Polityka bezpieczeństwa danych osobowych

Transkrypt

Załącznik Nr 1
do zarządzenia Nr 2/2016
Dyrektora Powiatowego Centrum Pomocy
Rodzinie w Makowie Mazowieckim
z dnia 2 lutego 2016 roku
P O L I T Y K A B E ZP I E C ZE Ń S T WA D A N Y C H O S O B O W Y C H
w Powiatowym Centrum Pomocy Rodzinie
w Makowie Mazowieckim
Rozdział I.
Informacje wstępne
§ 1.
Polityka bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie
w Makowie Mazowieckim, zwana dalej Polityką bezpieczeństwa określa zasady i tryb
postępowania przy przetwarzaniu danych osobowych.
§ 2.
1. Polityka bezpieczeństwa została opracowana zgodnie z wymogami określonymi
w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100,
poz. 1024).
2. Celem Polityki bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych
w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim (tj. zarówno danych
przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych),
odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną. Dokument ten określa:
1) osoby pełniące w Jednostce funkcje administratora danych osobowych i administratora
bezpieczeństwa informacji oraz inne funkcje związane z zapewnieniem właściwej
ochrony danych osobowych,
2) zasady dopuszczania pracowników Powiatowego Centrum Pomocy Rodzinie w Makowie
Mazowieckim do przetwarzania danych osobowych, obowiązki nałożone na pracowników
dopuszczonych do przetwarzania danych osobowych oraz zasady rejestracji/aktualizacji
zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych,
3) zdarzenia naruszające ochronę danych osobowych,
4) instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych.
3. Polityka bezpieczeństwa obowiązuje wszystkich pracowników Powiatowego Centrum
Pomocy Rodzinie w Makowie Mazowieckim z wyłączeniem pracowników Powiatowego
Zespołu ds. Orzekania o Niepełnosprawności w Makowie Mazowieckim, który jest
administratorem danych w prowadzonej przez siebie bazie danych osobowych, a także
dostawców, podmioty współpracujące na zasadzie umów, mające jakikolwiek kontakt
z danymi osobowymi objętymi ochroną, w tym: osoby realizujące zadania na podstawie
umów zlecenia lub o dzieło, stażystów, praktykantów, serwisantów, itp.
1
4. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury
organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
5. Zastosowane zabezpieczenia, o których mowa w ust. 4 mają służyć zapewnieniu ochrony
przetwarzanych danych osobowych, odpowiedniej do zagrożeń oraz kategorii danych
objętych ochroną poprzez zapewnienie:
1) poufności danych – rozumianej jako właściwość zapewniającą, że dane nie są
udostępniane nieupoważnionym osobom,
2) integralności danych – rozumianej jako właściwość zapewniającą, że dane osobowe nie
zostały zmienione lub zniszczone w sposób nieautoryzowany,
3) rozliczalności danych – rozumianej jako właściwość zapewniającą, że działania osoby
mogą być przypisane w sposób jednoznaczny tylko tej osobie,
4) integralności systemu – rozumianej jako nienaruszalność systemu, niemożność
jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.
§ 3.
1. Użyte w Polityce bezpieczeństwa określenia oznaczają:
1) ustawa – ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. 2015
poz. 2135),
2) rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r.
Nr 100, poz. 1024),
3) PCPR w Makowie Maz. – Powiatowe Centrum Pomocy Rodzinie w Makowie
Mazowieckim,
4) administrator danych - administrator danych osobowych (ADO) – Dyrektor
Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim, który decyduje
o celach i środkach przetwarzania danych osobowych w PCPR w Makowie Maz. oraz
monitoruje wdrożone zabezpieczenia systemu informatycznego,
5) administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez
administratora danych osobowych, odpowiedzialna za nadzór nad zapewnieniem
bezpieczeństwa danych osobowych,
6) administrator systemu informatycznego (ASI) – osoba odpowiedzialna za
bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w tym
w szczególności za przeciwdziałanie dostępowi osób nieupoważnionych do systemów
oraz podejmowanie odpowiednich działań w przypadku stwierdzenia naruszeń w tych
systemach,
7) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej,
8) osoba możliwa do zidentyfikowania – każda osoba fizyczna, której tożsamość można
określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne,
9) zbiór danych osobowych – posiadający strukturę zestaw danych o charakterze danych
osobowych, które są dostępne według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest rozproszony lub podzielony funkcyjnie,
10) przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,
2
11) system informatyczny – zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych; za system informatyczny uważany jest również pojedynczy
komputer wraz z oprogramowaniem, przy pomocy którego przetwarzane są dane
osobowe,
12) zabezpieczenie danych osobowych – środki administracyjne, techniczne i fizyczne
wdrożone w celu zabezpieczenia zasobów technicznych oraz ochrony przed zniszczeniem,
nieuprawnionym dostępem i modyfikacją, ujawnieniem lub pozyskaniem danych
osobowych lub ich utratą,
13) Instrukcja – Instrukcja zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie
Mazowieckim.
2.
Polityka bezpieczeństwa jest zgodna z ustawą oraz aktami wykonawczymi wydanymi na
podstawie niniejszej ustawy.
Rozdział II.
Określenie osób pełniących funkcje administratora danych osobowych
i administratora bezpieczeństwa informacji oraz inne funkcje związane
z zapewnieniem właściwej ochrony danych osobowych
§ 4.
