Polityka bezpieczeństwa i ochrony przetwarzania danych osobowych wraz z instrukcją zarządzania systemem informatycznym

 POLITYKA BEZPIECZEŃSTWA I OCHRONY PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Dotyczy przetwarzania danych osobowych w formie tradycyjnej jak i za pośrednictwem systemów informatycznych.

Podstawa prawna:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2014 r. poz. 1182 z późn. zm.) oraz ustawa z dnia 29 sierpnia 1997 r. o ochronie danych oraz ustawa z dnia 7.11.2014 r.
o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), która weszła w życie dnia 15 stycznia 2015 roku nowelizująca przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926, z póź. zm.), która jednocześnie stanowi implementację dyrektywy Parlamentu Europejskiego i Rady z 24 października 1995 r. (95/46/WE)
w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U.
z
2004 r. nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych
oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Spis treści:

  1.            Polityka bezpieczeństwa    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .           3
  1. ROZDZIAŁ I. Postanowienia ogólne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .            4
    1. ROZDZIAŁ II. Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem  danych osobowych . . . . . . .  6
  • ROZDZIAŁ III. Zagrożenia bezpieczeństwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .             8
    • ROZDZIAŁ IV. Przetwarzanie danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
    • ROZDZIAŁ V. Kontrola przestrzegania zasad zabezpieczania ochrony danych osobowych . . . . . . . 13
  • ROZDZIAŁ VI. Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych . . . .   14
  • ROZDZIAŁ VII. Postępowanie w wypadku klęski żywiołowej  . . . . . . . . . . . . . . . . . . . . . . .             16
    • ROZDZIAŁ VIII. Niszczenie danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .      17
    • ROZDZIAŁ IX. Postanowienia końcowe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .        19
  1.              Załączniki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                  20
  2.            Instrukcja zarządzania systemem informatycznym . . . . . . . . . . . . . . . . . . .          41
  1. Postanowienia ogólne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                 42
    1. Użyte w instrukcji określenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .        42
    1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności . . . . . .                                                                                                                     43
  • Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem . . . . . . . . . . . . . 44
    • Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu . . . . . . . . . . . . . . 44
    • Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania . . . . . 45
    • Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych . . . . . 46
    • Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu . . . . 47
    • Sposób realizacji wymogów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                                                                                                                49
    • Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych . . . . . . . . . . . . . . . . . . . . . . . . . . 50

POLITYKA BEZPIECZEŃSTWA

OCHRONY I PRZETWARZANIA DANYCH OSOBOWYCH

wraz z załącznikami

wydana dnia ……..przez Administratora Danych Osobowych mgr Jolanta Paluch

ROZDZIAŁ I

Postanowienia ogólne

§ 1

Użyte w Polityce Bezpieczeństwa określenia oznaczają:

  1. zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
  2. administrator danych osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych,
  3. administrator bezpieczeństwa informacji – osoba wyznaczona przez administratora danych osobowych, odpowiedzialna za bezpieczeństwo danych osobowych, przetwarzanych zarówno
    w formie tradycyjnej jak i za pomocą systemów informatycznych,
  4. administrator systemu informatycznego – osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych (może to być administrator sieci lokalnej, systemu operacyjnego, bazy danych itp.),
  5. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
  6. stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie,
  7. bezpieczeństwo systemu informatycznego – wdrożenie przez administratora danych osobowych lub osobę przez niego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem,
  8. przetwarzanie danych osobowych – wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie,
  9. osoba upoważniona – osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych (lub osobę uprawnioną przez niego) i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada administrator bezpieczeństwa informacji w sytuacji kiedy zostanie powołany),
  10. użytkownik systemu – osoba posiadająca uprawnienia do przetwarzania danych osobowych
    w systemie informatycznym,
  11. osoba uprawniona – osoba posiadająca upoważnienie wydane przez administratora danych osobowych do wykonywania w jego imieniu określonych czynności,
  12. ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych oraz ustawa z dnia 7.11.2014 r.
    o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), która weszła w życie dnia 15 stycznia 2015 roku nowelizująca przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926, z póź. zm.).

5

  1. rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji
    z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
    oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

§ 2

  1. Realizując Politykę bezpieczeństwa informacji zapewnia się:
  1. poufność – informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom,
    1. integralność – dane nie zostają zmienione lub zniszczone w sposób nieautoryzowany,
    2. dostępność – istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot,
    3. rozliczalność – możliwość jednoznacznego przypisania działań poszczególnym osobom,
    4. autentyczność – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana,
    5. niezaprzeczalność – uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne,
    6. niezawodność – zamierzone zachowania i skutki są spójne,
  1. Polityka bezpieczeństwa i ochrony przetwarzania danych osobowych ma na celu zredukowanie możliwości wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj:
  1. naruszeń danych osobowych rozumianych jako prywatne dobro powierzone podmiotowi,
  2. naruszeń przepisów prawa oraz innych regulacji,
  3. utraty lub obniżenia reputacji podmiotu,
  4. strat finansowych ponoszonych w wyniku nałożonych kar,
  5. zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemów.

§ 3

  1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
  1. Zastosowane zabezpieczenia gwarantują:
  2. poufność danych –   rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
  3. integralność danych –   rozumie się przez to właściwość zapewniającą, że dane osobowe
    nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  4. rozliczalność –   rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
  5. integralność systemu –   rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek manipulacji,
  6. uwierzytelnianie –   rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
  1. Za przestrzeganie zasad ochrony i bezpieczeństwa danych w komórkach organizacyjnych
    odpowiedzialni są kierownicy tych komórek.

6

§ 4

Realizację zamierzeń określonych w § 3 ust. 2 powinny zagwarantować następujące założenia:

  1. wdrożenie procedur określających postępowanie osób zatrudnionych przy przetwarzaniu danych osobowych oraz ich odpowiedzialność za bezpieczeństwo tych danych,
  2. przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych,
  3. przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory), zapewniających im dostęp do różnych poziomów baz danych osobowych – stosownie do indywidualnego zakresu upoważnienia,
  4. podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
  5. okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych,
  6. opracowanie procedur odtwarzania systemu w przypadku wystąpienia awarii,
  7. śledzenie osiągnięć w dziedzinie bezpieczeństwa systemów informatycznych:
    1. w miarę możliwości organizacyjnych i techniczno-finansowych,
    1. wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania systemami informatycznymi, które będą służyły wzmocnieniu bezpieczeństwa danych osobowych.

