IV. Załączniki do PB - Instytut Filozofii i Socjologii PAN

IV. Załączniki do PB
Załącznik nr 1: Wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane są dane
Obszarem przetwarzania danych osobowych jest siedziba Instytutu Filozofii i Socjologii
Polskiej Akademii Nauk w Warszawie w budynku przy ul. Nowy Świat 72 (Pałac Staszica).
W szczególności obejmuje:

Pokoje 150 (AD), 137 – Dyrekcja Instytutu.
1. JEDNOSTKI EDUKACYJNE, USŁUGOWE I ADMINISTRACYJNE IFiS PAN

Pokoje 150 – Sekretariat Dyrekcji Instytutu,

Pokoje 110 – Rada Naukowa,

Pokoje 133, 135 – Dział Obsługi Badań, ABI

Pokoje 158, 200, 201, 201B, 242, 280, 201A, 247, 276, 282, 322
oraz pomieszczenia G II-1 i G II-2 oraz piwnica – SNS,

Pokój 272 – Podyplomowe Studium Public Relations,

Pokoje 106, 108A, 133 – ORBS,

Pokoje 229 i 231 – Wydawnictwo,

Pokoje 141, 143, 156 – Księgowość,

Pokoje 112 – Kadry, Komisja Socjalna,

Pomieszczenie 011 w piwnicy – Archiwum,

Pokoje 010, 122, 124 – Laboratoria Komputerowe,

Serwerownia - pomieszczenie 02 NASK w piwnicy – oraz pomieszczenia G-I-6; G-I-5;
oraz G-I 3 na I. p. Pałacu Staszica.
Obszarem przetwarzania danych osobowych IFiS PAN jest także pokój 114A przy
ul. Krakowskie Przedmieście 3 – Biblioteka połączonych IFiS PAN i WFiS UW.
2
2. ZAKŁADY I ZESPOŁY IFiS PAN I INNE JEDNOSTKI, W TYM RÓWNIEŻ PROJEKTY
REALIZOWANE W IFiS PAN (GRANTY)

Pokoje 105 – Fundacja IFiS PAN, Zakład Teorii Poznania i Filozofii Nauki, Zespół
Filozofii Przyrody, Zespół Filozofii i Hermeneutyki Matematyki, Zespół Filozofii
Podstaw Nauki, Zespół Badań nad Filozofią Antyczną i Historią Ontologii, Zespół
Studiów Europejskich,

Pokój 110 – Rada Naukowa,

Pokój 109 – Radca Prawny,

Pokój 113 – Zakład Historii Filozofii Starożytnej i Średniowiecznej,

Pokój 116, 237 – Zespół Badań Struktury Społecznej,

Pokój 118 – Zakład Filozofii Nowożytnej i Współczesnej, Zespół Badań nad Historią
Filozofii Nowożytnej, Zespół Badawczy Przeobrażeń Metafizyki w Filozofii
Współczesnej,

Pokój 120 – Centrum Badań nad Zagładą Żydów,

Pokój 139 – Zakład Socjologii Teoretycznej, Zespół Socjologii i Antropologii Kultury,

Pokoje 207 – Panel: GIMNAZJUM - RYNEK PRACY i EWD (granty),

Pokoje 209 – Zespół Badawczy Socjologii Polityki i Gospodarki, Gospodarki
i Edukacji,

Pokój 211, 233, 239, 207, – Zespół Porównawczych Analiz Nierówności Społecznych,
Zespół Badań Struktury Społecznej,

Pokój 227 – Zespół Badawczy Antropologii Filozoficznej i Filozofii Społecznej, Zespół
Badawczy Psychoanalizy Badań nad Kategorią Gender w Filozofii, Zespół do Badań
nad Myślą Postsekularną,

Pokój 235 – Zespół Socjologii i Antropologii Kultury, Zespół Studiów nad Metodami
i Technikami Badań Socjologicznych,