1. Funkcję administratora danych w PCPR w Makowie Maz. pełni Dyrektor.
2. Administrator danych zabezpiecza dane osobowe przed ich udostępnianiem osobom
nieupoważnionym,
pozyskaniem
przez
osobę
nieuprawnioną,
przetwarzaniem
z naruszeniem ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
W powyższym celu ADO obowiązany jest stosować środki techniczne i organizacyjne
adekwatne do poziomu ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych
w PCPR w Makowie Maz., zgodnie z przepisami ustawy i rozporządzenia.
3. W celu ochrony interesów osób, których dane dotyczą administrator danych przetwarza dane
osobowe zgodnie z prawem, a w szczególności:
1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych
z uwzględnieniem zmian w obowiązującym prawie oraz w organizacji Jednostki,
w tym decyzje o:
a) zbieraniu danych osobowych wyłącznie dla oznaczonych, przewidzianych prawem
celów,
b) przetwarzaniu danych osobowych w postaci umożliwiającej identyfikację osób,
których dotyczą,
c) informowaniu osoby, której dane zostały umieszczone w zbiorze danych,
o przysługujących jej prawach,
d) przetwarzaniu danych osobowych nie dłużej, niż jest to niezbędne do osiągnięcia celu
przetwarzania oraz w zakresie niezbędnym do wypełnienia obowiązków nałożonych
przepisami prawa,
e) zapewnieniu kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały
wprowadzone do zbioru i komu są przekazywane,
f) udostępnianiu danych osobowych innym podmiotom wyłącznie w sposób zgodny
z prawem,
2) nadaje upoważnienia do przetwarzania danych osobowych,
3
3) zgłasza zbiory danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony
Danych Osobowych, w przypadkach przewidzianych przepisami prawa,
4) w razie stwierdzenia lub podejrzenia naruszenia zasad przetwarzania i ochrony danych
osobowych, a w szczególności zabezpieczeń systemu informatycznego, w tym na wniosek
administratora bezpieczeństwa informacji - podejmuje odpowiednie działania w celu
usunięcia zagrożenia lub minimalizacji jego skutków,
5) udostępnia dane osobowe ze zbioru, na żądanie uprawnionych podmiotów,
w przypadkach wskazanych prawem.
4.
Administrator danych może powołać administratora bezpieczeństwa
i administratora systemu informatycznego oraz określić ich zakresy czynności.
informacji
§ 5.
1. Administrator bezpieczeństwa informacji sprawuje nadzór nad przestrzeganiem zasad
przetwarzania i ochrony danych osobowych w imieniu i na rzecz administratora danych.
2. Do obowiązków administratora bezpieczeństwa informacji należy:
1) prowadzenie oraz aktualizacja dokumentacji opisującej sposób przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych, tj. Polityki bezpieczeństwa oraz Instrukcji,
2) nadzorowanie przestrzegania zasad określonych w Polityce bezpieczeństwa oraz
Instrukcji,
3) nadzorowanie prawidłowości udostępniania danych osobowych odbiorcom danych,
4) nadzorowanie zamieszczania w umowach z użytkownikami upoważnionymi do
przetwarzania danych osobowych, firmami którym powierzono przetwarzanie danych
osobowych lub konserwacje urządzeń służących do przetwarzania danych oraz
pracownikami tych firm, a także w innych dokumentach, odpowiednich zapisów
dotyczących ochrony danych osobowych,
5) nadzorowanie wdrożenia adekwatnych do zagrożeń środków fizycznych, a także
organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa danych,
6) nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe
w zakresie związanym z bezpieczeństwem tych danych osobowych,
7) podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w przypadku
naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu informatycznego oraz
prowadzenie adekwatnej dokumentacji w tym zakresie,
8) opracowanie upoważnienia do przetwarzania danych osobowych,
9) prowadzenie ewidencji wskazanej w Polityce bezpieczeństwa oraz Instrukcji,
10) sporządzanie raportów z naruszenia bezpieczeństwa danych osobowych,
11) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności
poprzez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych,
b) opracowywanie i aktualizację dokumentacji, o której mowa w art. 36 ust. 2 ustawy
oraz przestrzeganie zasad w niej określonych,
c) zapoznawanie osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych,
12) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych,
z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy.
3. W przypadku nie powołania w PCPR w Makowie Maz. administratora bezpieczeństwa
informacji, jego obowiązki wykonuje administrator danych.
4
1.
1)
2)
3)
4)
5)
6)
7)
§ 6.
Administrator systemu informatycznego realizuje zadania w zakresie zarządzania
i bieżącego nadzoru nad systemem informatycznym administratora danych,
w szczególności:
zarządza systemem informatycznym, w którym przetwarzane są dane osobowe,
posługując się hasłem dostępu do wszystkich stacji roboczych z poziomu administratora
danych,
zarządza systemem komunikacji w sieci komputerowej oraz przesyłania danych za
pośrednictwem urządzeń teletransmisji,
nadzoruje funkcjonowanie mechanizmów uwierzytelniania użytkowników w systemie
informatycznym służącym do przetwarzania danych osobowych oraz kontroli dostępu do
danych osobowych,
wykonuje kopie bezpieczeństwa komputerowych zbiorów danych zgodnie z zasadami
określonymi w Instrukcji oraz okresowo sprawdza je pod kątem ich dalszej przydatności
do odtwarzania danych w przypadku awarii systemu informatycznego,
przydziela każdemu użytkownikowi indywidualny identyfikator oraz hasło do systemu
informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także
w porozumieniu z ABI usuwa konta użytkowników zgodnie z zasadami określonymi
w Instrukcji,
zmienia okresowo hasła dostępu użytkowników do systemu informatycznego
w przypadkach, gdy system informatyczny nie wymusza okresowej zmiany haseł
użytkowników określonej w Instrukcji,
osobiście wykonuje lub sprawuje nadzór nad wykonywaniem: napraw, konserwacji oraz
likwidacji urządzeń komputerowych, które mogą zawierać dane osobowe.