§ 5

  1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
  1. nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują,
  2. wszelkie modyfikacje danych osobowych lub próby ich dokonania przez osoby nieuprawnione (np. zmian zawartości danych, utrat całości lub części danych),
  3. naruszenie lub próby naruszenia integralności systemu,
  4. zmianę lub utratę danych zapisanych na kopiach zapasowych,
  5. naruszenie lub próby naruszenia poufności danych lub ich części,
  6. nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
  7. udostępnienie osobom nieupoważnionym danych osobowych lub ich części,
  8. zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w systemy informatyczne zmierzające do zakłócenia ich działania bądź pozyskania w sposób niedozwolony (lub w celach niezgodnych z przeznaczeniem) danych zawartych w systemach informatycznych lub kartotekach,
  9. inny stan systemu informatycznego lub pomieszczeń niż pozostawiony przez użytkownika
    po zakończeniu pracy.
  1. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku
    lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań.

7

ROZDZIAŁ II

Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych

§ 6

Za przetwarzanie danych osobowych niezgodne z prawem, celami przetwarzania lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą grozi odpowiedzialność karna wynikająca z przepisów ustawy o ochronie danych osobowych lub pracownicza na zasadach określonych w kodeksie pracy.

Administrator Danych Osobowych (ADO):

  1. formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych
    przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
  2. decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych,
  3. odpowiada za zgodne z prawem przetwarzanie danych osobowych.

Administrator Bezpieczeństwa Informacji (ABI):

  1. egzekwuje zgodnie z prawem przetwarzanie danych osobowych w imieniu ADO i opracowuje sprawozdania dla GIODO,
  2. prowadzi rejestr zbiorów danych przetwarzanych przez ADO,
  3. nadzoruje opracowanie i aktualizuje dokumentację z zakresu ochrony danych osobowych,
  4. wydaje upoważnienie do przetwarzania danych osobowych określając w nich zakres i termin ważności – wzór upoważnienia określa załącznik,
  5. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych – wzór ewidencji określa załącznik,
  6. ewidencjonuje oświadczenia osób upoważnionych i zaznajomionych z zasadami zachowania bezpieczeństwa danych – wzór oświadczenia określa załącznik,
  7. określa potrzeby w zakresie stosowanych zabezpieczeń, wnioskuje do ADO o zatwierdzenie proponowanych rozwiązań i nadzoruje prawidłowość ich wdrożenia,
  8. bierze udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe
     i zapewnia odpowiedni poziom przeszkolenia w tym zakresie,

Zgodnie z ustawą z dnia 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662) (przepisy obowiązują od 1 stycznia 2015 r.) nowelizującą przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926, z póź. zm.), która jednocześnie stanowi implementację dyrektywy Parlamentu Europejskiego i Rady z 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych nastąpiły pewne zmiany dotyczące m. in. funkcjonowania administratora bezpieczeństwa administracji (ABI) dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 u.o.d.o.

8

Administrator Systemu Informatycznego (ASI):

  1. zarządza bezpieczeństwem przetwarzania danych osobowych w systemach informatycznych zgodnie z wymogami prawa i wskazówkami ABI,
  2. doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi
    z ich przetwarzaniem,
  3. przydziela identyfikatory użytkownikom systemów informatycznych oraz zaznajamia
    ich z procedurami ustalania i zmiany haseł dostępu,
  4. nadzoruje prace związane z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu,
  5. zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci
    i zabezpieczenie łączy zewnętrznych,
  6. prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe.


Pracownik
Przetwarzający Dane:

  1. chroni prawo do prywatności osób fizycznych powierzających swoje dane osobowe poprzez przetwarzanie ich zgodnie z przepisami prawa oraz zasadami określonymi w polityce bezpieczeństwa i ochrony przetwarzania danych osobowych i instrukcji zarządzania systemem informatycznym,
  2. zapoznaje się z zasadami określonymi w polityce bezpieczeństwa i ochrony przetwarzania danych osobowych i instrukcji zarządzania systemem informatycznym oraz składa oświadczenie
    o znajomości zawartych w nich przepisów.

W przypadku kiedy ADO nie powołuje ABI bądź ASI, wszystkie zapisy w dokumentacji, które odwołują się do ABI bądź ASI dotyczą ADO z wyłączeniem obowiązku sporządzania sprawozdania.

ROZDZIAŁ III

Zagrożenia bezpieczeństwa

§ 7

  1. Charakterystyka możliwych zagrożeń:
  1. zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu),
    których występowanie może prowadzić do utraty integralności danych, ich zniszczenia
    i uszkodzenia infrastruktury technicznej systemu,

    1. zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki przetwarzających dane, pozostawienie danych lub pomieszczeń bez nadzoru, błędy operatorów systemu, awarie sprzętowe, błędy oprogramowania), przy których może dojść do zniszczenia danych
      lub naruszenia ich poufności,
    1. zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia, gdzie występują naruszenia poufności danych. Zagrożenia te możemy podzielić na: nieuprawniony dostęp
      z zewnątrz (włamanie) oraz nieuprawniony dostęp do danych w wewnątrz (przez osoby nieuprawnione).

§ 8

9

  1. Lista możliwych zagrożeń bezpieczeństwa danych.

Poniżej przedstawiono listę zagrożeń bezpieczeństwa danych z podziałem na zagrożenia miejsc przetwarzania oraz rodzajów danych, tj. zbiorów przetwarzanych tradycyjnie (papierowo)
oraz z wykorzystaniem systemów informatycznych.

W każdym przypadku, w sytuacji stwierdzenia wystąpienia któregokolwiek z zagrożeń należy niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji.

  1. Zagrożenia miejsc przetwarzania danych:
  2. włamania od strony okien – wybite szyby, niedomknięte skrzydła,
  3. włamania od strony drzwi – zerwane plomby, uszkodzone klamki, źle działające zamki, niedomknięte drzwi, ślady po narzędziach,
  4. oddziaływanie czynników zewnętrznych – wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana,
  5. pozostawienie niezamkniętych drzwi lub okien – jeżeli w pomieszczeniu nie pozostają osoby uprawnione do przetwarzania danych,
  6. pozostawienie bez nadzoru osób nieuprawnionych do przebywania w pomieszczeniach.
  • Zagrożenia związane z tradycyjnym przetwarzaniem danych:
  • pozostawienie danych na biurkach, półkach, regałach, itp. po zakończeniu pracy,
  • pozostawienie dokumentów zawierających dane osobowe w kserokopiarce lub skanerze,
  • pozostawienie po zakończeniu pracy otwartych szaf, w których gromadzone są dane osobowe,
  • przechowywanie dokumentów w miejscach do tego nieprzeznaczonych,
  • wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie,
  • przetwarzanie danych przez osoby nieuprawione,
  • nieuzasadnione sporządzanie kserokopii danych.
  • Zagrożenia związane z przetwarzaniem danych za pomocą systemów informatycznych:
  • dopuszczenie zapisywania na nośniki zewnętrzne wynoszone poza obszar przetwarzania
    lub przesyłanie poprzez Internet danych niezaszyfrowanych,
  • dopuszczanie do nieuzasadnionego kopiowania dokumentów i utraty kontroli nad kopią,
  • sporządzanie kopii danych w sytuacjach nieprzewidzianych procedurą,
  • utrata kontroli nad kopią danych osobowych,
  • podmiana lub zniszczenie nośników z danymi osobowymi,
  • pozostawienie zapisanego hasła dostępu do bazy danych,
  • samodzielne instalowanie jakiegokolwiek oprogramowania,