Pokój 224, 244 - Zakład Badań nad Religią,

Pokój 225 – Zakład Logiki i Kognitywistyki,

Pokój 237 – Zespół Badania Warunków Życia i Społecznych Podstaw Zdrowia,

Pokój 238 – Zakład Społeczeństwa Obywatelskiego,

Pokój 243 – Zespół Badawczy Retrospektywnej Bibliografii Filozofii Polskiej,

Pokój 270 – Zakład Teorii Kultury, Zespół Socjologii i Antropologii Kultury,

Pokój 286 – Zespół Badań Filozofii Kultury.
3
Załącznik nr 2. Wykaz zbiorów danych wraz ze wskazaniem programów
zastosowanych do ich przetwarzania
ZBIORY ZGŁOSZONE DO GIODO
Podstawa
przetwarzania
Program do
przetwarzania danych
Lokalizacja
Nr księgi
GIODO
I.
POLSKI SURVEY
PANELOWY POLPAN
Administrator
danych
Oprogramowanie
autorskie, PS IMAGO
(SPSS), MS EXCEL,
WORD, NOTEPAD
Nowy Świat
72 pokój
106, 108A
076121
II.
GIMNAZJUM - RYNEK Administrator
PRACY
danych
Oprogramowanie
autorskie, PS IMAGO
(SPSS), MS EXCEL,
WORD, NOTEPAD
Nowy Świat
72 pokój
207, CBOS
III.
Administrator
danych
Oprogramowanie
autorskie, PS IMAGO
(SPSS), MS EXCEL,
WORD, NOTEPAD
Nowy Świat
72 pokój
207, CBOS
Lp.
Zbiór danych
osobowych
PANEL EWD
ZBIORY NIEWYMAGAJĄCE ZGŁOSZENIA DO GIODO
4
083031
083033
1. JEDNOSTKI USŁUGOWE I ADMINISTRACYJNE IFiS PAN
Lp.
Zbiór danych osobowych
Program do
Podstawa
przetwarzania
przetwarzania
danych
1.
Dane osobowe ujęte w systemie
kadrowo-płacowym
Administrator
danych
System Enova
365 kadry i płace,
pakiet złoty
2.
Dane osobowe ujęte w systemie
księgowym
Administrator
danych
Program księgowy
Nowy Świat 72,
Finka, Program
pokój 143, 156,
księgowy Sage
141
Symfonia FK
3.
Dane osobowe pracowników –
pożyczkobiorców z PKZP
Administrator
danych
program Excel
Nowy Świat 72,
pokój 143
4.
Dane osobowe w systemie kadrowopłacowym
Administrator
danych
Płatnik
Nowy Świat 72,
pokój 143
5.
Dane osobowe w systemie księgowym
do obsługi kontrahentów
Administrator
danych
Program do
Nowy Świat 72,
wystawiania faktur
pokój 143,156
Finka Faktura
6.
Dane osobowe ujęte w systemie
księgowym obejmującym dane
pracowników, współpracowników,
kontrahentów itp.
Administrator
danych
Program księgowy Nowy Świat 72,
Finka
pokój 231
7.
POLON - rejestr pracowników
naukowych, studentów SNS
Administrator
danych
System POLON
Nowy Świat 72,
pokój 150, 247
8.
Rejestr wniosków i realizowanych
projektów
Administrator
danych
program Excel
Nowy Świat 72,
pokój 135
9.
Program Ocena
Administrator
danych
Program Ocena
Nowy Świat 72,
pokój 133, 135
10.
Biblioteka
Administrator
danych
Horizon
Krakowskie
Przedmieście 3,
pokój 114A
11.
Archiwum PAN
Administrator
danych
Brak (archiwum
tradycyjne –
papierowe)
Nowy Świat 72,
pokój 011
Administrator
danych
Oprogramowanie
autorskie, PS
IMAGO (SPSS),
MS EXCEL,
WORD,
NOTEPAD
Nowy Świat 72
pokój 106, 108A
12.
Program Ankieter
5
Lokalizacja
Nowy Świat 72,
pokój 143, 156
2. ZAKŁADY I ZESPOŁY IFiS PAN
Lp.
Program do
Podstawa
przetwarzania
przetwarzania
danych
Zbiór danych osobowych
Lokalizacja
3. PROJEKTY REALIZOWANE W IFiS PAN (GRANTY I INNE ZLECENIA ZEWNĘTRZNE)
Lp.
Program do
Podstawa
przetwarzania
przetwarzania
danych
Zbiór danych osobowych
6
Lokalizacja
Załącznik nr 3. Opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi
Informacje o zbiorach danych przetwarzanych w IFiS PAN zgodne z zakresem
przedstawionym w Prezentacji dot-Ustawa-o-ochronie-danych-osobowych 2015 – slajdy 17.
I 18. rozesłanej do Państwa 14.03.16 – zostaną uzupełnione po kwerendzie. W skrócie
rejestr opisujący strukturę zbiorów danych obejmuje następujące pola:

Nazwa zbioru danych

Informacje o administratorze danych osobowych

Nazwa projektu, w związku z którym tworzony jest zbiór

Kierownik projektu

Planowana data rozpoczęcia zbierania danych

Planowana data zakończenia zbierania danych

Cel przetwarzania danych

Opis struktury zbioru, np.: kategorii osób uwzględnionych („mężczyźni i kobiety w
wieku 45+”, „mieszkańcy Krakowa”), których dane dotyczą oraz zakres przetwarzania
danych „zwykłych” (np.: płeć, wiek, wykształcenie, numer telefonu) i szczególnie
chronionych (np.: przynależność partyjna, związkowa, poglądy polityczne)

Opis kategorii

Zakres danych przetwarzanych w zbiorze, w tym odpowiedź na pytanie:
Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane
szczególnie chronione, „wrażliwe”? Jeśli zbiór został już zgłoszony do
GIODO, należy podać numer zgłoszenia, numer księgi

Sposób zbierania danych (np.: wyłącznie
i ich udostępniania (zgodnie z przepisami prawa)