2. W uzasadnionych przypadkach obowiązki ASI może sprawować ABI lub też inna osoba spoza
PCPR w Makowie Maz. pod warunkiem zawarcia z tą osobą umowy, w pełni respektującej
przepisy ustawy i rozporządzenia.
Rozdział III.
Zasady dopuszczania pracowników Powiatowego Centrum Pomocy Rodzinie
w Makowie Mazowieckim do przetwarzania danych osobowych oraz
zgłaszania/aktualizacji zbiorów danych do rejestracji Generalnemu Inspektorowi
Ochrony Danych Osobowych
§ 7.
1. Do przetwarzania danych osobowych, mogą być dopuszczone wyłącznie osoby posiadające
imienne upoważnienie administratora danych, wydane na podstawie aktualnego zakresu
obowiązków, zgodnie ze wzorem określonym w załączniku nr 2 do Polityki bezpieczeństwa.
2. Upoważnienia do przetwarzania danych osobowych dla pracowników PCPR w Makowie
Maz. sporządza administrator bezpieczeństwa informacji, a podpisuje administrator danych.
3. Administrator bezpieczeństwa informacji prowadzi ewidencję osób upoważnionych do
przetwarzania danych osobowych. Ewidencja zawiera następujące informacje: imię
i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do
przetwarzania danych osobowych, a także identyfikator, jeżeli dane są przetwarzane
w systemie informatycznym.
5
4. W przypadku zmiany zakresu czynności pracownika, do wykonywania których został
upoważniony na mocy wydanego upoważnienia, administrator bezpieczeństwa informacji
opracowuje nowe upoważnienie do przetwarzania danych osobowych.
5. Każdy pracownik przed dopuszczeniem go do przetwarzania danych osobowych,
z wyłączeniem pracowników Powiatowego Zespołu ds. Orzekania o Niepełnosprawności
w Makowie Mazowieckim, musi zostać przeszkolony przez administratora bezpieczeństwa
informacji, a w przypadku jego nie powołania – przez administratora danych, w zakresie
przepisów dotyczących ochrony danych osobowych oraz Polityki bezpieczeństwa i Instrukcji.
§ 8.
Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do:
1) bezwzględnego przestrzegania zasad bezpieczeństwa przetwarzania danych osobowych
określonych w Polityce bezpieczeństwa, Instrukcji i innych procedurach obowiązujących
w PCPR w Makowie Maz.,
2) przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach
służbowych,
3) zabezpieczania zbiorów danych osobowych oraz dokumentów zawierających dane osobowe
przed dostępem osób nieupoważnionych za pomocą środków określonych w Polityce
bezpieczeństwa, Instrukcji oraz w innych procedurach obowiązujących w PCPR w Makowie
Maz.,
4) niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób
uniemożliwiający ich odczytanie,
5) nieudzielania informacji o danych osobowych innym podmiotom, chyba że obowiązek taki
wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w takich
przepisach zostały spełnione,
6) niezwłocznego zawiadamiania administratora bezpieczeństwa informacji o wszelkich
przypadkach naruszenia bezpieczeństwa danych osobowych, a także o przypadkach utraty lub
kradzieży dokumentów lub innych nośników zawierających te dane osobowe.
§ 9.
1. Administrator danych zobowiązany jest zgłosić zbiór danych do rejestracji Generalnemu
Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa
w art. 43 ust. 1 i 1a ustawy.
2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi Ochrony Danych
Osobowych każdą zmianę informacji w zgłoszonym zbiorze w terminie 30 dni od dnia
dokonania zmiany w zbiorze danych.
3. Administrator
danych
opracowuje
i
podpisuje
wnioski
zgłoszeniowe
o zarejestrowanie/zaktualizowanie zbioru danych osobowych.
Rozdział IV.
Opis zdarzeń naruszających ochronę danych osobowych
§ 10.
1. Ochronę danych osobowych naruszają następujące zagrożenia:
1) zagrożenia losowe zewnętrzne np.: klęski żywiołowe, przerwy w zasilaniu energii
elektrycznej - ich występowanie może prowadzić do utraty integralności lub zniszczenia
danych, uszkodzenia infrastruktury technicznej systemu lub zakłócenia ciągłości systemu,
nie dochodzi do naruszenia poufności danych,
6
2) zagrożenia losowe wewnętrzne np.: niezamierzone pomyłki operatorów, administratora,
awarie sprzętowe, błędy oprogramowania - może dojść do zniszczenia danych, może
zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych,
3) zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia naruszenia
poufności danych (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej oraz
zakłócenie ciągłości pracy). Zagrożenia te obejmują: nieuprawniony dostęp do systemu
z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza,
nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania,
bezpośrednie zagrożenie materialnych składników systemu.