10

  • obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania,
  • opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych,
  • odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym,
  • niezabezpieczenie komputera zasilaczem awaryjnym podtrzymującym napięcie
    na wypadek braku zasilania,
  • dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania osób nieuprawnionych,
  • ujawnianie sposobu działania aplikacji oraz jej zabezpieczeń osobom niepowołanym,
  • ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej,
  • dopuszczenie, aby inne osoby odczytywały zawartość ekranu monitora,
    na którym wyświetlane są dane osobowe,
  • pojawianie się komunikatów alarmowych,
  • awarie sprzętu i oprogramowania, które mogą wskazywać na działanie osób trzecich,
  • nieoczekiwane, niedające się wyjaśnić zmiany zawartości bazy danych,
  • niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych,
  • próba nieuzasadnionego przeglądania danych w ramach pomocy technicznej,
  • dopuszczanie aby osoby inne niż ASI lub osoby przez ASI uprawnione podłączały jakiekolwiek urządzenia, demontowały elementy sieci lub dokonywały innych manipulacji,
  • ślady manipulacji przy układach sieci komputerowej lub komputerach,
  • obecność nowych urządzeń i kabli o nieznanym przeznaczeniu i pochodzeniu,
  • naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji.

§ 9

  1. Przedsięwzięcia zabezpieczające przed naruszeniem ochrony danych osobowych.

Na podstawie przeprowadzonej charakterystyki możliwych zagrożeń  podjęto zabezpieczenia,
które powinny bezpośrednio oddziaływać na procesy przetwarzania danych – Administrator Danych wprowadza określone poniżej środki organizacyjne:

  1. przetwarzanie danych osobowych w Jednostce może odbywać się wyłącznie w ramach wykonywania zadań służbowych – zakres uprawnień wynika z zakresu tych zadań,
  2. prowadzona jest ewidencja osób upoważnionych do przetwarzania danych,
  3. do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie – wzór upoważnienia stanowi załącznik nr 6 do niniejszej dokumentacji
  4. unieważnienie upoważnienia następuje na piśmie,
  5. każdy pracownik Placówki musi odbyć szkolenie z zakresu ochrony danych osobowych – nowo przyjęty pracownik odbywa szkolenie przed przystąpieniem do przetwarzania danych,

11

  • każdy pracownik upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa,
  • nie należy gromadzić w podręcznej dokumentacji danych osobowych- wszystkie dane niezbędne do prawidłowej pracy powinny znajdować się w zbiorach. Jeżeli posiadane druki lub zestawienia są niezbędne należy je zanonimizować (usunąć dane osobowe, np. adres, pesel, pozostawiając tylko nazwiska, imiona itd.),
  • dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach,
  • każdorazowe zbieranie danych zgodnie z art. 24 oraz 25 ustawy o ochronie danych osobowych rodzi obowiązek informacyjny. Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi,
  • monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
  • dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza Placówkę lub przesyłane pocztą elektroniczną należy zabezpieczyć poprzez nadanie im haseł odczytu
  • zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa zapisywanych na zewnętrznych nośnikach i przechowywanie pod zamknięciem,
  • pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów,
    z których pochodzą przetwarzane w nich dane i odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji zarządzania systemem informatycznym będącej częścią niniejszej dokumentacji.

§ 10

Wykaz potencjalnych środków technicznych stosowanych w celu ochrony danych osobowych

  1. Ogólna ochrona budynku – alarm antywłamaniowy, całodobowy dozór służb ochrony, gaśnice lub systemy p-poż.
  2. Zabezpieczenia okien – pomieszczenia zlokalizowane na parterze lub wyższych kondygnacjach można dodatkowo zabezpieczyć poprzez montaż krat, rolet lub szyb antywłamaniowych, zwłaszcza, jeśli istnieje do nich dostęp przez tarasy, dachy niższych budynków, drabiny p-poż, itp.
  3. Zabezpieczenia drzwi – w zależności od kategorii danych i zagrożeń można stosować drzwi tradycyjne zamykane na klucz lub p-pożarowe, zaś w miejscach szczególnie narażonych na zagrożenia (drzwi wejściowe, sekretariaty, księgowość, archiwa, itp.) należy stosować drzwi antywłamaniowe.
  4. Zabezpieczenia zbiorów tradycyjnych (papierowych) – w zależności od kategorii danych
    i zagrożeń do przechowywania danych można stosować szafy tradycyjne zamykane na klucz, szafy metalowe lub sejfy (dla danych szczególnie ważnych). Dane przeznaczone do zniszczenia należy niszczyć w specjalistycznych niszczarkach.
  5. Zabezpieczenia zbiorów elektronicznych – dane elektroniczne należy zabezpieczyć poprzez wyposażenie komputerów w zasilacze awaryjne podtrzymujące napięcie na wypadek braku zasilania oraz w systemy antywirusowe i oprogramowanie firewall. Kopie danych należy gromadzić w szafach metalowych lub sejfach ognioodpornych, które są przechowywane w innym pomieszczeniu niż komputer / serwer z danymi.

Lista zastosowanych w placówce środków technicznych dobrana odpowiednio do istniejących zagrożeń znajduje się w załączniku nr 5 do niniejszego dokumentu.

12

ROZDZIAŁ IV

Przetwarzanie danych osobowych

§ 11

  1. Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego oraz kartotek odbywa się wyłącznie na obszarze wyznaczonym przez Administratora Danych Osobowych.
  2. Przetwarzanie danych osobowych za pomocą urządzeń przenośnych może odbywać się
    poza obszarem przetwarzania danych wyłącznie za zgodą Administratora Danych Osobowych
    czy też Administratora Bezpieczeństwa Informacji w przypadku gdy został powołany.
  3. Wykaz pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe określa załącznik nr 5 Polityki Bezpieczeństwa.

§ 12

W celu ograniczenia dostępu osób postronnych do pomieszczeń, w których zlokalizowano przetwarzanie danych osobowych należy zapewnić aby:

  1. wydawanie kluczy do pomieszczeń podlegało rejestracji, z jednoczesnym poświadczeniem
    przez osobę odbierającą faktu otrzymania kluczy o oznaczonym numerze,
  2. pomieszczenia, w których znajdują się serwery były wyposażone w sprawne systemy ochrony przeciwwłamaniowej,
  3. pracownicy Administratora Danych Osobowych oraz pracownicy ochrony są zobowiązani
    do przestrzegania zasad określających dopuszczalne sposoby przemieszczania się osób trzecich
    w obrębie pomieszczeń, w których przetwarzane są dane osobowe,
  4. przebywanie osób trzecich w pomieszczeniach może odbywać się wyłącznie w obecności osób upoważnionych lub za pisemną zgodą Administratora Danych Osobowych.