Lista programów komputerowych wykorzystywanych do przetwarzania danych

Informacje o odbiorcach

Lista imion i nazwisk osób upoważnionych do przetwarzania danych osobowych
w tym zbiorze
7
od
osób,
których
dotyczą)
Załącznik nr 4. Sposób przepływu danych między poszczególnymi
systemami.
<j.w. do uzupełnienia po kwerendzie i spisie z natury>
8
Załącznik nr 5. Określenie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych
I.
Przedsięwzięcia w zakresie zabezpieczenia sprzętu komputerowego.
1. Dla zapewnienia ciągłości działania systemów informatycznych służących do
przetwarzania danych osobowych stosuje się w nich sprzęt oraz oprogramowanie
wyprodukowane przez renomowanych producentów oraz zabezpiecza się sprzęt przed
awarią zasilania lub zakłóceniami w sieci zasilającej.
2. Zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych
są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez
wykonywanie kopii zapasowych.
I. Zbiory danych osobowych oraz ich kopie zapasowe są usuwane niezwłocznie po ustaniu
ich użyteczności przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie z
urządzeń, dysków lub innych elektronicznych nośników informacji.
II.
Przedsięwzięcia w zakresie ochrony teletransmisji danych.
1. W celu ochrony systemów informatycznych służących do przetwarzania danych
osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia
chroniące przed nieuprawnionym dostępem.
2. Transmisja danych osobowych przez publiczną sieć telekomunikacyjną jest
zabezpieczona środkami kryptograficznej ochrony danych.
III.
Przedsięwzięcia w zakresie środków ochrony w ramach oprogramowania systemów.
1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu
informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny
identyfikator i hasło.
II. W przypadku, gdy do uwierzytelnienia użytkowników używa się identyfikatora i hasła,
kryteria doboru haseł i okres ich obowiązywania ustala Administrator systemu
informatycznego.
III. System informatyczny powinien wymuszać zmianę haseł, informując o upływie ich
ważności.
IV. W przypadku, gdy system informatyczny służący do przetwarzania danych osobowych
lub jego wydzielona cześć nie wymusza zmiany haseł, użytkownik jest zobowiązany do
samodzielnej zmiany hasła na podstawie kryteriów ustalonych przez Administratora
systemu informatycznego.
IV.
Przedsięwzięcia w zakresie środków ochrony w ramach narzędzi baz danych i innych
narzędzi programowych.
1. W celu ochrony zbiorów danych osobowych prowadzonych w systemach
informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli
dostępu do tych danych.
2. System zapewnia automatyczne odnotowywanie w systemie informacji o identyfikatorze
użytkownika, który wprowadził dane osobowe oraz dacie pierwszego wprowadzenia
danych do systemu.
3. System zapewnia przygotowanie i wydruk raportu, który zawiera informacje, o których
mowa w § 7. 1. Rozporządzenia.
9
4. Stosuje się oprogramowanie umożliwiające trwałe usunięcie danych osobowych z
urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są
do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną.
V.
Przedsięwzięcia w zakresie środków ochrony w ramach systemu użytkowego:
I.
W celu ochrony danych osobowych przetwarzanych na stacjach roboczych na czas
krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się
mechanizm blokady stacji roboczej zabezpieczony hasłem;
V. Stosuje się mechanizmy kontroli dostępu użytkowników do systemów – ogranicza się
dostęp do katalogów, ogranicza się wykonywanie poleceń;
VI. Na stacjach roboczych użytkownicy nie posiadają uprawnień do instalowania
oprogramowania.
VI.
Przedsięwzięcia w zakresie zabezpieczenia przetwarzanych danych w systemie
tradycyjnym, przy użyciu dokumentów sporządzonych w formie pisemnej, gromadzone są w
rejestrach, księgach oraz segregatorach i przechowywane w zamykanych szafach.
I.
Dane osobowe są chronione przy zastosowaniu następujących zabezpieczeń
niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych
dany osobowych:
VII. Ochrona pomieszczeń wykorzystanych do przetwarzania danych osobowych:
 budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych
osobowych zabezpieczone są przed dostępem osób nieuprawnionych;
 dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych
biurkach lub szafach;
 przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych jest
dopuszczalne w obecności osoby upoważnionej do przetwarzania danych osobowych lub
za zgodą Dyrektorów i Kierowników Jednostek Organizacyjnych IFiS PAN lub
Kierowników Projektów ulokowanych w IFiS PAN.
10
Załącznik nr 6. Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych
I.
Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym
dane osobowe, ma AD oraz ABI i Administrator systemu informatycznego, działający w
imieniu AD.
II. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym
dane osobowe, może uzyskać wyłącznie użytkownik zarejestrowany przez
Administratora systemu informatycznego. Rejestracja w systemie informatycznym
obejmuje trzy etapy opisanej poniżej.
1. Nadanie przez Administratora systemu informatycznego unikalnego
identyfikatora
(loginu).
Zabronione
jest
nadawanie
identycznych
identyfikatorów. Każda użytkownik otrzymuje inny, unikalny identyfikator
(login).
2. Wygenerowanie hasła startowego, niezbędnego do uzyskania dostępu do
systemu informatycznego. Użytkownik podczas pierwszego wejścia do
systemu ma obowiązek zmiany hasła startowego. Kryteria tworzenia haseł
użytkowników i czas ich obowiązywania wobec osób przetwarzających dane
osobowe ustala Administrator systemu informatycznego. Użytkownik powinien
zmieniać hasło nie rzadziej, niż według kryteriów ustalonych przez
Administratora systemu informatycznego oraz w każdym innym uzasadnionym
przypadku, w szczególności gdy istnieje prawdopodobieństwo wejścia w
posiadanie takiego hasła przez osobę trzecią. Hasło powinno być stworzone w
sposób uniemożliwiający jego odgadnięcie przez osoby trzecie. Hasło jest
daną poufną do wyłącznej wiadomości użytkownika, którego dotyczy.
3. Wprowadzenie do rejestru elektronicznego upoważnionych do przetwarzania
danych osobowych użytkowników. Rejestr powinien obejmować: login, imię,
nazwisko, datę uzyskania upoważnienia do przetwarzania danych osobowych,
wraz z technicznym opisem przypisanych praw dostępu w systemie
informatycznym zgodnych z zakresem określonym w Upoważnieniu do
przetwarzania
danych
osobowych
ABI.
Administratora
systemu
informatycznego, w imieniu AD, prowadzi elektroniczną bazę użytkowników,
która jest podstawą do aktualizacji ewidencji osób upoważnionych do
przetwarzania danych osobowych.
III. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym
dane osobowe mają jedynie zarejestrowani użytkownicy i odbywa się on wyłącznie
poprzez podanie identyfikatora (loginu) i hasła.
IV. Wszystkie serwery, na których przechowywane są dane, w tym dane osobowe, powinny
być umieszczone w pomieszczeniu z ograniczonym dostępem.
1. Dostęp do pomieszczenia powinien być ograniczony do Administratora
systemu informatycznego i upoważnionych przez ABI współpracowników IFiS
PAN.
2. Wydanie kluczy (w przypadku gdy przechowywane są np. na portierni)
powinno być rejestrowane:
11
 np. zapis do zeszytu z informacją: imię i nazwisko osoby
pobierającej klucze, godzina pobrania, godzina zdania
3. Wszystkie serwery lub pamięci danych (storage) w obudowie typu rack,
powinny być zamontowane w szafie zamykanej na klucz. Klucz do szafy
powinien być przechowywany w pomieszczeniu z ograniczonym dostępem.
Dostęp umożliwiający obsługę serwerów, na których przechowywane
są dane osobowe, powinien być ograniczony jedynie do Administratora
systemu
informatycznego
i
upoważnionych
przez
ABI
współpracowników IFiS PAN.
4. Serwery w obudowie typu tower, o ile nie są umieszczone w szafie, o której
mowa w pkt. 3, powinny mieć obudowę zamykaną na klucz lub inny
mechanizm uniemożliwiający otwarcie obudowy i dostęp do dysków twardych.
Procedura przechowywania kluczy do obudowy jest taka sam jak w pkt. 3.
5. Komputery wykorzystywane do działalności IFIS PAN, za pomocą których
przetwarzane są dane, w tym dane osobowe, zabezpieczane są co najmniej w
następujący sposób:

komunikacja mailowa możliwa jest wyłącznie poprzez system posiadający
program antywirusowy zatwierdzony przez Administratora systemu;

ruch http możliwy jest tylko przy użyciu zabezpieczonego firewallem
komputera;

użytkownicy systemu informatycznego IFiS PAN mają zakaz wgrywania na
komputery i serwery IFIS PAN jakiegokolwiek oprogramowania (w tym
także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych
przez Administratora systemu informatycznego;

użytkownicy systemu informatycznego IFiS PAN mają zakaz umieszczania
danych (w tym danych osobowych) w związku z pracą w IFiS PAN, na
wirtualnych dyskach lub nośnikach zewnętrznych niebędących własnością
IFiS PAN. Należy stosować wydzielone konta sieciowe na serwerach
należących do IFIS PAN.

osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN, nie będące
współpracownikami, mają zakaz wgrywania na komputery i serwery IFiS
PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za
wyjątkiem przypadków wyraźnie przyzwolonych przez Administratora
systemu informatycznego. Administrator systemu informatycznego
informuje o tym zakazie osoby świadczące jakiekolwiek usługi na rzecz
IFiS PAN;

Administrator systemu informatycznego odpowiada za bieżącą
aktualizację systemów operacyjnych. Użytkownicy mają zakaz blokowania
wykonania tych aktualizacji.
6. O ile dozwolone jest użycie danych zawartych na zewnętrznych nośnikach
pamięci, dane takie muszą być sprawdzone przez program antywirusowy
przed wprowadzeniem do systemu informatycznego IFiS PAN.
Odpowiedzialność za sprawdzenie ponosi użytkownik wprowadzający dane.
7. W przypadku jakichkolwiek wątpliwości odnośnie zagrożenia wirusowego
należy sprawdzić zawartość całego dysku twardego programem
antywirusowym. W przypadku dalszych niejasności należy kontaktować się z
12
Administratorem systemu informatycznego lub z osobami przez niego
upoważnionymi.
8. Administrator systemu informatycznego nadzoruje instalację aktualizacji (w
tzw. „łat”) oprogramowania. Za instalację i konfigurowanie oprogramowania
odpowiada Administrator systemu informatycznego.
9. Administrator systemu informatycznego, w imieniu AD i po konsultacji z ABI,
akceptuje listę oprogramowania dopuszczoną do użytkowania na
poszczególnych stacjach roboczych w zależności od typu prac na nich
wykonywanych.
10. Administrator systemu informatycznego dopuszcza użytkownika do obsługi
poszczególnych programów na podstawie rejestru elektronicznego
upoważnionych do przetwarzania danych osobowych użytkowników.
11. Oprogramowanie wgrane na stacjach roboczych udostępnionych przez IFiS
PAN użytkownikom, niezależnie od tego czy jest umieszczone na powołanej
liście, jest uważane za możliwe do wykorzystania przez użytkowników, chyba
że Administrator systemu informatycznego lub ABI postanowią inaczej.
12. Każdy użytkownik zobowiązany jest do zachowania szczególnej ostrożności
przy pracy z pocztą elektroniczną. W przypadku jakichkolwiek wątpliwości,
szczególnie w przypadku załączników poczty elektronicznej, należy przed
uruchomieniem
skontaktować
się
z
Administratorem
systemu
informatycznego.
13. Przy wprowadzaniu do systemu informatycznego nowych programów lub
danych zawsze należy kierować się zasadą ograniczonego zaufania. Jeśli
okoliczności danego przypadku tego wymagają, należy przed wprowadzeniem
jakichkolwiek zmian wykonać kopię zapasową systemu (lub odpowiedniej jego
części, która ma podlegać modyfikacji), w sposób umożliwiający przywrócenie
poprzedniego stanu.
14. Za sporządzanie kopii bezpieczeństwa informacji znajdujących się na
serwerach odpowiada Administrator systemu informatycznego. Wykonywanie
kopii bezpieczeństwa danych znajdujących się na stacjach roboczych należy
do obowiązków użytkowników. Ze stacji roboczych dane powinny być
kopiowane na serwer, w wyznaczone przez Administrator systemu
informatycznego miejsce.
15. Bezpieczeństwo na styku systemu informatycznego IFiS PAN z siecią internet