2. Za przypadki naruszające lub uzasadniające podejrzenie naruszenia zabezpieczenia systemu
informatycznego, w którym przetwarzane są dane osobowe uważa się:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby
systemu jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad,
działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,
2) niewłaściwe parametry środowiska, np. niewłaściwa wilgotność, temperatura,
oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje,
3) awaria sprzętu lub oprogramowania, wyraźnie wskazująca na umyślne działanie
w kierunku naruszenia ochrony danych lub sabotaż,
4) niewłaściwe działanie serwisu, w tym także pozostawienie serwisantów bez nadzoru,
5) pojawienie się komunikatu alarmowego pochodzącego od części systemu zapewniającej
ochronę zasobów lub innego komunikatu o podobnym znaczeniu,
6) zła jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego, wskazujące
na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,
7) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,
8) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze danych
bez upoważnienia,
9) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie
informatycznym,
10) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą
procedur ochrony przetwarzania lub innych chronionych elementów systemu
zabezpieczeń,
11) funkcjonowanie systemu lub jego sieci komputerowej wskazujące odstępstwa
od założonego rytmu pracy, uprawdopodobniające przełamanie lub zaniechanie ochrony
danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie jest
dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp.,
12) obecność w obszarze bezpieczeństwa osób postronnych bez dozoru pracowników
zatrudnionych przy przetwarzaniu danych osobowych,
13) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki”,
itp.,
14) podmiana lub zniszczenie nośników z danymi osobowymi bez zachowania procedury
(skasowanie lub skopiowanie danych osobowych w sposób niedozwolony),
15) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa
informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie
wydrukowanych danych osobowych w drukarce, nie wykonanie w określonym terminie
kopii bezpieczeństwa, itp.).
3. Za naruszenie ochrony danych osobowych uważa się również stwierdzenie nieprawidłowości
w zakresie:
1) zabezpieczenia fizycznego miejsc przetwarzania danych osobowych np. pozostawienie
otwartego pomieszczenia, w którym przetwarzane są dane osobowe, umożliwienie
nieautoryzowanego dostępu do urządzeń archiwizujących,
7
2) zabezpieczenia organizacyjnego np. przetwarzanie danych osobowych przez
pracowników nieposiadających upoważnienia do przetwarzania danych osobowych.
Rozdział V.
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
1.
2.
§ 11.
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych określa sposób
postępowania w przypadku:
1) stwierdzenia naruszenia zabezpieczenia danych w systemie informatycznym,
2) zaistnienia prawdopodobieństwa naruszenia zabezpieczeń danych osobowych w systemie
informatycznym na co wskazuje: stan urządzenia, zawartość zbioru danych osobowych,
ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci
telekomunikacyjnej,
3) stwierdzenia naruszenia zabezpieczenia danych przetwarzanych poza systemem
informatycznym.
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych ma zastosowanie
w szczególności wówczas, gdy stwierdzono:
1) zakłócenia toku pracy ustalonych procedur działania przy przetwarzaniu danych
osobowych,
2) stan urządzeń wchodzących w skład systemu wskazuje na zakłócenie jego pracy,
3) stan przeglądu danych osobowych lub urządzeń wchodzących w skład systemu
informatycznego wskazuje na obecność wirusa zakłócającego normalny tok pracy,
4) włamanie lub innego rodzaju naruszenie zabezpieczeń stosowanych w obszarze
przetwarzania danych osobowych,
5) ujawnienie osobom nieuprawnionym danych osobowych ze zbioru danych objętych
systemem zabezpieczeń,
6) rażące naruszenie zasad i dyscypliny pracy w zakresie bezpieczeństwa danych osobowych
chronionych przepisami ustawy o ochronie danych osobowych,
7) zniszczenie, uszkodzenie lub zniknięcie zbioru danych osobowych lub jego
poszczególnych części.
§ 12.
W przypadku stwierdzenia, przez osobę przetwarzającą dane osobowe lub jej przełożonego,
zaistnienia choćby jednej z przesłanek, o których mowa w § 11, osoby te są zobowiązane
natychmiast zawiadomić o tym administratora bezpieczeństwa informacji, a w przypadku gdy
naruszenie dotyczy danych w systemie informatycznym, także administratora systemu
informatycznego.
§ 13.
Administrator bezpieczeństwa informacji, a w przypadku jego nie powołania – administrator
danych, w obecności osoby, która stwierdziła naruszenie zabezpieczeń lub zasad ochrony danych
osobowych – przeprowadza oględziny miejsca stwierdzenia naruszenia i sporządza na tę
okoliczność stosowny raport. Wzór raportu stanowi załącznik nr 3 do Polityki bezpieczeństwa.
§ 14.
Raport, o którym mowa w § 13 powinien zawierać w szczególności:
1) datę, godzinę i miejsce jego sporządzenia,
2) określenie osób obecnych przy jego sporządzaniu,
8
3) precyzyjne wskazanie stwierdzonego naruszenia zasad związanych z ochroną przetwarzania
danych osobowych lub zabezpieczeń stosowanych w tym zakresie w systemie
informatycznym, gdzie przetwarzane są dane, lub poza systemem informatycznym,
4) wskazanie terminu stwierdzenia naruszenia ochrony danych,
5) określenie szkód i zagrożenia dla danych przetwarzanych w zbiorze,
6) wskazanie osób odpowiedzialnych za naruszenie zabezpieczeń,
7) podpisy osób obecnych przy oględzinach.
§ 15.
1. Po sporządzeniu raportu, o którym mowa w § 13, administrator bezpieczeństwa informacji
przekazuje go do administratora danych osobowych.
