochronie-danych-osobowych 2015 – slajdy 17. I 18. rozesłanej do Państwa 14.03.16 – zostaną uzupełnione po kwerendzie. W skrócie rejestr opisujący strukturę zbiorów danych obejmuje następujące pola: Nazwa zbioru danych Informacje o administratorze danych osobowych Nazwa projektu, w związku z którym tworzony jest zbiór Kierownik projektu Planowana data rozpoczęcia zbierania danych Planowana data zakończenia zbierania danych Cel przetwarzania danych Opis struktury zbioru, np.: kategorii osób uwzględnionych („mężczyźni i kobiety w wieku 45+”, „mieszkańcy Krakowa”), których dane dotyczą oraz zakres przetwarzania danych „zwykłych” (np.: płeć, wiek, wykształcenie, numer telefonu) i szczególnie chronionych (np.: przynależność partyjna, związkowa, poglądy polityczne) Opis kategorii Zakres danych przetwarzanych w zbiorze, w tym odpowiedź na pytanie: Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane szczególnie chronione, „wrażliwe”? Jeśli zbiór został już zgłoszony do GIODO, należy podać numer zgłoszenia, numer księgi Sposób zbierania danych (np.: wyłącznie i ich udostępniania (zgodnie z przepisami prawa) Lista programów komputerowych wykorzystywanych do przetwarzania danych Informacje o odbiorcach Lista imion i nazwisk osób upoważnionych do przetwarzania danych osobowych w tym zbiorze 7 od osób, których dotyczą) Załącznik nr 4. Sposób przepływu danych między poszczególnymi systemami. <j.w. do uzupełnienia po kwerendzie i spisie z natury> 8 Załącznik nr 5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych I. Przedsięwzięcia w zakresie zabezpieczenia sprzętu komputerowego. 1. Dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania danych osobowych stosuje się w nich sprzęt oraz oprogramowanie wyprodukowane przez renomowanych producentów oraz zabezpiecza się sprzęt przed awarią zasilania lub zakłóceniami w sieci zasilającej. 2. Zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych. I. Zbiory danych osobowych oraz ich kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie z urządzeń, dysków lub innych elektronicznych nośników informacji. II. Przedsięwzięcia w zakresie ochrony teletransmisji danych. 1. W celu ochrony systemów informatycznych służących do przetwarzania danych osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem. 2. Transmisja danych osobowych przez publiczną sieć telekomunikacyjną jest zabezpieczona środkami kryptograficznej ochrony danych. III. Przedsięwzięcia w zakresie środków ochrony w ramach oprogramowania systemów. 1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło. II. W przypadku, gdy do uwierzytelnienia użytkowników używa się identyfikatora i hasła, kryteria doboru haseł i okres ich obowiązywania ustala Administrator systemu informatycznego. III. System informatyczny powinien wymuszać zmianę haseł, informując o upływie ich ważności. IV. W przypadku, gdy system informatyczny służący do przetwarzania danych osobowych lub jego wydzielona cześć nie wymusza zmiany haseł, użytkownik jest zobowiązany do samodzielnej zmiany hasła na podstawie kryteriów ustalonych przez Administratora systemu informatycznego. IV. Przedsięwzięcia w zakresie środków ochrony w ramach narzędzi baz danych i innych narzędzi programowych. 1. W celu ochrony zbiorów danych osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych danych. 2. System zapewnia automatyczne odnotowywanie w systemie informacji o identyfikatorze użytkownika, który wprowadził dane osobowe oraz dacie pierwszego wprowadzenia danych do systemu. 3. System zapewnia przygotowanie i wydruk raportu, który zawiera informacje, o których mowa w § 7. 1. Rozporządzenia. 