§ 13

  1. Stały dostęp do pomieszczeń w których przetwarzane są dane osobowe mają tylko osoby upoważnione.
  2. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe osób innych niż wymienione
    w ust. 1 jest możliwy wyłącznie za pisemną zgodą Administratora Danych Osobowych.
  3. Przebywanie osób upoważnionych po godzinach pracy w pomieszczeniach, w których przetwarzane są dane osobowe jest dopuszczalne jedynie za zgodą kierownika komórki organizacyjnej.

§ 14

W trakcie prac technicznych wykonywanych przez osoby trzecie w pomieszczeniach, przetwarzanie danych jest zabronione.

§ 15

  1. Administrator Danych Osobowych czy też Administrator Bezpieczeństwa Informacji
    w przypadku, gdy został wyznaczony jest odpowiedzialny za całość zagadnień dotyczących ochrony i bezpieczeństwa danych osobowych.
  2. W celu sprawnego wykonywania swoich zadań Administrator Bezpieczeństwa Informacji jest uprawniony do wnioskowania do Administratora Danych Osobowych celem wyznaczania kierownikom komórek organizacyjnych (jeżeli takowe istnieją) oraz osobom upoważnionym wykonywania określonych zadań.

13

  1. Kierownicy komórek organizacyjnych zobowiązani są do przestrzegania przepisów o ochronie danych osobowych na terenie podległych komórek organizacyjnych, a także do ścisłej współpracy z Administratorem Danych Osobowych oraz Administratorem Bezpieczeństwa Informacji. W tym celu zobowiązani są do:
  1. pisemnego wnioskowania o rejestrację nowych zbiorów danych osobowych,
  2. okresowego składania pisemnej informacji z przebiegu bieżącej kontroli i oceny funkcjonowania mechanizmów zabezpieczeń i ochrony,
  3. występowania z wnioskami w sprawie wprowadzenia niezbędnych zmian w zakresie ochrony danych osobowych.

§ 16

Szczegółowy wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania określa załącznik nr 3 polityki bezpieczeństwa i ochrony przetwarzania danych osobowych.

§ 17

Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych
i powiązania między nimi oraz sposób przepływu danych określa załącznik nr 4 polityki bezpieczeństwa i ochrony przetwarzania danych osobowych.

Rozdział V

Kontrola przestrzegania zasad zabezpieczenia ochrony danych osobowych

§ 18

  1. Administrator Danych Osobowych bądź też Administrator Bezpieczeństwa Informacji, jeżeli został powołany, sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych.
  2. Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji czyli osoba przez niego wyznaczona dokonuje okresowych kontroli i oceny funkcjonowania mechanizmów zabezpieczeń oraz przestrzegania zasad postępowania w przypadku naruszenia ochrony danych osobowych.
  3. Przedmiotem kontroli, o których mowa w ust. 2 powinno być w szczególności:
  4. funkcjonowanie zabezpieczeń systemowych,
  5. prawidłowe funkcjonowanie mechanizmów kontroli dostępu do zbioru danych,
  6. funkcjonowanie zastosowanych zabezpieczeń fizycznych,
  7. zasady przechowywania kartotek,
  8. zasady i sposoby likwidacji oraz archiwizowania zbiorów archiwalnych,
  9. realizacja procedur wdrożonych przez Administratora Danych Osobowych w zakresie ochrony danych.
  1. Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji prowadzi rejestr dokonywanych kontroli oraz ustaleń, wniosków i zaleceń z nich wynikających, a także nadzoruje ich wykonywanie.
  2. Z kontroli, o których mowa w ust. 2 należy sporządzać protokoły, które przechowuje Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji w przypadku, gdy został powołany.

14

Rozdział VI

Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych

§ 19

  1. Przed przystąpieniem do pracy użytkownik systemu obowiązany jest dokonać sprawdzenia stanu urządzeń komputerowych oraz oględzin swojego stanowiska pracy, w tym zwrócić szczególną uwagę, czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
  2. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik systemu zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji.
  3. Obowiązek określony w ust. 2 ciąży równie na pozostałych pracownikach Administratora Danych Osobowych.
  4. Postanowienia ust. 2 i 3 mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych gromadzonych w systemach informatycznych,
    jak i w kartotekach.

§ 20

  1. Do czasu przybycia Administratora Danych Osobowych czy też Administratora Bezpieczeństwa  zgłaszający:
  1. powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności mogących spowodować zatarcie lub naruszenie śladów bądź innych dowodów,
    1. zabezpiecza elementy systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osobom nieupoważnionym,
    1. podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.
  1. Postanowienia ust. 1 mają zastosowanie zarówno w przypadku naruszenia, jak i w przypadku podejrzenia naruszenia ochrony danych.

§ 21

W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji
po przybyciu na miejsce:

  1. ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których przetwarzane są dane oraz stan urządzeń, a także identyfikuje wielkość negatywnych następstw incydentu,
  2. wysłuchuje relacji osoby, która dokonała powiadomienia,
  3. podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych.

W uzasadnionych przypadkach w razie stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych Administrator Bezpieczeństwa Informacji (jeżeli został powołany) niezwłocznie powiadamia o tym fakcie Administratora Danych Osobowych.

15

§ 22

  1. Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji (w przypadku gdy został wyznaczony) sporządza z przebiegu zdarzenia raport, w którym powinny się znaleźć
    w szczególności informacje o:
  1. dacie i godzinie powiadomienia,
  2. godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane,
  3. sytuacji, jaką zastał,
  4. podjętych działaniach i ich uzasadnieniu.
  1. Kopia raportu w przypadku, gdy raport sporządził Administrator Bezpieczeństwa Informacji przekazywana jest bezzwłocznie do Administratora Danych Osobowych.

§ 23

  1. Administrator Danych Osobowych lub osoba przez niego wyznaczona, czyli Administrator Bezpieczeństwa Informacji podejmuje kroki zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych i zapobieżenia wystąpieniu ich w przyszłości. W tym celu:
  1. w miarę możliwości przywraca stan zgodny z zasadami zabezpieczenia systemu,
    1. w przypadku, gdy na miejscu zdarzenia znajduje się Administrator Bezpieczeństwa Informacji, zobowiązany jest przekazać raport o zaistniałej sytuacji do Administratora Danych Osobowych,
    1. o ile taka potrzeba zachodzi, postuluje wprowadzenie nowych form zabezpieczenia, a w razie ich wprowadzenia nadzoruje zaznajamianie z nimi osób zatrudnionych przy przetwarzaniu danych osobowych.
  1. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej u Administratora Danych Osobowych dyscypliny pracy, Administrator Bezpieczeństwa Informacji (jeżeli został powołany) wnioskuje do Administratora Danych Osobowych o wyjaśnienie wszystkich okoliczności incydentu i o podjęcie stosownych działań  wobec osób, które dopuściły się tego uchybienia.