2. Administrator danych lub administrator bezpieczeństwa informacji wspólnie
z administratorem danych, dokonuje/dokonują analizy i oceny całokształtu stwierdzonego
naruszenia zasad ochrony danych osobowych, a następnie zarządza/zarządzają wprowadzenie
środków eliminujących w przyszłości podobne zdarzenia.
§ 16.
W przypadku stwierdzenia ewidentnego naruszenia dyscypliny pracy przez osobę zatrudnioną
przy przetwarzaniu danych osobowych, administrator danych podejmuje stosowne środki
dyscyplinujące.
Rozdział VI.
Postanowienia końcowe
§ 17.
1. Wszelkie zmiany w Polityce bezpieczeństwa wymagają zatwierdzenia przez administratora
danych.
2. Integralną część Polityki bezpieczeństwa stanowią załączniki do niniejszego dokumentu.
3. Aktualizacja załączników do Polityki bezpieczeństwa dokonywana będzie w miarę potrzeb,
jednakże nie rzadziej niż raz do roku.
4. Odpowiedzialność karną za przetwarzanie danych osobowych niezgodnie z ustawą z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. 2015 poz. 2135), oraz przepisami
wykonawczymi do tej ustawy określają przepisy art. 49-54 ww. ustawy.
5. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z Polityki
bezpieczeństwa traktowane są jako ciężkie naruszenie obowiązków pracowniczych. Wobec
osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub
uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego
w Polityce bezpieczeństwa, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie
z zasadami określonymi w § 12, a także gdy nie zrealizowała stosownego działania
dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne.
6. Orzeczona kara dyscyplinarna wobec osoby uchylającej się od powiadomienia osób, o których
mowa w § 12 o naruszeniu zabezpieczeń systemu informatycznego lub o uzasadnionym
domniemaniu takiego naruszenia, nie wyklucza odpowiedzialności karnej tej osoby,
wynikającej z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U.
9
2015 poz. 2135), oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego
przez administratora danych o zrekompensowanie poniesionych strat.
7. Osoby, które zostały zapoznane z Polityką bezpieczeństwa zobowiązane są do bezwzględnego
stosowania zasad w niej zawartych (oświadczenie o bezwzględnym stosowaniu zapisów
Polityki bezpieczeństwa zawarte zostało w upoważnieniu do przetwarzania danych
osobowych).
8. Upoważnienia do przetwarzania danych osobowych przechowywane są w aktach
personalnych pracowników.
9. Wszystkie regulacje określone w Polityce bezpieczeństwa dotyczą przetwarzania danych
osobowych w bazach PCPR w Makowie Maz., prowadzonych zarówno w formie
elektronicznej, jak i w formie papierowej.
10. W przypadku konieczności udostępnienia danych osobowych, administrator danych
udostępnia posiadane w zbiorze dane osobowe, osobom lub podmiotom uprawnionym do ich
otrzymania na mocy przepisów prawa.
11. Dane osobowe udostępnia się na pisemny wniosek, chyba że przepis innej ustawy stanowi
inaczej.
12. Udostępnione dane osobowe można wykorzystywać wyłącznie zgodnie z przeznaczeniem, dla
którego zostały udostępnione.
13. Niezależnie od zasad i regulacji zawartych w Polityce bezpieczeństwa, mają zastosowanie
wszelkie wewnętrzne regulaminy lub instrukcje dotyczące bezpieczeństwa ludzi i zasobów
informacyjnych oraz indywidualne zakresy zadań osób zatrudnionych przy przetwarzaniu
danych osobowych.
Załączniki do Polityki bezpieczeństwa:
- Załącznik nr 1: wzór Oświadczenia o zachowaniu poufności danych osobowych;
- Załącznik nr 2: wzór Upoważnienia do przetwarzania danych osobowych;
- Załącznik nr 3: wzór Raportu z naruszenia bezpieczeństwa ochrony danych osobowych
w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim;
- Załącznik nr 4: Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe;
- Załącznik nr 5: Wykaz zbiorów danych osobowych znajdujących się w Powiatowym Centrum
Pomocy Rodzinie w Makowie Mazowieckim wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych, opis struktury zbiorów danych osobowych przetwarzanych
w PCPR w Makowie Maz., wskazujących zawartość poszczególnych pól informacyjnych
i powiązania między nimi oraz określenie sposobu przepływu danych pomiędzy systemami;
- Załącznik nr 6: Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
10
Załącznik Nr 1
do Polityki bezpieczeństwa danych osobowych
Wzór Oświadczenia o zachowaniu poufności danych osobowych
………………………………….
miejscowość, data
Oświadczenie o zachowaniu poufności danych osobowych
Ja, niżej podpisana/y
................................................................................................................zatrudniona/y na stanowisku
………………………………………………/ na podstawie umowy nr ……… z dnia …………....
zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich
zabezpieczania, pod rygorem odpowiedzialności karnej określonej w ustawie z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. 2015 poz. 2135), przetwarzanych
przeze mnie w związku z świadczeniem pracy na rzecz Powiatowego Centrum Pomocy Rodzinie
w Makowie Mazowieckim.
Jednocześnie zobowiązuję się do stosowania przepisów ww. ustawy, zapisów Polityki
bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie
Mazowieckim oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim.
………..............................................
(data i czytelny podpis)
11
Załącznik Nr 2
Wzór upoważnienia do przetwarzania danych osobowych
…………………………………
…………………….…………..
(miejscowość, data)
ul. …………………
06-…….........