9 4. Stosuje się oprogramowanie umożliwiające trwałe usunięcie danych osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną. V. Przedsięwzięcia w zakresie środków ochrony w ramach systemu użytkowego: I. W celu ochrony danych osobowych przetwarzanych na stacjach roboczych na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się mechanizm blokady stacji roboczej zabezpieczony hasłem; V. Stosuje się mechanizmy kontroli dostępu użytkowników do systemów – ogranicza się dostęp do katalogów, ogranicza się wykonywanie poleceń; VI. Na stacjach roboczych użytkownicy nie posiadają uprawnień do instalowania oprogramowania. VI. Przedsięwzięcia w zakresie zabezpieczenia przetwarzanych danych w systemie tradycyjnym, przy użyciu dokumentów sporządzonych w formie pisemnej, gromadzone są w rejestrach, księgach oraz segregatorach i przechowywane w zamykanych szafach. I. Dane osobowe są chronione przy zastosowaniu następujących zabezpieczeń niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych dany osobowych: VII. Ochrona pomieszczeń wykorzystanych do przetwarzania danych osobowych: budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych zabezpieczone są przed dostępem osób nieuprawnionych; dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych biurkach lub szafach; przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych jest dopuszczalne w obecności osoby upoważnionej do przetwarzania danych osobowych lub za zgodą Dyrektorów i Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN. 10 Załącznik nr 6. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych I. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe, ma AD oraz ABI i Administrator systemu informatycznego, działający w imieniu AD. II. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe, może uzyskać wyłącznie użytkownik zarejestrowany przez Administratora systemu informatycznego. Rejestracja w systemie informatycznym obejmuje trzy etapy opisanej poniżej. 1. Nadanie przez Administratora systemu informatycznego unikalnego identyfikatora (loginu). Zabronione jest nadawanie identycznych identyfikatorów. Każda użytkownik otrzymuje inny, unikalny identyfikator (login). 2. Wygenerowanie hasła startowego, niezbędnego do uzyskania dostępu do systemu informatycznego. Użytkownik podczas pierwszego wejścia do systemu ma obowiązek zmiany hasła startowego. Kryteria tworzenia haseł użytkowników i czas ich obowiązywania wobec osób przetwarzających dane osobowe ustala Administrator systemu informatycznego. Użytkownik powinien zmieniać hasło nie rzadziej, niż według kryteriów ustalonych przez Administratora systemu informatycznego oraz w każdym innym uzasadnionym przypadku, w szczególności gdy istnieje prawdopodobieństwo wejścia w posiadanie takiego hasła przez osobę trzecią. Hasło powinno być stworzone w sposób uniemożliwiający jego odgadnięcie przez osoby trzecie. Hasło jest daną poufną do wyłącznej wiadomości użytkownika, którego dotyczy. 3. Wprowadzenie do rejestru elektronicznego upoważnionych do przetwarzania danych osobowych użytkowników. Rejestr powinien obejmować: login, imię, nazwisko, datę uzyskania upoważnienia do przetwarzania danych osobowych, wraz z technicznym opisem przypisanych praw dostępu w systemie informatycznym zgodnych z zakresem określonym w Upoważnieniu do przetwarzania danych osobowych ABI. Administratora systemu informatycznego, w imieniu AD, prowadzi elektroniczną bazę użytkowników, która jest podstawą do aktualizacji ewidencji osób upoważnionych do przetwarzania danych osobowych. III. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe mają jedynie zarejestrowani użytkownicy i odbywa się on wyłącznie poprzez podanie identyfikatora (loginu) i hasła. IV. Wszystkie serwery, na których przechowywane są dane, w tym dane osobowe, powinny być umieszczone w pomieszczeniu z ograniczonym dostępem. 