§ 24

W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia
od Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji (w przypadku
gdy został wyznaczony).

§ 25

  1. W przypadku zaginięcia komputera lub nośników, na których były zgromadzone dane osobowe, użytkownik posługujący się komputerem niezwłocznie powiadamia Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji, a w przypadku kradzieży występuje
    o powiadomienie jednostki policji.
  2. W sytuacji, o której mowa w ust. 1 Administrator Danych Osobowych lub upoważniona przez niego osoba, czyli Administrator Bezpieczeństwa Informacji, podejmuje niezbędne kroki
    do wyjaśnienia okoliczności zdarzenia, sporządza protokół z zajęcia, który powinna podpisać także osoba, której skradziono lub której zaginął sprzęt.

16

  1. W przypadku kradzieży komputera razem z nośnikiem magnetycznym lub elektronicznym Administrator Danych Osobowych lub Administrator Bezpieczeństwa (w przypadku gdy został wyznaczony) podejmuje działania zmierzające do odzyskania utraconych danych oraz nadzoruje proces przebiegu wyjaśnienia sprawy.

§ 26

Osoba zatrudniona przy przetwarzaniu danych osobowych za naruszenie obowiązków wynikających
z niniejszej Polityki bezpieczeństwa oraz przepisów o ochronie danych osobowych ponosi odpowiedzialność przewidzianą w Regulaminie Pracy, Kodeksie Pracy oraz wynikając z ustawy
o ochronie danych osobowych.

ROZDZIAŁ VII

Postępowanie w wypadku klęski żywiołowej

§ 27

Klęską żywiołową jest katastrofa spowodowana działaniem sił przyrody takich jak ogień, huragan, woda lub ich przejawami.

§ 28

W przypadku wystąpienia zagrożenia powodującego konieczność przeprowadzenia ewakuacji osób
lub mienia z pomieszczeń, w których przetwarzane są dane osobowe mają zastosowanie przepisy niniejszego rozdziału oraz innych przepisów szczególnych.

§ 29

  1. O zagrożeniu, jego skali i podjętych krokach zaradczych pracownik ochrony zobowiązany jest niezwłocznie powiadomić Administratora Danych Osobowych w każdy możliwy sposób. W razie niemożności skontaktowania się z nim pracownik ochrony zawiadamia, co najmniej jedną
    z wymienionych osób:
  1. Administratora Bezpieczeństwa Informacji w przypadku, gdy został wyznaczony,
    1. Administratora Systemów Informatycznych w przypadku, gdy został wyznaczony.
  1. Numery telefonów administratora danych osobowych i administratora bezpieczeństwa informacji w przypadku gdy został wyznaczony, z którymi należy się kontaktować na wypadek klęski żywiołowej powinny być znane pracownikom.

§ 30

Osoby biorące udział w akcji ratunkowej, mają prawo wejść do pomieszczeń w których przetwarzane są dane osobowe bez dopełniania obowiązku, o którym mowa w § 13 dokumentacji.

 § 31

W przypadku ogłoszenia alarmu ewakuacyjnego użytkownicy przebywający w pomieszczeniach,
w których przetwarzane są dane osobowe obowiązani są do przerwania pracy, a w miarę możliwości przed opuszczeniem tych pomieszczeń do:

  1. zamknięcia systemu informatycznego,
    1. zabezpieczenia danych osobowych gromadzonych w kartotekach.

17

§ 32

  1. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator Danych Osobowych czy też Administrator Bezpieczeństwa Informacji (jeżeli został wyznaczony) oraz obecni użytkownicy powinni w miarę możliwości zabezpieczać dane osobowe przed nieuprawnionym do nich dostępem.
  2. Obowiązek ten ciąży w równym stopniu na innych pracownikach Administratora Danych Osobowych obecnych przy akcji ratunkowej.

ROZDZIAŁ VIII

Niszczenie danych osobowych

§ 33

Ustawa o ochronie danych osobowych nakłada na podmioty zobowiązane do jej stosowania obowiązek należytego przetwarzania takich danych tak, aby spełniony został podstawowy cel ustawy w postaci zapewnienia każdemu ochrony dotyczących go danych osobowych. Jednym z obowiązków Administratora Danych Osobowych w zakresie ich przetwarzania jest ich usuwanie, w momencie kiedy ustanie celowość ich przetwarzania zgodnie z wytycznymi wynikającymi z odrębnych ustaw.

Usuwanie danych osobowych, polega na:

  1. trwałym, fizycznym ich zniszczeniu wraz z ich nośnikami w stopniu uniemożliwiającym
    ich odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,
    1. anonimizacji zbiorów danych osobowych polegającej na pozbawieniu danych osobowych,
      ich zbiorów – cech umożliwiających identyfikację osób fizycznych, których dane dotyczą.

Usuwanie danych osobowych jest zależne od rodzaju nośnika, na którym są przechowywane.

  1. Dokumentacja tradycyjna (wydruki, notatki, dokumenty) – należy dokumentację zniszczyć bądź zanonimizować w sposób uniemożliwiający odczyt. Zgodnie z obowiązującą normą DIN 66399 opracowaną przez Standards Committee for Information Technology and Applications (Komitet Normalizacyjny ds. Technik Informacyjnych i ich Zastosowań) niszczarki stosowane do niszczenia danych osobowych powinny spełniać poniższe wymagania:
  2. Klasa B: Ochrona przeznaczona dla danych poufnych, przeznaczonych dla wąskiego grona odbiorców.Stopień 3: Nośniki z danymi chronionymi i poufnymi, a także danymi osobowymi, które wymagają większej ochrony – kategoria P-3 dla papieru,