UPOWAŻNIENIE
DO PRZETWARZANIA DANYCH OSOBOWYCH
Na podstawie art. 7 pkt 4 oraz art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (t.j. Dz.U. 2015 poz. 2135), upoważniam……………………………………………
…………………………………………zatrudnioną/nego na stanowisku ………………………,
na podstawie umowy nr ….. z dnia ………… do przetwarzania danych osobowych w zakresie:
…………………………………………………………………………………………..
Niniejszego upoważnienia udziela się do dnia ustania zatrudnienia w Powiatowym Centrum
Pomocy Rodzinie w Makowie Mazowieckim.
Niniejsze upoważnienie może zostać cofnięte w każdym czasie.
Po utracie ważności upoważnienia zobowiązuję ww. osobę do zwrotu upoważnienia
administratorowi danych osobowych.
Osoba upoważniona do przetwarzania danych osobowych ponosi odpowiedzialność karną za
przetwarzanie danych osobowych niezgodnie z ustawą o ochronie danych osobowych, zgodnie
z postanowieniamii rozdziału 8 ww. ustawy.
.......................................................
Administrator danych osobowych
Ja niżej podpisana/y zobowiązuję się do:
1) zachowania w tajemnicy danych osobowych, do których zostałem upoważniona/ny oraz
sposobów ich zabezpieczenia (art. 39 ust. 2 ustawy o ochronie danych osobowych).
Przyjmuję do wiadomości i stosowania, że ww. obowiązek trwa również po ustaniu
zatrudnienia w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim,
2) bezwzględnego stosowania przepisów ustawy o ochronie danych osobowych oraz aktów
wykonawczych do ww. ustawy, zapisów Polityki bezpieczeństwa danych osobowych
w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim oraz Instrukcji
zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim.
………..………………………
(data i podpis pracownika)
Otrzymałam/em:
…………………………….
(data i podpis pracownika)
12
Załącznik Nr 3
Wzór Raportu z naruszenia bezpieczeństwa ochrony danych osobowych w Powiatowym
Centrum Pomocy Rodzinie w Makowie Mazowieckim
Raport z naruszenia bezpieczeństwa ochrony danych osobowych
w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim
1. Data: ..............................................................., godzina:..........................................................
(dd.mm.rr)
(00:00)
2. Osoba powiadamiająca o zaistniałym zdarzeniu:
.............................................................................................................................................................
(imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje))
3. Lokalizacja zdarzenia:
.............................................................................................................................................................
(np. numer pokoju, nazwa pomieszczenia)
4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:
.............................................................................................................................................................
.............................................................................................................................................................
5. Podjęte działania:
.............................................................................................................................................................
.............................................................................................................................................................
6. Przyczyny wystąpienia zdarzenia:
.............................................................................................................................................................
.............................................................................................................................................................
7. Postępowanie wyjaśniające:
.............................................................................................................................................................
.............................................................................................................................................................
.....................................................................................................................
(data i podpis administratora bezpieczeństwa informacji lub administratora danych)
13
Załącznik Nr 4
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe
Za obszar przetwarzania danych uznaje się obszar, w którym wykonywane są operacje na
danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych.
Lp.
1.
Nazwa
Lokalizacja
Nr pokoju
(adres)
(piętro)
Powiatowe Centrum
ul. Duńskiego Czerwonego
parter – pokoje:
Pomocy Rodzinie
Krzyża 3
nr 1, nr 2, nr 3,
06-200 Maków Mazowiecki
nr 7, nr 8
I piętro – pokoje:
nr 9, nr 10, nr 11,
nr 12
2.
Składnica akt
I piętro
Krzyża 3A
3.
Serwerownia
I piętro
Krzyża 3
14
Załącznik Nr 5
Wykaz zbiorów danych osobowych znajdujących się w Powiatowym Centrum Pomocy
Rodzinie w Makowie Mazowieckim wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych, opis struktury zbiorów danych osobowych przetwarzanych
w PCPR w Makowie Maz., wskazujących zawartość poszczególnych pól informacyjnych
i powiązania między nimi oraz określenie sposobu przepływu danych pomiędzy systemami.
I.
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych.
Lp.
Nazwa zbioru
1.
2.
Rejestr skarg i wniosków
Ewidencja osób ubiegających
się o miejsce w domu pomocy
społecznej
Ewidencja osób
korzystających ze środków
PFRON
3.
Sposób
przetwarzania
danych w zbiorze
(tradycyjny,
komputerowy)
Tradycyjny
Tradycyjny
i komputerowy
Nazwa, rodzaj
programu
zastosowanego do
przetwarzania danych
Tradycyjny
i komputerowy
Programy:
- „Microsoft Word“
- „Microsoft Excel“
- „PUMA-FK“
Programy:
- „Microsoft Excel“
- „PUMA-FK“
Programy:
- „Pomost“
- „PUMA-FK“
- „Rodziny zastępcze
ewidencja rodzin,
dzieci i ich
świadczeń”
Programy:
- „Pomost“
- „PUMA-KADRY“
- „PUMA-PŁACE“
- „PUMA-FK“
- „Rodziny zastępcze
ewidencja rodzin,
dzieci i ich
świadczeń”
Program „Microsoft
Word“
Word“
4.
Dofinansowanie ze środków
PFRON w ramach programu
„Aktywny samorząd“
Tradycyjny
i komputerowy
5.
Ewidencja osób
korzystajacych z pomocy
społecznej
Tradycyjny
i komputerowy
6.
Wspieranie rodziny i rodzinna
piecza zastępcza
Tradycyjny
i komputerowy
7.