zapewniają systemy oprogramowania firewall. Użytkownikom zabrania się
dokonywania jakichkolwiek połączeń do internetu z pominięciem
oprogramowania firewall.
16. Użytkownikom zabrania się pozostawienia sprzętu komputerowego i
oprogramowania
niezabezpieczonego
przed
dostępem
osób
nieupoważnionych lub bez nadzoru osoby odpowiedzialnej za jego
użytkowanie.
17. Użytkownikom zabrania się pozostawiania dokumentów z danymi podczas
nieobecności przy stanowisku pracy i po zakończeniu pracy, obowiązuje
zasada tzw. „czystego biurka”.
18. Zabrania się dopuszczania do swego stanowiska pracy innych osób, chyba że
jest to usprawiedliwione i konieczne w danej chwili. Dopuszczenie osoby
trzeciej do swego stanowiska pracy nie powoduje zdjęcia odpowiedzialności
za zgodne z prawem i PB, w tym danych osobowych, toteż nakazuje się, aby
osoba, która dopuszcza osobę trzecią do swego stanowiska pracy, zapewniła
przestrzeganie prawa i PB w zakresie przetwarzania w/w danych. W takim
13
przypadku osoba dopuszczająca do swego stanowiska pracy inną osobę
dokonuje wylogowania z systemu informatycznego, jeśli była do niego
zalogowana w sposób umożliwiający przetwarzanie danych. Gdy istnieje taka
potrzeba, nowa osoba dokonuje logowania na danej stacji wykorzystując
własny login i hasło (tak by wszelkie operacje na danych przez nią dokonane,
w szczególności na danych osobowych, były przypisywane jednoznacznie tej
osobie).
19. Wyrejestrowania użytkownika z systemu informatycznego IFiS PAN,
skutkującego brakiem uprawnień do przetwarzania danych (w tym danych
osobowych), dokonuje Administrator systemu informatycznego niezwłocznie
po wygaśnięciu upoważnienia do przetwarzania danych osobowych w
systemie informatycznym IFIS PAN.
20. Administrator
systemu
informatycznego
dokonuje
wyrejestrowania
użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem
uprawnień do przetwarzania danych (w tym danych osobowych) w
uzasadnionym przypadku, w szczególności w przypadku podejrzenia
naruszenia zasad ochrony danych, w tym danych osobowych.
Wyrejestrowanie
użytkownika
uniemożliwia
takiemu
użytkownikowi
dokonywanie jakichkolwiek operacji na danych, w tym uniemożliwia dostęp do
danych, ani systemu informatycznego IFiS PAN. Wyrejestrowanie
użytkownika może mieć charakter czasowy lub trwały.
21. Administrator systemu informatycznego odnotowuje
wyrejestrowania użytkownika w prowadzonym rejestrze.
dokładną
datę
22. Użytkownik w każdym przypadku rozpoczęcia pracy z dostępem do systemu
informatycznego IFIS PAN lub w systemie informatycznym IFIS PAN dokonuje
go poprzez:

odpowiednie przygotowanie stanowiska pracy,

włączenie stacji roboczej (ewentualnie serwera),

wprowadzenie swojego loginu i hasła.
23. Zakończenie pracy w systemie odbywa się poprzez:

zamknięcie wszystkich aplikacji,

odłączenie od zasobów systemowych,

zamknięcie systemu operacyjnego,
 wyłączenie stacji roboczej.
24. Zabrania się użytkownikom w systemie informatycznym IFIS PAN:

udostępniania stacji roboczej osobom niezarejestrowanym w systemie
zgodnie z niniejszą Instrukcją; udostępnienie – o ile jest możliwe i
konieczne – może się odbyć tylko w sposób wykluczający możliwość
dostępu do danych w zakresie których dana osoba nie ma upoważnienia
do przetwarzania i w sposób umożliwiający identyfikację dostępu i
czynności takiej osoby do danych, do których dostęp takiej osoby jest
uprawniony,

udostępniania stacji roboczej do konserwacji lub naprawy bez zgody
Administratora systemu informatycznego,

używania oprogramowania nielicencjonowanego.
14
25. Każdy przypadek naruszenia ochrony danych, a w szczególności:

naruszenia bezpieczeństwa systemu informatycznego,

stwierdzenia objawów (stanu urządzeń, sposobu działania programu /
aplikacji / modułów / jakichkolwiek elementów systemu informatycznego
IFIS PAN lub jakości komunikacji w sieci IFIS PAN), które mogą
wskazywać na naruszenie bezpieczeństwa danych, w tym danych
osobowych,