18

  • Stopień 4: Nośniki z danymi szczególnie chronionymi i poufnymi,
    a także z danymi osobowymi, które podlegają większej ochronie, takie jak dane wrażliwe – kategoria P-4 dla papieru,
  1. Nośniki optyczne (płyty CD/DVD/BLU-RAY – Analogicznie do dokumentacji tradycyjnej, należy w taki sposób zniszczyć nośnik, aby uniemożliwić odczytanie danych z płyty. W tym przypadku również zalecane jest wykorzystanie niszczarek spełniających wymagania:
  2. Klasa B: Ochrona przeznaczona dla danych poufnych, przeznaczonych dla wąskiego grona odbiorców.Stopień 3: Nośniki z danymi chronionymi i poufnymi, a także danymi osobowymi, które wymagają większej ochrony – kategoria O-3 dla płyt CD/DVD/BLU-RAY.Stopień 4: Nośniki z danymi szczególnie chronionymi i poufnymi, a także z danymi osobowymi, które podlegają większej ochronie, takie jak dane wrażliwe – kategoria O-4 dla płyt CD/DVD/BLU-RAY,
  3. Nośniki elektroniczne (pendrive/karty pamięci/dyski twarde SSD) – obecnie istniejące sposoby niszczenia danych można podzielić na dwie główne grupy
    1. niszczenie programowe – polegające na wielokrotnym nadpisywaniu danych na nośniku, które uniemożliwiają odczytanie danych. Istnieje specjalne oprogramowanie dostępne
      na rynku służące do nadpisywania (definitywnego usuwania) danych. Wadą tej metody
      jest możliwość częściowego odzyskania danych za pomocą specjalistycznego oprogramowania, zaletą natomiast możliwość ponownego wykorzystania nośnika,
    1. niszczenie sprzętowe – polegające na trwałym zniszczeniu nośnika za pomocą odpowiednich urządzeń. Wadą tej metody jest brak możliwości ponownego wykorzystania nośnika, zaletą natomiast całkowity brak możliwości nawet częściowego odzyskania danych.
    metod:
  4. Nośniki magnetyczne (dyskietki/dyski twarde HDD) – oprócz sposobów niszczenia danych dostępnych dla nośników elektronicznych, istnieje również możliwość demagnetyzacji nośników, jako jednego z rodzajów niszczenia sprzętowego.

Niezależnie od nośnika, na którym przechowywane dane osobowe przeznaczone do zniszczenia- samo ich zniszczenie powinno odbyć się komisyjnie, a z samej operacji powinien zostać sporządzony protokół.

§ 34

Procedura niszczenia danych osobowych:

  1. niszczenie danych osobowych ma na celu zniszczenie danych zawartych na nośniku, w celu uniemożliwienia identyfikacji osób, których dane osobowe będą niszczone,

19

  1. niszczenie danych osobowych następuje wyłącznie na wniosek Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji,
  2. sposób zniszczenia danych osobowych musi być odpowiednio dobrany do rodzaju nośnika danych oraz ich kategorii,
  3. niszczenie danych osobowych musi odbywać się komisyjnie, przy czym w komisji musi znajdować się Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji,
  4. zniszczenie danych osobowych musi zostać potwierdzone spisaniem protokołu.

ROZDZIAŁ IX

Postanowienia końcowe

§ 35

Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.

§ 36

  1. Każda osoba przetwarzająca dane osobowe zobowiązane są zapoznania się z treścią Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym.
  2. Osoba upoważniona zobowiązana jest złożyć oświadczenie o tym, że została zaznajomiona z przepisami ustawy o ochronie danych osobowych, wydanymi na jej podstawie aktami wykonawczymi, obowiązującą Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym służącymi do przetwarzania danych osobowych.
  3. Oświadczenia przechowywane są w aktach personalnych pracownika.

§ 37

  1. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy ustawy
    o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych.
  2. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.

20

Załącznik nr 1

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . , dn. . . . . . . . . . .r.

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

            (Pieczęć placówki)

Powołanie na stanowisko Administratora Bezpieczeństwa Informacji

WYZNACZENIE ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2014 r. poz. 1182 z późn. zm.) z dniem …….. – …….. – ……..…….. wyznacza się:

Pana/Panią

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

na ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI.

Równocześnie nadaje się Administratorowi Bezpieczeństwa Informacji upoważnienie do przetwarzania danych osobowych w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych, do których należą:

  1. egzekwowanie zgodnie z prawem przetwarzanie danych osobowych w imieniu ADO,
  2. wydawanie upoważnień do przetwarzania danych osobowych określając w nich zakres i termin ważności – wzór upoważnienia określa załącznik,
  3. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych – wzór ewidencji określa załącznik nr 7 dokumentacji,
  4. ewidencjonowanie oświadczeń osób upoważnionych o zaznajomieniu się z zasadami zachowania bezpieczeństwa danych – wzór oświadczenia określa załącznik nr 8 dokumentacji,
  5. określanie potrzeby w zakresie stosowanych zabezpieczeń, wnioskuje do ADO o zatwierdzenie proponowanych rozwiązań i nadzorowanie prawidłowości ich wdrożenia,
  6. branie udziału w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe
    i zapewnienie odpowiedniego poziomu przeszkolenia w tym zakresie,
  7. prowadzenia rejestru zbiorów danych przetwarzanych przez ADO,
  8. opracowywania sprawozdania dla ADO w zakresie zgodności przetwarzania danych osobowych z przepisami

. . . . . . . . . . . . . . . . . . . . . . . . . .                                        . . . . . . . . . . . . . . . . . . . . .

                        data i podpis Administratora Danych                                                                 data i podpis Administratora

                               Osobowych / reprezentanta                                                            Bezpieczeństwa Informacji

Załącznik nr 2

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . , dn. . . . . . . . . . .r.

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

            (Pieczęć Firmowa)

Powołanie na stanowisko Administratora Systemu Informatycznego

WYZNACZENIE ADMINISTRATORA SYSTEMU INFORMATYCZNEGO

Na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2014 r. poz. 1182 z późn. zm.) z dniem . . . . . . . . . . . . wyznacza się:

Pana/Panią

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

na ADMINISTRATORA SYSTEMU INFORMATYCZNEGO.

Równocześnie nadaje się Administratorowi Systemu Informatycznego upoważnienie do przetwarzania danych osobowych w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych, do których należą:

  1. zarządzanie bezpieczeństwem przetwarzania danych osobowych w systemach informatycznych zgodnie z wymogami prawa i wskazówkami ABI,
  2. doskonalenie i rozwijanie metod zabezpieczenia danych przed zagrożeniami związanymi
    z ich przetwarzaniem,
  3. przydzielanie identyfikatorów użytkownikom systemów informatycznych oraz zaznajamianie ich z procedurami ustalania i zmiany haseł dostępu,
  4. nadzorowanie prac związanych z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu,
  5. zapewnianie bezpieczeństwa wewnętrznego i zewnętrznego obiegu informacji w sieci
    i zabezpieczenie łączy zewnętrznych,
  6. prowadzenie nadzoru nad archiwizacją zbiorów danych oraz zabezpieczanie elektronicznych nośników informacji zawierających dane osobowe.