1. Dostęp do pomieszczenia powinien być ograniczony do Administratora systemu informatycznego i upoważnionych przez ABI współpracowników IFiS PAN. 2. Wydanie kluczy (w przypadku gdy przechowywane są np. na portierni) powinno być rejestrowane: 11 np. zapis do zeszytu z informacją: imię i nazwisko osoby pobierającej klucze, godzina pobrania, godzina zdania 3. Wszystkie serwery lub pamięci danych (storage) w obudowie typu rack, powinny być zamontowane w szafie zamykanej na klucz. Klucz do szafy powinien być przechowywany w pomieszczeniu z ograniczonym dostępem. Dostęp umożliwiający obsługę serwerów, na których przechowywane są dane osobowe, powinien być ograniczony jedynie do Administratora systemu informatycznego i upoważnionych przez ABI współpracowników IFiS PAN. 4. Serwery w obudowie typu tower, o ile nie są umieszczone w szafie, o której mowa w pkt. 3, powinny mieć obudowę zamykaną na klucz lub inny mechanizm uniemożliwiający otwarcie obudowy i dostęp do dysków twardych. Procedura przechowywania kluczy do obudowy jest taka sam jak w pkt. 3. 5. Komputery wykorzystywane do działalności IFIS PAN, za pomocą których przetwarzane są dane, w tym dane osobowe, zabezpieczane są co najmniej w następujący sposób: komunikacja mailowa możliwa jest wyłącznie poprzez system posiadający program antywirusowy zatwierdzony przez Administratora systemu; ruch http możliwy jest tylko przy użyciu zabezpieczonego firewallem komputera; użytkownicy systemu informatycznego IFiS PAN mają zakaz wgrywania na komputery i serwery IFIS PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych przez Administratora systemu informatycznego; użytkownicy systemu informatycznego IFiS PAN mają zakaz umieszczania danych (w tym danych osobowych) w związku z pracą w IFiS PAN, na wirtualnych dyskach lub nośnikach zewnętrznych niebędących własnością IFiS PAN. Należy stosować wydzielone konta sieciowe na serwerach należących do IFIS PAN. osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN, nie będące współpracownikami, mają zakaz wgrywania na komputery i serwery IFiS PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych przez Administratora systemu informatycznego. Administrator systemu informatycznego informuje o tym zakazie osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN; Administrator systemu informatycznego odpowiada za bieżącą aktualizację systemów operacyjnych. Użytkownicy mają zakaz blokowania wykonania tych aktualizacji. 6. O ile dozwolone jest użycie danych zawartych na zewnętrznych nośnikach pamięci, dane takie muszą być sprawdzone przez program antywirusowy przed wprowadzeniem do systemu informatycznego IFiS PAN. Odpowiedzialność za sprawdzenie ponosi użytkownik wprowadzający dane. 7. W przypadku jakichkolwiek wątpliwości odnośnie zagrożenia wirusowego należy sprawdzić zawartość całego dysku twardego programem antywirusowym. W przypadku dalszych niejasności należy kontaktować się z 12 Administratorem systemu informatycznego lub z osobami przez niego upoważnionymi. 8. Administrator systemu informatycznego nadzoruje instalację aktualizacji (w tzw. „łat”) oprogramowania. Za instalację i konfigurowanie oprogramowania odpowiada Administrator systemu informatycznego. 9. Administrator systemu informatycznego, w imieniu AD i po konsultacji z ABI, akceptuje listę oprogramowania dopuszczoną do użytkowania na poszczególnych stacjach roboczych w zależności od typu prac na nich wykonywanych. 10. Administrator systemu informatycznego dopuszcza użytkownika do obsługi poszczególnych programów na podstawie rejestru elektronicznego upoważnionych do przetwarzania danych osobowych użytkowników. 