wystąpienia prawdopodobieństwa naruszenia ochrony danych, w
tym danych osobowych podlega natychmiastowemu zgłoszeniu do
Administratora systemu informatycznego i ABI.
26. Do ABI zgłasza się w szczególności przypadki:

użytkowania stacji roboczej przez osobę niebędącą użytkownikiem
systemu,

logowania się lub usiłowania logowania do systemu informatycznego IFiS
PAN przez osobę nieupoważnioną,

usuwania, dodawania lub modyfikowania danych bez upoważnienia lub z
przekroczeniem jego zakresu,

przebywania osób nieupoważnionych w obszarze, w którym przetwarzane
są dane, w trakcie nieobecności użytkownika zatrudnionego przy
przetwarzaniu tych danych, bez zgody AD lub ABI,

pozostawiania otwartych,
przetwarzane są dane,

przetwarzania danych w innym celu, niż jest to dopuszczone zgodnie z
prawem i PB (w tym niniejszą Instrukcją),

udostępniania osobom nieuprawnionym serwera, stacji roboczej (w tym
komputera przenośnego), służących do przetwarzania danych, w tym
danych osobowych,

niezabezpieczenia hasłem dostępu do komputera służącego do
przetwarzania danych, w tym danych osobowych, zgodnie z instrukcją
Administratora systemu informatycznego,

przechowywania kopii awaryjnych/zapasowych w tych samych
pomieszczeniach, w których przechowywane są zbiory danych osobowych
eksploatowane na bieżąco,

przechowywania nośników informacji oraz wydruków
osobowymi, nieprzeznaczonymi do udostępniania, w
umożliwiających do nich dostęp osobom nieuprawnionym.
bez
nadzoru
pomieszczeń,
w
których
z danymi
warunkach
27. Obowiązek dokonania zgłoszenia do ABI, o którym mowa w punktach
poprzedzających spoczywa na każdym użytkowniku dopuszczonym do
przetwarzania danych w IFIS PAN, który powziął wiadomość o naruszeniu
ochrony danych osobowych lub prawdopodobieństwie naruszenia tej ochrony.
ABI ma prawo w takim przypadku nakazać osobie zgłaszającej wykonanie
niezbędnych
czynności
zaradczych,
w
szczególności
czynności
uzasadnionych i koniecznych dla przywrócenia ochrony danych.
15
28. W przypadku naruszenia bezpieczeństwa systemu informatycznego,
obowiązkiem osoby upoważnionej przez ABI jest natychmiastowe podjęcie
adekwatnych kroków zaradczych, w tym przykładowo wstrzymanie
udostępniania zasobów dla użytkowników lub odłączenie serwerów od
odpowiednich zasobów, w tym sieci internet oraz powiadomienie
Administratora systemu informatycznego i ABI.
29. Pod kontrolą ABI użytkownicy z pomocą Administratora systemu
informatycznego ustalają przyczyny naruszenia bezpieczeństwa systemu
informatycznego oraz inne przyczyny naruszenia ochrony danych
przetwarzanych przez IFIS PAN.
30. Normalna zgodna z przeznaczeniem eksploatacja systemu informatycznego
IFiS PAN przez użytkowników dopuszczonych do przetwarzania danych może
nastąpić dopiero po ustaleniu i usunięciu przyczyny naruszenia
bezpieczeństwa systemu informatycznego. Wyjątkowo Administrator systemu
informatycznego lub administrator danych mogą zadecydować inaczej, w
szczególności,
gdy
naruszenia
zasad
ochrony
systemu
(lub
prawdopodobieństwo wystąpienia takiego naruszenia) dotyczą jedynie
określonych elementów systemu.
31. Kopie awaryjne tworzy się zgodnie z wewnętrznymi procedurami
uzgodnionymi przez Dyrektorów Kierowników Jednostek Organizacyjnych IFiS
PAN lub Kierowników Projektów ulokowanych w IFiS PAN .
32. Każdą kopię tworzy się na oddzielnym nośniku informatycznym, chyba że
kopia jest tworzona na specjalnie dedykowanej w tym celu przestrzeni na
dysku serwera.
33. Zabrania się przechowywania kopii awaryjnych w pomieszczeniach
przeznaczonych do przechowywania danych pozostających w bieżącym
użytkowaniu. Wyjątkowo jest to dopuszczalne, o ile kopia awaryjna dotyczy
danych pozostających w bieżącym użytkowaniu zlokalizowanych w innym
pomieszczeniu.
34. Administrator systemu informatycznego przegląda okresowo kopie awaryjne i
oceniają ich przydatność do odtworzenia zasobów systemu w przypadku jego
awarii. Administrator systemu informatycznego może nakazać określonym
użytkownikom mającym dostęp do kopii awaryjnych stosowanie określonej –
zgodnej z niniejszą Instrukcją – procedury zniszczenia danych, w
szczególności, gdy dana baza danych jest kopiowana kolejny raz (np. w
przypadku wykonania kolejnej kopii, przykładowo czwarta wstecz kopia
określonych danych podlegać może zniszczeniu).
35. Stwierdzenie utraty przydatności kopii awaryjnych zobowiązuje Administratora
systemu informatycznego do ich zniszczenia, przy zastosowaniu
oprogramowania umożliwiającego trwałe usunięcie.
36. Sprawdzanie obecności wirusów komputerowych w systemie oraz ich
usuwanie odbywa się przy wykorzystaniu licencjonowanego oprogramowania.
37. Oprogramowanie antywirusowe sprawuje ciągły nadzór (stała praca w tle) nad
pracą systemu i jego zasobami oraz serwerami i stacjami roboczymi.
Niezależnie od ciągłego nadzoru Administrator systemu informatycznego nie
rzadziej niż raz na tydzień przeprowadzą pełną kontrolę obecności wirusów
komputerowych w systemie informatycznym IFiS PAN, w tym również w
serwerach i stacjach roboczych, na których oprogramowanie antywirusowe
jest zaimplementowane. ABI może zlecić użytkownikom wykonanie kontroli
obecności wirusów komputerowych na ich stacjach roboczych i zlecić
16
przekazanie informacji
informatycznego.
z
ich
przebiegu
do
Administrator
systemu
38. Do obowiązków Administratora systemu informatycznego należy aktualizacja
oprogramowania służącego do sprawdzania w systemie obecności wirusów
komputerowych.
39. System i urządzenia informatyczne służące do przetwarzania danych, zasilane
energią elektryczną, zabezpiecza się przed utratą danych osobowych
spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
40. Minimalne dopuszczalne w danej chwili zabezpieczenie systemu
informatycznego i urządzeń informatycznych, o którym mowa w punkcie
poprzedzającym, polega na wyposażeniu serwerów oraz stacji roboczych w
zasilacze awaryjne (UPS). Dane, w tym dane osobowe, przetwarzane na
stacjach roboczych są kopią danych przechowywanych w odpowiednio
chronionych miejscach na serwerach, zabezpieczonych za pomocą zasilaczy
awaryjnych UPS. Dane, w tym dane osobowe, osobowe przetwarzane na
stacjach roboczych niebędących kopią danych pobranych z serwera, są
zabezpieczone zasilaczem awaryjnym UPS.
41. Urządzenia informatyczne służące do przetwarzania danych, w tym danych
osobowych można przekazać:

do naprawy po uprzednim uzyskaniu zgody Administratora systemu
informatycznego,

do likwidacji, po uprzednim uzyskaniu zgody Administratora systemu
informatycznego i ABI,

innemu
podmiotowi
nieuprawnionemu
do
otrzymania
przetwarzanych w IFiS PAN, po uzyskaniu zgody AD lub ABI.
danych
42. Urządzenia, o których mowa w punkcie poprzedzającym, przed ich
przekazaniem do naprawy lub podmiotowi nieuprawnionemu do otrzymania
danych pozbawia się zapisu danych osobowych. Jeżeli nie jest to możliwe,
urządzenie może być naprawiane wyłącznie pod nadzorem Administratora
systemu informatycznego lub osoby upoważnionej przez ABI, która
odpowiada za zapewnienie ochrony tym danym.
43. Jeżeli nie jest możliwe pozbawienie urządzenia przekazywanego do likwidacji
zapisu danych osobowych, urządzenie - przed przekazaniem do likwidacji Administratora systemu informatycznego uszkadza się w sposób trwały,
uniemożliwiający odczytanie tych danych.
44. Przeglądu i konserwacji systemu informatycznego dokonuje Administrator
systemu informatycznego regularnie, stosownie do potrzeb.
45. ABI może zlecić wykonanie przeglądu systemu informatycznego i konserwacji
Administratorowi systemu informatycznego lub osobie upoważnionej przez
ABI doraźnie, stosownie do potrzeb.
46. Przeglądu i sprawdzenia poprawności zapisu zbiorów danych Administrator
systemu dokonuje nie rzadziej niż raz w miesiącu.
47. ABI może zlecić wykonanie sprawdzenia poprawności zapisu zbiorów danych
Administratorowi systemu informatycznego lub osobie upoważnionej przez
ABI doraźnie, stosownie do potrzeb.
17
48. W części systemu informatycznego IFiS PAN, w którym zastosowano
rozwiązania sieciowe udostępnienia zasobów stosowane są dedykowane
przyzwolenia dostępu (zgodne z zakresami upoważnień użytkowników).
Administrator systemu informatycznego nadaje dedykowane przyzwolenia
wykorzystując unikalne identyfikatory (loginy). Użytkownik uzyskuje dostęp do
zasobów po wprowadzeniu i identyfikatora (login) i znanego użytkownikowi
hasła.
49. Przesyłanie danych osobowych w systemie informatycznym wewnętrznym
(niedostępnym dla ogółu) musi być dokonywane w sposób odpowiednio
chroniony i dostępny jedynie dla uprawnionych użytkowników.
50. W sytuacji, gdy dostępne narzędzia informatyczne nie będą wystarczające do
działania w komunikacji wewnętrznej, Administrator systemu informatycznego
i po konsultacji z ABI, wyznacza sposób postępowania, mając w
szczególności na uwadze ochronę danych, w tym danych osobowych.
51. Nośniki informatyczne zawierające dane osobowe powinny być opisane w
sposób czytelny i zrozumiały dla użytkownika, a zarazem nie powinny ułatwiać
rozpoznania zawartości przez osoby nieupoważnione.
52. Nośniki informatyczne przechowywane są w miejscach, do których dostęp
mają wyłącznie osoby upoważnione do określonego sposobu przetwarzania
danych.
53. W pomieszczeniach, gdzie nie jest możliwe ograniczenie dostępu osób
postronnych, monitory stanowisk dostępu do danych osobowych ustawia się w
taki sposób, aby uniemożliwić tym osobom wgląd w dane.
54. Osoba użytkująca przenośny komputer, służący do przetwarzania danych
osobowych, obowiązana jest zachować szczególną ostrożność podczas
transportu i przechowywania tego komputera poza obszarem ochrony danych
w celu zapobieżenia dostępowi do tych danych osobie niepowołanej. W
przypadku przechowywania komputera poza obszarem ochrony danych w
żadnym razie dane znajdujące się w nim nie mogą być dostępne dla innego
użytkownika takiego komputera. Należy dane takie zabezpieczyć na wypadek
utraty
komputera,
w
szczególności
poprzez
użycie
narzędzi
uniemożliwiających zapoznanie się z danymi.
55. Użytkownik sporządzający wydruki, które zawierają dane osobowe jest
odpowiedzialny za zachowanie szczególnej ostrożności przy korzystaniu z
nich, a zwłaszcza za zabezpieczenie ich przed dostępem osób
nieposiadających imiennego upoważnienia oraz nieuprawnionych do wglądu
(dostępu) na podstawie indywidualnego zakresu czynności.
56. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia,
należy zniszczyć w stopniu uniemożliwiającym ich odczytanie.
57. System informatyczny IFiS PAN umożliwia odnotowanie i udostępnienie na
piśmie, w zrozumiałej formie, treści danych o każdej osobie, której dane są
przetwarzane w zbiorze danych, a w szczególności:

daty pierwszego wprowadzenia danych tej osoby do systemu, przy czym
odnotowanie następuje automatycznie po zatwierdzeniu przez
użytkownika operacji wprowadzenia danych,

identyfikatora użytkownika wprowadzającego dane osobowe do systemu,
chyba że dostęp do systemu informatycznego i przetwarzanych w nim
danych posiada wyłącznie jedna osoba (wówczas musi to być wyraźnie
oznaczone) lub gdy wprowadzenia danych dokonuje przez internet osoba,
której dane są przetwarzane (wówczas musi to być wyraźnie oznaczone),
18
przy czym odnotowanie tej informacji następuje automatycznie po
zatwierdzeniu przez użytkownika operacji wprowadzenia danych,

źródła pochodzenia danych, o ile są zbierane nie od osoby, której dotyczą,

informacji o odbiorcach w rozumieniu art. 7 pkt. 6 u.o.d.o., którym dane
osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba
że system informatyczny używany jest do przetwarzania danych zawartych
w zbiorach jawnych,

żądania, o którym mowa w art. 32 ust. 1 pkt. 7 u.o.d.o., oraz sprzeciwu
określonego w art. 32 ust. 1 pkt. 8.
<do aktualizacji >
Załącznik nr 7. Sposób postępowania ze zbiorami danych
<do aktualizacji technicznej po kwerendzie >
19
Załącznik nr 8. Obieg danych osobowych w systemie tradycyjnym i ich
zabezpieczanie
W IFiS PAN są przetwarzane również dane w sposób tradycyjny.
1. Dokumenty zawierające dane osobowe należy przechowywać z należytą starannością.
Dostęp do nich powinni mieć tylko pracownicy upoważnieni do przetwarzania danych
osobowych.
Osoby upoważnione do przetwarzania danych osobowych mają obowiązek:

przetwarzać je zgodnie z przepisami,

nie udostępniać ich oraz uniemożliwiać dostęp osobom nieupoważnionym,

zabezpieczać je przed zniszczeniem.
2. Przepływ dokumentów zawierających dane osobowe między poszczególnymi działami:
1) Księgowość
Kadry
2) Księgowość
Sekretariat
3) Księgowość
Dział Obsługi Badań
4) Księgowość
ORBS
5) Księgowość
Biblioteka
6) Księgowość
Wydawnictwo
7) Księgowość
Rada Naukowa
8) Księgowość
SNS
9) Księgowość
Archiwum
10) Kadry
System POLON
11) Kadry
Sekretariat
12) Kadry
Komisja Socjalna
13) Kadry
Archiwum
14) Kadry
Dział Obsługi Badań
15) Kadry
SNS
16) System POLON
Rada Naukowa
17) System POLON
SNS
18) Sekretariat
Rada Naukowa
19) Sekretariat
Wydawnictwo
20) Dział Obsługi Badań
21) SNS
Archiwum
Biblioteka
3. Należy stosować następujące kategorie środków zabezpieczeń danych osobowych przy
przetwarzaniu danych w dokumentacji papierowej:
1) zabezpieczenia fizyczne:
20

całodobowa ochrona budynku IFIS PAN;

pomieszczenia zamykane na klucz;

szafy z zamkami.
2) zabezpieczenia procesów przetwarzania danych:

przetwarzanie danych osobowych w wyznaczonych pomieszczeniach,

przetwarzanie danych osobowych przez wyznaczone do tego celu osoby,

dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych
działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób
uniemożliwiający ich odczytanie.
4. Należy stosować politykę czystego biurka dla dokumentów papierowych i nośników
elektronicznych. W przypadku dłuższej nieobecności w miejscu pracy lub po jej
zakończeniu osoba pracująca z danymi osobowymi jest zobowiązana do schowania w
bezpiecznym miejscu wszelkich dokumentów i nośników zawierających dane osobowe.
5. W pomieszczeniach, w których są przetwarzane dane osobowe nie wolno zostawiać
kluczy w zamkach od strony korytarza, nie wolno również zostawiać osób
nieupoważnionych do przetwarzania danych osobowych samych w takim pomieszczeniu.
21