Wnioski o udostępnienie
informacji publicznej
Petycje
Tradycyjny
i komputerowy
Tradycyjny
i komputerowy
8.
Uwagi
Word“
15
9.
Zamówienia publiczne
Tradycyjny
i komputerowy
Programy:
− „Microsoft Word“
− „Microsoft Excel“
Programy:
- „PUMA-KADRY“
- „PUMA-PŁACE“
- „PUMA-FK“
Programy:
- „PUMA-KADRY“
- „PUMA-PŁACE“
- „PUMA-FK“
10.
Ewidencja pracowników
i stażystów w PCPR
w Makowie Maz.
Tradycyjny
i komputerowy
11.
Zleceniobiorcy, wykonawcy
i dostawcy PCPR w Makowie
Maz.
Tradycyjny
i komputerowy
II.
Opis struktury zbiorów danych osobowych przetwarzanych w Powiatowym Centrum
Pomocy Rodzinie w Makowie Mazowieckim wskazujących zawartość poszczególnych
pól informacyjnych i powiązania między nimi
Zbiór:
- Ewidencja osób korzystających ze środków PFRON
Program „PUMA-FK“ umożliwia pośredni dostęp do następujących danych osobowych:
• imię i nazwisko wnioskodawcy,
• numer dowodu osobistego,
• PESEL,
• miejsce zamieszkania,
• numer rachunku bankowego.
- Dofinansowanie ze środków PFRON w ramach programu „Aktywny samorząd“
• numer dowodu osobistego,
• numer konta bankowego.
Program „Microsoft Excel“ umożliwia pośredni dostęp do następujących danych osobowych:
• PESEL,
• kwota przyznanego dofinansowania,
• dane uczelni.
- Ewidencja osób korzystajacych z pomocy społecznej
• imię i nazwisko,
16
•
•
•
•
numer dowodu osobistego,
PESEL,
miejsce zamieszkania,
numer rachunku bankowego.
Program „Rodziny zastępcze ewidencja rodzin, dzieci i ich świadczeń” umożliwia pośredni
dostęp do następujących danych osobowych:
•
•
•
•
•
•
•
•
•
•
imię i nazwisko rodziny zastępczej,
adres zamieszkania rodziny zastępczej,
numer telefonu rodziny zastępczej,
numer rachunku bankowego rodziny zastępczej,
data i miejsce urodzenia dziecka/rodziców zastępczych,
imię i nazwisko pełnoletniej wychowanki,
adres zamieszkania pełnoletniej wychowanki,
numer telefonu pełnoletniej wychowanki,
numer rachunku bankowego pełnoletniej wychowanki,
kwoty świadczeń.
Program „Pomost” umożliwia pośredni dostęp do następujących danych osobowych:
•
•
•
•
imię i nazwisko,
PESEL,
data urodzenia,
adres zamieszkania.
- Wspieranie rodziny i rodzinna piecza zastępcza
Programy „PUMA-FK“, „PUMA-KADRY“, „PUMA-PŁACE“ umożliwiają pośredni dostęp
do następujących danych osobowych:
•
•
•
•
•
imię i nazwisko,
PESEL,
Program „Rodziny zastępcze ewidencja rodzin, dzieci i ich świadczeń” umożliwia pośredni
dostęp do następujących danych osobowych:
•
•
•
•
•
•
•
numer telefonu rodziny zastępczej,
numer rachunku bankowego rodziny zastępczej,
imiona i nazwiska dzieci w rodzinach zastępczych,
data i miejsce urodzenia dzieci przebywających w rodzinie zastępczej,
17
•
•
•
•
numer telefonu pełnoletniej wychowanki,
numer rachunku bankowego pełnoletniej wychowanki,
kwoty świadczeń.
Program „Pomost” umożliwia pośredni dostęp do następujących danych osobowych:
•
•
•
•
imię i nazwisko,
PESEL,
data urodzenia,
adres zamieszkania.
Program „Microsoft Excel“ umożliwia pośredni dostęp do następujących danych osobowych:
•
•
•
•
•
•
•
•
imiona i nazwiska dzieci w rodzinach zastępczych,
data urodzenia dzieci przebywających w rodzinie zastępczej,
kwoty świadczeń za dany miesiąc,
kwoty świadczeń.
- Ewidencja pracowników i stażystów w PCPR w Makowie Maz.
•
•
•
•
•
imię i nazwisko,
PESEL,
- Zleceniobiorcy, wykonawcy i dostawcy PCPR w Makowie Maz.
•
•
•
•
•
imię i nazwisko,
PESEL,
18
Sposób przepływu danych osobowych przetwarzanych w Powiatowym Centrum Pomocy
Rodzinie w Makowie Mazowieckim pomiędzy systemami
Przepływ danych pomiędzy systemami odbywa się w:
- zbiorze: ewidencja osób korzystających z pomocy społecznej
Pomost
Przesyłane dane osobowe:
(imię i nazwisko, PESEL)
Statystyczna
Aplikacja
Centralna
- zbiorze: wspieranie rodziny i rodzinna piecza zastępcza
Program
PUMA-FK
(imię i nazwisko, składki przekazywane do ZUS)
Płatnik
(program
zusowski)
19
Pomost
(imię i nazwisko, PESEL)
Statystyczna
Aplikacja
Centralna
Program
PUMA-KADRY
(imię i nazwisko, PESEL, kwota wynagrodzenia)
Program
PUMA-PŁACE
- zbiorze: ewidencja pracowników i stażystów w PCPR w Makowie Maz.