11. Oprogramowanie wgrane na stacjach roboczych udostępnionych przez IFiS PAN użytkownikom, niezależnie od tego czy jest umieszczone na powołanej liście, jest uważane za możliwe do wykorzystania przez użytkowników, chyba że Administrator systemu informatycznego lub ABI postanowią inaczej. 12. Każdy użytkownik zobowiązany jest do zachowania szczególnej ostrożności przy pracy z pocztą elektroniczną. W przypadku jakichkolwiek wątpliwości, szczególnie w przypadku załączników poczty elektronicznej, należy przed uruchomieniem skontaktować się z Administratorem systemu informatycznego. 13. Przy wprowadzaniu do systemu informatycznego nowych programów lub danych zawsze należy kierować się zasadą ograniczonego zaufania. Jeśli okoliczności danego przypadku tego wymagają, należy przed wprowadzeniem jakichkolwiek zmian wykonać kopię zapasową systemu (lub odpowiedniej jego części, która ma podlegać modyfikacji), w sposób umożliwiający przywrócenie poprzedniego stanu. 14. Za sporządzanie kopii bezpieczeństwa informacji znajdujących się na serwerach odpowiada Administrator systemu informatycznego. Wykonywanie kopii bezpieczeństwa danych znajdujących się na stacjach roboczych należy do obowiązków użytkowników. Ze stacji roboczych dane powinny być kopiowane na serwer, w wyznaczone przez Administrator systemu informatycznego miejsce. 15. Bezpieczeństwo na styku systemu informatycznego IFiS PAN z siecią internet zapewniają systemy oprogramowania firewall. Użytkownikom zabrania się dokonywania jakichkolwiek połączeń do internetu z pominięciem oprogramowania firewall. 16. Użytkownikom zabrania się pozostawienia sprzętu komputerowego i oprogramowania niezabezpieczonego przed dostępem osób nieupoważnionych lub bez nadzoru osoby odpowiedzialnej za jego użytkowanie. 17. Użytkownikom zabrania się pozostawiania dokumentów z danymi podczas nieobecności przy stanowisku pracy i po zakończeniu pracy, obowiązuje zasada tzw. „czystego biurka”. 18. Zabrania się dopuszczania do swego stanowiska pracy innych osób, chyba że jest to usprawiedliwione i konieczne w danej chwili. Dopuszczenie osoby trzeciej do swego stanowiska pracy nie powoduje zdjęcia odpowiedzialności za zgodne z prawem i PB, w tym danych osobowych, toteż nakazuje się, aby osoba, która dopuszcza osobę trzecią do swego stanowiska pracy, zapewniła przestrzeganie prawa i PB w zakresie przetwarzania w/w danych. W takim 13 przypadku osoba dopuszczająca do swego stanowiska pracy inną osobę dokonuje wylogowania z systemu informatycznego, jeśli była do niego zalogowana w sposób umożliwiający przetwarzanie danych. Gdy istnieje taka potrzeba, nowa osoba dokonuje logowania na danej stacji wykorzystując własny login i hasło (tak by wszelkie operacje na danych przez nią dokonane, w szczególności na danych osobowych, były przypisywane jednoznacznie tej osobie). 19. Wyrejestrowania użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem uprawnień do przetwarzania danych (w tym danych osobowych), dokonuje Administrator systemu informatycznego niezwłocznie po wygaśnięciu upoważnienia do przetwarzania danych osobowych w systemie informatycznym IFIS PAN. 20. Administrator systemu informatycznego dokonuje wyrejestrowania użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem uprawnień do przetwarzania danych (w tym danych osobowych) w uzasadnionym przypadku, w szczególności w przypadku podejrzenia naruszenia zasad ochrony danych, w tym danych osobowych. Wyrejestrowanie użytkownika uniemożliwia takiemu użytkownikowi dokonywanie jakichkolwiek operacji na danych, w tym uniemożliwia dostęp do danych, ani systemu informatycznego IFiS PAN. Wyrejestrowanie użytkownika może mieć charakter czasowy lub trwały. 