. . . . . . . . . . . . . . . . . . . . . . . . . .                                        . . . . . . . . . . . . . . . . . . . . .

                   data i podpis Administratora Danych                                                  data i podpis Administratora

                          Osobowych / reprezentanta                                                             Systemu Informatycznego

Załącznik nr 3

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

WYKAZ ZBIORÓW DANYCH PRZETWARZANYCH TRADYCYJNIE I W SYSTEMIE INFORMATYCZNYM ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH I MIEJSCEM PRZETWARZANIA

l.p.Nazwa zbioru danychLokalizacja zbioru danych osobowych (budynek, pomieszczenie)Nazwa programu zastosowanego
do przetwarzania danych oraz autor programu
Uwagi
     Akta OsoboweKancelaria Przedszkola  Składnica Akt Przedszkola  
     Arkusz OrganizacyjnyKancelaria Przedszkola Składnica Akt Przedszkola  Platforma internetowa  programu Pabs 
     DziennikiSkładnica Akt Przedszkola Kancelaria Przedszkola Sale zajęć, gabinet dyrektora  
   Rejestr wydanych zaświadczeń dotyczących uczęszczania do PrzedszkolaKancelaria Przedszkola- gabinet dyrektora  
 Podania osób ubiegających się o pracęKancelaria Przedszkola-  gabinet dyrektoraQadr, Qrep- QNT   
 Dokumentacja dotycząca awansu zawodowego nauczycielaKancelaria Przedszkola- gabinet dyrektora Składnica Akt Przedszkola, Qadr, Qrep- QNT 
 Ewidencja zasobów przedszkola na potrzeby Systemu Informacji OświatowejKancelaria Przedszkola – gabinet dyrektora  Platforma internetowa Systemu Informacji Oświatowej SIO-CIE 
 Rejestr korespondencjigabinet dyrektora  EOD- MADKOM 
 Zapytanie w postępowaniu prawo zamówień publicznychKancelaria Przedszkola gabinet dyrektora Składnica Akt Przedszkola,   
 Upoważnienia do odbierania dzieci z przedszkola  Kancelaria Przedszkola Składnica Akt Przedszkola – Sale zajęć- szafka zamykana na klucz    
   Dokumentacja rekrutacyjna  Kancelaria Przedszkola Składnica Akt Przedszkola        
   Ewidencja pracowników mających  ukończone szkolenie z zakresu ochrony danych osobowych  Kancelaria Przedszkola Załącznik do dokumentacji Polityki Bezpieczeństwa Ochrony Danych Osobowych.
   Ewidencja Pracowników zapoznanych z dokumentacją polityki bezpieczeństwa i ochrony danych osobowych    Kancelaria Przedszkola Załącznik do dokumentacji Polityki Bezpieczeństwa Ochrony Danych Osobowych  
   Ewidencja pracowników upoważnionych do przetwarzania danych osobowychKancelaria Przedszkola   Załącznik do dokumentacji Polityki Bezpieczeństwa Ochrony Danych Osobowych    
  Ewidencja Obecności w Pracy, listy obecnościKancelaria Przedszkola  Składnica Akt Przedszkola  Qadr, Qrep- QNT     
 Dokumentacja płacowaKsięgowość – MZOSiPQwant-QNT, GBG24- Getin Bank 
 Dokumentacja ZUSKsięgowośćPłatnik- PROKOM 
 Dokumentacja kasy zapomogowo-pożyczkowejKsięgowośćQzp- QNT 
 Przelewy wynagrodzeńKsięgowośćGBG24- Getin Bank 
 Umowy cywilnoprawneKancelaria Przedszkola-  gabinet dyrektora  
 Umowy o współpracyKancelaria Przedszkola-  gabinet dyrektora  

Załącznik nr 4

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Opis struktury zbioru danych osobowych przetwarzanych TRADYCYJNIE I w systemach informatycznych ORAZ sposób przepływu danych pomiędzy systemami informatycznymi

Lp.Nazwa zbioru danychOpis struktury zbioru i zakres informacji gromadzonych w danym zbiorzeOpis przepływu danych ?Uwagi
     Akta OsobowePESEL,/imię i nazwisko/ nazwisko rodowe/data i miejsce urodzenia /pleć/adres stały/nr. Tel./dowód osobisty, seria, nr. wydany przez, data wydania/ imię ojca/ imię matki/ stan cywilny i rodzinny/ stosunek do służby wojskowej (dokument wojskowy, seria i numer, stopień wojskowy) /posiada gospodarstwo rolne/emeryt/ rencista/obywatelstwo obce/ osoba kontaktowa/wykształcenie /nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/ zawód wyuczony i wykonywany/ uzyskane kwalifikacje / nieobecności w pracy  
     Arkusz OrganizacyjnyPESEL,/imię i nazwisko/staż pracy/rok  urodzenia /pleć/tytuł zawodowy/ uzyskane kwalifikacje /zawód wyuczony  i wykonywany/wykształcenie /nazwa szkoły i rok ukończenia/nr dyplomu/ warunki zatrudnienia/ staż pracy/ nieobecności w pracyZ Przedszkola nr 3 w Jastrzębiu-Zdroju do Wydziału Edukacji w  Jastrzębiu-Zdroju za pośrednictwem Platformy internetowej  programu PABS. Komunikacja dwukierunkowa. 
     DziennikiPESEL,/imię i nazwisko/ nazwisko rodowe/data i miejsce urodzenia /pleć/adres stały ( miejscowość, ulica, numer domu) /nr. Tel./  
 Rejestr wydanych zaświadczeń dotyczących uczęszczania do PrzedszkolaImię i nazwisko, data i miejsce urodzenia  
 Podania osób ubiegających się o pracę Imię i nazwisko/adres /data urodzenia/nr. telefonu/ staż pracy/ wykształcenie/  
 Dokumentacja dotycząca awansu zawodowego nauczycielaImię i nazwisko/adres /data i miejsce urodzenia / adres stały/ wykształcenie/ historia pracy/ uzyskane kwalifikacje    
 Ewidencja zasobów przedszkola na potrzeby Systemu Informacji OświatowejImię i nazwisko/ miejsce zamieszkania/ data  urodzenia/płeć/ wykształcenie/staż pracy/wynagrodzenie/stopień awansu/ obywatelstwo/Z przedszkola nr 3 w Jastrzębiu-Zdroju do Wydziału Edukacji w Jastrzebiu-Zdroju za pośrednictwem platformy internetowej Systemu Informacji Oświatowej, komunikacja dwukierunkowa. 
 Rejestr korespondencjiImię i nazwisko, adres, numer telefonu, NIP  
 Zapytanie w postępowaniu prawo zamówień publicznychImię i nazwisko/ adres/ numer telefonu/NIP/ adres poczty elektronicznej/Od P.Pzedszkola nr 3 w Jastrzębiu-Zdroju do potencjalnych kontrahentów do za pośrednictwem   platformy internetowej  poczty elektronicznej pod adresem …SIDAS……………… .Komunikacja dwukierunkowa. 
 Upoważnienia do odbierania dzieci z przedszkola  imię i nazwisko/ nr. tel./dowód osobisty, seria, nr. wydany przez, data wydania/      
 Dokumentacja rekrutacyjna  PESEL,/imię i nazwisko/ nazwisko rodowe/data i miejsce urodzenia /pleć/adres stały/nr. Tel./e-mail/dowód osobisty, seria, nr. wydany przez, data wydania/ imię ojca/ imię matki/ stan cywilny i rodzinny/obywatelstwo obce/osoba kontaktowa.          
 Ewidencja pracowników mających  ukończone szkolenie z zakresu ochrony danych osobowych    Imię i nazwisko   Załącznik do dokumentacji Polityki Bezpieczeństwa Ochrony Danych Osobowych
 Ewidencja Pracowników zapoznanych z dokumentacją polityki bezpieczeństwa i ochrony danych osobowych  Imię i nazwisko Załącznik do dokumentacji Polityki Bezpieczeństwa Ochrony Danych Osobowych
 Ewidencja pracowników upoważnionych do przetwarzania danych osobowych  Imię i nazwisko   Załącznik do dokumentacji Polityki Bezpieczeństwa Ochrony Danych Osobowych
  Ewidencja Obecności w Pracy, listy obecnościImię i nazwisko/wymiar etatu/stanowisko/wykaz: obecności, L4, urlopów, wiek, dzienna ilość godzin pracy    
 Dokumentacja płacowaNumer ewidencyjny/imię i nazwisko/drugie imię/nazwisko rodowe/imię ojca/imię matki/data urodzenia/miejsce urodzenia/PESEL/NIP/ dowód osobisty, seria, nr. wydany przez, data wydania/obywatelstwo/adres/przynależność do ZFŚS/rodzaj zatrudnienia  
 Dokumentacja ZUSImię i nazwisko/nazwisko rodowe/data urodzenia/PESEL/NIP/ dowód osobisty, seria, nr. wydany przez, data wydania/adres zamieszkania  
 Dokumentacja kasy zapomogowo-pożyczkowejImię i nazwisko/rodzaj pracownika/przynależność do PKZP/ data urodzenia/ miejsce urodzenia/PESEL/NIP/płeć/adres zamieszkania  
 Przelewy wynagrodzeńImię i nazwisko/adres/nazwa Banku/nr rachunku bankowego  
 Umowy cywilnoprawneImię i nazwisko/nazwisko rodowe/data urodzenia/PESEL/NIP/ dowód osobisty, seria, nr. wydany przez, data wydania/adres zamieszkania  
 Umowy o współpracyImię i nazwisko/nazwisko rodowe/data urodzenia/PESEL/NIP/ dowód osobisty, seria, nr. wydany przez, data wydania/adres zamieszkania  