Program
PUMA-KADRY
20
(imię i nazwisko, PESEL, kwota wynagrodzenia, nieobecności pracowników)
Program
PUMA-PŁACE
- zbiorze: zleceniobiorcy, wykonawcy i dostawcy PCPR w Makowie Maz
Program
PUMA-KADRY
(imię i nazwisko, PESEL, kwota wynagrodzenia)
Program
PUMA-PŁACE
Załącznik Nr 6
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
I.
Środki ochrony fizycznej
1. Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane
przed dostępem osób nieupoważnionych.
21
2. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe
jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych
osobowych oraz w warunkach zapewniających bezpieczeństwo danych.
II. Środki sprzętowe, informatyczne i telekomunikacyjne
1. Zastosowano kontrolowane otwieranie i zamykanie pomieszczeń, w których są przetwarzane
dane osobowe, polegające na otwarciu pomieszczenia przez pierwszą osobę, która rozpoczyna
pracę oraz zamknięciu pomieszczenia przez ostatnią osobę kończącą pracę i wychodzącą
z tego pomieszczenia i nie pozostawianiu pomieszczenia w czasie godzin pracy bez nadzoru.
2. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób
mechaniczny za pomocą niszczarek dokumentów.
3. Co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych
osobowych połączone jest z siecią publiczną.
4. Lokalizacja urządzeń komputerowych (komputerów typu PC, terminali, drukarek)
uniemożliwia osobom niepowołanym dostęp do nich oraz wgląd do danych wyświetlanych na
monitorach komputerowych.
5. System operacyjny zapewnia odpowiednie restrykcje w zakresie dostępu do danych
i aplikacji.
6. Zastosowano urządzenia typu UPS, chroniące system informatyczny służący do
przetwarzania danych osobowych przed awarią zasilania.
a. Środki ochrony w ramach oprogramowania urządzeń teletransmisji
Proces teletransmisji zabezpieczony jest za pomocą środków uwierzytelnienia.
b. Środki ochrony w ramach oprogramowania systemu
1. Zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do
zasobów informatycznych dla poszczególnych użytkowników systemu informatycznego.
2. W systemie operacyjnym, w którym nie następuje okresowo automatyczne wymuszanie
zmiany hasła, do zmiany hasła zobowiązany jest użytkownik systemu.
3. Serwery obsługujące bazę danych oraz stanowiska komputerowe służące do przetwarzania
danych osobowych dostępne są wyłącznie po przeprowadzeniu prawidłowego procesu
autoryzacji (system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń
systemowych lub zakaz wykonywania poleceń systemowych (restricted Shell).
4. W programach „PUMA” i „Pomost” zastosowano system rejestracji dostępu do zbioru danych
osobowych.
5. Zastosowano oprogramowanie umożliwiające wykonanie kopii zapasowych zbiorów danych
osobowych.
6. Zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu
informatycznego – firewall, program antywirusowy.
c. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych
1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia
z wykorzystaniem identyfikatora użytkownika oraz hasła.
2. W programach „PUMA” i „Pomost” zastosowano funkcję umożliwiającą rejestrację
identyfikatora użytkownika wprowadzającego dane osobowe.
3. Wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych
osobowych.
4. Zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych.
5. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji.
6. Dla każdego użytkownika systemu jest ustalony odrębny identyfikator.
22
7. W systemie operacyjnym, w którym nie następuje okresowo automatyczne wymuszanie
zmiany hasła dostępu do zbioru danych osobowych, do zmiany hasła zobowiązany jest
użytkownik systemu.
d. Środki ochrony w ramach systemu użytkowego
Zastosowano zabezpieczone hasłem wygaszanie ekranu w przypadku dłuższej nieaktywności
użytkownika.
e.
Środki organizacyjne
1. Opracowano i wdrożono Politykę bezpieczeństwa i Instrukcję.
2. Wdrożono odpowiedni podział obowiązków i kontroli dostępu.
3. Do danych osobowych mają dostęp jedynie osoby posiadające upoważnienie nadane przez
administratora danych osobowych.
4. Pracownik wyznaczony przez administratora danych prowadzi ewidencję osób
upoważnionych do przetwarzania danych osobowych.
5. Wprowadzono mechanizmy autoryzacji odpowiednio zabezpieczone przed dostępem osób
trzecich.
6. Osoby upoważnione do przetwarzania danych osobowych przed dopuszczeniem do tych
danych są szkolone w zakresie:
1) obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych
oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych
osobowych,
2) bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną
danych osobowych.
7. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane są do zachowania ich
w tajemnicy.
8. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób
uniemożliwiający wgląd osobom nieupoważnionym.
9. Tymczasowe wydruki z danymi osobowymi są po ustaniu ich przydatności niszczone
w niszczarce.
10. Zapewniono klauzule poufności z wszystkimi podmiotami zewnętrznymi mającymi dostęp do
danych osobowych.
11. Zapewnia się bezpieczne przechowywanie lub niszczenie uszkodzonych nośników
zawierających dane osobowe (np. dysk twardy) szczególnie, gdy sprzęt, w którym
zamontowany jest dany nośnik przekazywany jest do naprawy do firmy zewnętrznej.
23

Polityka bezpieczeństwa danych osobowych

Transkrypt

Podobne dokumenty

Kliknij by pobrać - Zespół Szkół im. Tadeusza Kościuszki w

Polityka Prywatności SMS.pl

Specjalistyczny Szpital im. prof. Alfreda

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w