21. Administrator systemu informatycznego odnotowuje wyrejestrowania użytkownika w prowadzonym rejestrze. dokładną datę 22. Użytkownik w każdym przypadku rozpoczęcia pracy z dostępem do systemu informatycznego IFIS PAN lub w systemie informatycznym IFIS PAN dokonuje go poprzez: odpowiednie przygotowanie stanowiska pracy, włączenie stacji roboczej (ewentualnie serwera), wprowadzenie swojego loginu i hasła. 23. Zakończenie pracy w systemie odbywa się poprzez: zamknięcie wszystkich aplikacji, odłączenie od zasobów systemowych, zamknięcie systemu operacyjnego, wyłączenie stacji roboczej. 24. Zabrania się użytkownikom w systemie informatycznym IFIS PAN: udostępniania stacji roboczej osobom niezarejestrowanym w systemie zgodnie z niniejszą Instrukcją; udostępnienie – o ile jest możliwe i konieczne – może się odbyć tylko w sposób wykluczający możliwość dostępu do danych w zakresie których dana osoba nie ma upoważnienia do przetwarzania i w sposób umożliwiający identyfikację dostępu i czynności takiej osoby do danych, do których dostęp takiej osoby jest uprawniony, udostępniania stacji roboczej do konserwacji lub naprawy bez zgody Administratora systemu informatycznego, używania oprogramowania nielicencjonowanego. 14 25. Każdy przypadek naruszenia ochrony danych, a w szczególności: naruszenia bezpieczeństwa systemu informatycznego, stwierdzenia objawów (stanu urządzeń, sposobu działania programu / aplikacji / modułów / jakichkolwiek elementów systemu informatycznego IFIS PAN lub jakości komunikacji w sieci IFIS PAN), które mogą wskazywać na naruszenie bezpieczeństwa danych, w tym danych osobowych, wystąpienia prawdopodobieństwa naruszenia ochrony danych, w tym danych osobowych podlega natychmiastowemu zgłoszeniu do Administratora systemu informatycznego i ABI. 26. Do ABI zgłasza się w szczególności przypadki: użytkowania stacji roboczej przez osobę niebędącą użytkownikiem systemu, logowania się lub usiłowania logowania do systemu informatycznego IFiS PAN przez osobę nieupoważnioną, usuwania, dodawania lub modyfikowania danych bez upoważnienia lub z przekroczeniem jego zakresu, przebywania osób nieupoważnionych w obszarze, w którym przetwarzane są dane, w trakcie nieobecności użytkownika zatrudnionego przy przetwarzaniu tych danych, bez zgody AD lub ABI, pozostawiania otwartych, przetwarzane są dane, przetwarzania danych w innym celu, niż jest to dopuszczone zgodnie z prawem i PB (w tym niniejszą Instrukcją), udostępniania osobom nieuprawnionym serwera, stacji roboczej (w tym komputera przenośnego), służących do przetwarzania danych, w tym danych osobowych, niezabezpieczenia hasłem dostępu do komputera służącego do przetwarzania danych, w tym danych osobowych, zgodnie z instrukcją Administratora systemu informatycznego, przechowywania kopii awaryjnych/zapasowych w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco, przechowywania nośników informacji oraz wydruków osobowymi, nieprzeznaczonymi do udostępniania, w umożliwiających do nich dostęp osobom nieuprawnionym. bez nadzoru pomieszczeń, w których z danymi warunkach 27. Obowiązek dokonania zgłoszenia do ABI, o którym mowa w punktach poprzedzających spoczywa na każdym użytkowniku dopuszczonym do przetwarzania danych w IFIS PAN, który powziął wiadomość o naruszeniu ochrony danych osobowych lub prawdopodobieństwie naruszenia tej ochrony. ABI ma prawo w takim przypadku nakazać osobie zgłaszającej wykonanie niezbędnych czynności zaradczych, w szczególności czynności uzasadnionych i koniecznych dla przywrócenia ochrony danych. 15 28. W przypadku naruszenia bezpieczeństwa systemu informatycznego, obowiązkiem osoby upoważnionej przez ABI jest natychmiastowe podjęcie adekwatnych kroków zaradczych, w tym przykładowo wstrzymanie udostępniania zasobów dla użytkowników lub odłączenie serwerów od odpowiednich zasobów, w tym sieci internet oraz powiadomienie Administratora systemu informatycznego i ABI. 29. Pod kontrolą ABI użytkownicy z pomocą Administratora systemu informatycznego ustalają przyczyny naruszenia bezpieczeństwa systemu informatycznego oraz inne przyczyny naruszenia ochrony danych przetwarzanych przez IFIS PAN. 30. Normalna zgodna z przeznaczeniem eksploatacja systemu informatycznego IFiS PAN przez użytkowników dopuszczonych do przetwarzania danych może nastąpić dopiero po ustaleniu i usunięciu przyczyny naruszenia bezpieczeństwa systemu informatycznego. Wyjątkowo Administrator systemu informatycznego lub administrator danych mogą zadecydować inaczej, w szczególności, gdy naruszenia zasad ochrony systemu (lub prawdopodobieństwo wystąpienia takiego naruszenia) dotyczą jedynie określonych elementów systemu. 31. Kopie awaryjne tworzy się zgodnie z wewnętrznymi procedurami uzgodnionymi przez Dyrektorów Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN . 32. Każdą kopię tworzy się na oddzielnym nośniku informatycznym, chyba że kopia jest tworzona na specjalnie dedykowanej w tym celu przestrzeni na dysku serwera. 33. Zabrania się przechowywania kopii awaryjnych w pomieszczeniach przeznaczonych do przechowywania danych pozostających w bieżącym użytkowaniu. Wyjątkowo jest to dopuszczalne, o ile kopia awaryjna dotyczy danych pozostających w bieżącym użytkowaniu zlokalizowanych w innym pomieszczeniu. 34. Administrator systemu informatycznego przegląda okresowo kopie awaryjne i oceniają ich przydatność do odtworzenia zasobów systemu w przypadku jego awarii. Administrator systemu informatycznego może nakazać określonym użytkownikom mającym dostęp do kopii awaryjnych stosowanie określonej – zgodnej z niniejszą Instrukcją – procedury zniszczenia danych, w szczególności, gdy dana baza danych jest kopiowana kolejny raz (np. w przypadku wykonania kolejnej kopii, przykładowo czwarta wstecz kopia określonych danych podlegać może zniszczeniu). 35. Stwierdzenie utraty przydatności kopii awaryjnych zobowiązuje Administratora systemu informatycznego do ich zniszczenia, przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie. 36. Sprawdzanie obecności wirusów komputerowych w systemie oraz ich usuwanie odbywa się przy wykorzystaniu licencjonowanego oprogramowania. 37. Oprogramowanie antywirusowe sprawuje ciągły nadzór (stała praca w tle) nad pracą systemu i jego zasobami oraz serwerami i stacjami roboczymi. Niezależnie od ciągłego nadzoru Administrator systemu informatycznego nie rzadziej niż raz na tydzień przeprowadzą pełną kontrolę obecności wirusów komputerowych w systemie informatycznym IFiS PAN, w tym również w serwerach i stacjach roboczych, na których oprogramowanie antywirusowe jest zaimplementowane. ABI może zlecić użytkownikom wykonanie kontroli obecności wirusów komputerowych na ich stacjach roboczych i zlecić 16 przekazanie informacji informatycznego. z ich przebiegu do Administrator systemu 38. Do obowiązków Administratora systemu informatycznego należy aktualizacja oprogramowania służącego do sprawdzania w systemie obecności wirusów komputerowych. 39. System i urządzenia informatyczne służące do przetwarzania danych, zasilane energią elektryczną, zabezpiecza się przed utratą danych osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 40. Minimalne dopuszczalne w danej chwili zabezpieczenie systemu informatycznego i urządzeń informatycznych, o którym mowa w punkcie poprzedzającym, polega na wyposażeniu serwerów oraz stacji roboczych w zasilacze awaryjne (UPS). Dane, w tym dane osobowe, przetwarzane na stacjach roboczych są kopią danych przechowywanych w odpowiednio chronionych miejscach na serwerach, zabezpieczonych za pomocą zasilaczy awaryjnych UPS. Dane, w tym dane osobowe, osobowe przetwarzane na stacjach roboczych niebędących kopią danych pobranych z serwera, są zabezpieczone zasilaczem awaryjnym UPS. 41. Urządzenia informatyczne służące do przetwarzania danych, w tym danych osobowych można przekazać: do naprawy po uprzednim uzyskaniu zgody Administratora systemu informatycznego, do likwidacji, po uprzednim uzyskaniu zgody Administratora systemu informatycznego i ABI, innemu podmiotowi nieuprawnionemu do otrzymania przetwarzanych w IFiS PAN, po uzyskaniu zgody AD lub ABI. danych 42. Urządzenia, o których mowa w punkcie poprzedzającym, przed ich przekazaniem do naprawy lub podmiotowi nieuprawnionemu do otrzymania danych pozbawia się zapisu danych osobowych. Jeżeli nie jest to możliwe, urządzenie może być naprawiane wyłącznie pod nadzorem Administratora systemu informatycznego lub osoby upoważnionej przez ABI, która odpowiada za zapewnienie ochrony tym danym. 43. Jeżeli nie jest możliwe pozbawienie urządzenia przekazywanego do likwidacji zapisu danych osobowych, urządzenie - przed przekazaniem do likwidacji Administratora systemu informatycznego uszkadza się w sposób trwały, uniemożliwiający odczytanie tych danych. 44. Przeglądu i konserwacji systemu informatycznego dokonuje Administrator systemu informatycznego regularnie, stosownie do potrzeb. 45. ABI może zlecić wykonanie przeglądu systemu informatycznego i konserwacji Administratorowi systemu informatycznego lub osobie upoważnionej przez ABI doraźnie, stosownie do potrzeb. 46. Przeglądu i sprawdzenia poprawności zapisu zbiorów danych Administrator systemu dokonuje nie rzadziej niż raz w miesiącu. 47. ABI może zlecić wykonanie sprawdzenia poprawności zapisu zbiorów danych Administratorowi systemu informatycznego lub osobie upoważnionej przez ABI doraźnie, stosownie do potrzeb. 17 48. W części systemu informatycznego IFiS PAN, w którym zastosowano rozwiązania sieciowe udostępnienia zasobów stosowane są dedykowane przyzwolenia dostępu (zgodne z zakresami upoważnień użytkowników). Administrator systemu informatycznego nadaje dedykowane przyzwolenia wykorzystując unikalne identyfikatory (loginy). Użytkownik uzyskuje dostęp do zasobów po wprowadzeniu i identyfikatora (login) i znanego użytkownikowi hasła. 49. Przesyłanie danych osobowych w systemie informatycznym wewnętrznym (niedostępnym dla ogółu) musi być dokonywane w sposób odpowiednio chroniony i dostępny jedynie dla uprawnionych użytkowników. 50. W sytuacji, gdy dostępne narzędzia informatyczne nie będą wystarczające do działania w komunikacji wewnętrznej, Administrator systemu informatycznego i po konsultacji z ABI, wyznacza sposób postępowania, mając w szczególności na uwadze ochronę danych, w tym danych osobowych. 51. Nośniki informatyczne zawierające dane osobowe powinny być opisane w sposób czytelny i zrozumiały dla użytkownika, a zarazem nie powinny ułatwiać rozpoznania zawartości przez osoby nieupoważnione. 52. Nośniki informatyczne przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do określonego sposobu przetwarzania danych. 53. W pomieszczeniach, gdzie nie jest możliwe ograniczenie dostępu osób postronnych, monitory stanowisk dostępu do danych osobowych ustawia się w taki sposób, aby uniemożliwić tym osobom wgląd w dane. 54. Osoba użytkująca przenośny komputer, służący do przetwarzania danych osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera poza obszarem ochrony danych w celu zapobieżenia dostępowi do tych danych osobie niepowołanej. W przypadku przechowywania komputera poza obszarem ochrony danych w żadnym razie dane znajdujące się w nim nie mogą być dostępne dla innego użytkownika takiego komputera. Należy dane takie zabezpieczyć na wypadek utraty komputera, w szczególności poprzez użycie narzędzi uniemożliwiających zapoznanie się z danymi. 55. Użytkownik sporządzający wydruki, które zawierają dane osobowe jest odpowiedzialny za zachowanie szczególnej ostrożności przy korzystaniu z nich, a zwłaszcza za zabezpieczenie ich przed dostępem osób nieposiadających imiennego upoważnienia oraz nieuprawnionych do wglądu (dostępu) na podstawie indywidualnego zakresu czynności. 56. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie. 57. System informatyczny IFiS PAN umożliwia odnotowanie i udostępnienie na piśmie, w zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane w zbiorze danych, a w szczególności: daty pierwszego wprowadzenia danych tej osoby do systemu, przy czym odnotowanie następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych, identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba (wówczas musi to być wyraźnie oznaczone) lub gdy wprowadzenia danych dokonuje przez internet osoba, której dane są przetwarzane (wówczas musi to być wyraźnie oznaczone), 18 przy czym odnotowanie tej informacji następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych, źródła pochodzenia danych, o ile są zbierane nie od osoby, której dotyczą, informacji o odbiorcach w rozumieniu art. 7 pkt. 6 u.o.d.o., którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, żądania, o którym mowa w art. 32 ust. 1 pkt. 7 u.o.d.o., oraz sprzeciwu określonego w art. 32 ust. 1 pkt. 8. <do aktualizacji > Załącznik nr 7. Sposób postępowania ze zbiorami danych <do aktualizacji technicznej po kwerendzie > 19 Załącznik nr 8. Obieg danych osobowych w systemie tradycyjnym i ich zabezpieczanie W IFiS PAN są przetwarzane również dane w sposób tradycyjny. 1. Dokumenty zawierające dane osobowe należy przechowywać z należytą starannością. Dostęp do nich powinni mieć tylko pracownicy upoważnieni do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych osobowych mają obowiązek: przetwarzać je zgodnie z przepisami, nie udostępniać ich oraz uniemożliwiać dostęp osobom nieupoważnionym, zabezpieczać je przed zniszczeniem. 2. Przepływ dokumentów zawierających dane osobowe między poszczególnymi działami: 1) Księgowość Kadry 2) Księgowość Sekretariat 3) Księgowość Dział Obsługi Badań 4) Księgowość ORBS 5) Księgowość Biblioteka 6) Księgowość Wydawnictwo 7) Księgowość Rada Naukowa 8) Księgowość SNS 9) Księgowość Archiwum 10) Kadry System POLON 11) Kadry Sekretariat 12) Kadry Komisja Socjalna 13) Kadry Archiwum 14) Kadry Dział Obsługi Badań 15) Kadry SNS 16) System POLON Rada Naukowa 17) System POLON SNS 18) Sekretariat Rada Naukowa 19) Sekretariat Wydawnictwo 20) Dział Obsługi Badań 21) SNS Archiwum Biblioteka 3. Należy stosować następujące kategorie środków zabezpieczeń danych osobowych przy przetwarzaniu danych w dokumentacji papierowej: 1) zabezpieczenia fizyczne: 20 całodobowa ochrona budynku IFIS PAN; pomieszczenia zamykane na klucz; szafy z zamkami. 2) zabezpieczenia procesów przetwarzania danych: przetwarzanie danych osobowych w wyznaczonych pomieszczeniach, przetwarzanie danych osobowych przez wyznaczone do tego celu osoby, dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób uniemożliwiający ich odczytanie. 4. Należy stosować politykę czystego biurka dla dokumentów papierowych i nośników elektronicznych. W przypadku dłuższej nieobecności w miejscu pracy lub po jej zakończeniu osoba pracująca z danymi osobowymi jest zobowiązana do schowania w bezpiecznym miejscu wszelkich dokumentów i nośników zawierających dane osobowe. 5. W pomieszczeniach, w których są przetwarzane dane osobowe nie wolno zostawiać kluczy w zamkach od strony korytarza, nie wolno również zostawiać osób nieupoważnionych do przetwarzania danych osobowych samych w takim pomieszczeniu. 21