………………………………………….                                                                                    ………………………………………….

   (data)                                                                                                                                          (podpis)

Załącznik nr 5

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

WYKAZ ŚRODKÓW TECHNICZNYCH ZASTOSOWANCYCH W CELU ZAPEWNIENIA BEZPIECZEŃSTWA
I OCHRONY DANYCH OSOBOWYCH:

Nazwa pomieszczeniaZabezpieczenia pomieszczeniaZabezpieczenia zbiorówZabezpieczenia komputerówUwagi
kancelaria przedszkola- gabinet dyrektora  Monitoring, stały nadzór przez służbę ochrony, alarm,,    — drzwi drewniane/metalowe zamykane na klucz, ochrona przeciwpożarowaszafy metalowa zamykana na klucz, szafy drewniane zamykane na kluczWeryfikacja użytkownika poprzez wprowadzenie identyfikatora i hasła, wygaszacz ekranu, program antywirusowy i zapora ogniowa 
Gabinet intendenta i wicedyrektora  pedagogaMonitoring, stały nadzór przez służbę ochrony, alarm,kraty/roleta/folia antywłamaniowa w oknach, dodatkowe zabezpieczenie drzwi kratą, drzwi drewniane/metalowe zamykane na klucz, ochrona przeciwpożarowaSzafa drewniana zamykana na kluczWeryfikacja użytkownika poprzez wprowadzenie identyfikatora i hasła, wygaszacz ekranu, program antywirusowy i zapora ogniowa 
Składnica aktMonitoring, stały nadzór przez służbę ochrony, alarm,kraty/roleta/folia antywłamaniowa w oknach, dodatkowe zabezpieczenie drzwi kratą, drzwi drewniane/metalowe zamykane na klucz, ochrona przeciwpożarowaSzafy drewniane zamykane na klucz  – – – – – – – – 
     
     
     
     
       

Załącznik nr 6

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                                                                                                                     . . . . . . . . . . . . . . . . . . . . . . . . , dn . . . . . . . . . . . r.

. . . . . . . . . . . . .  . . . . . . . . . . . .

              (pieczątka )

Upoważnienie

do przetwarzania danych osobowych NR: . . . . . . . . . . . . . .

Na podstawie art. 37 ustawy z dn. 29 sierpnia 1997 roku o ochronie danych osobowych

(tekst jednolity: Dz. U. 2014 r. poz. 1182 z pózn. zm.) upoważniam

Pana/Panią. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                                                           (imię i nazwisko, adres, pesel, stanowisko)

do przetwarzania danych osobowych w następującym zakresie:

(nazwy zbiorów oraz zakres upoważnienia [zbieranie/utrwalanie/przechowywanie/opracowywanie/zmienianie/udostępnianie/usuwanie/wgląd])

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Upoważnienie udzielane jest na okres pełnienia obowiązków pracowniczych od dnia . . . . . . . . . . .

           Upoważniony zobowiązuje się do przestrzegania zasad panujących w przedsiębiorstwie
w zakresie ochrony danych osobowych, a w szczególności „Polityki Bezpieczeństwa”
oraz respektowania zapisów Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Upoważnionego obowiązuje tajemnica dotycząca danych osobowych przetwarzanych
w przedsiębiorstwie oraz sposobów zabezpieczeń.

            . . . . . . . . . . . . . . . . . . . . . . . . . .                                        . . . . . . . . . . . . . . . . . . . . .

   (data i podpis Administratora Danych Osobowych)                                         (data i podpis pracownika )

Załącznik nr 7

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

L.p.Zbiór danych osobowych/systemNazwisko
 i imię/identyfikator w systemie
Numer upoważnieniaData nadania (modyfikacji) upoważnieniaData utraty ważności upoważnieniaZakres upoważnienia do przetwarzania danych osobowych
       Na czas pełnienia obowiązków służbowychW zakresie wymaganym do pełnienia obowiązków społecznych
         
         
         
         
         
         
         
         
         

Załącznik nr 8

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . .

              (pieczątka)

OŚWIADCZENIE

Oświadczam, że zapoznałem(łam) się z przepisami prawa dotyczącymi ochrony danych osobowych, a w szczególności z ustawą z 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2014 r. poz. 1182 z późn. zm.) oraz rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do ich przestrzegania.

Oświadczam ponadto,  że zapoznałem(łam) się z polityką bezpieczeństwa ochrony
i przetwarzania danych osobowych w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . wprowadzoną

dnia . . . . . . . . . . . . . . . . r.   przez . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

           Równocześnie zobowiązuję się do :

  • stosowania określonych przez ADO zasad lub ABI (w sytuacji gdy został powołany) procedur oraz wytycznych mających na celu właściwe i adekwatne w stosunku do celu przetwarzanie danych,
  • należyte zabezpieczanie danych osobowych przed ich udostępnianiem osobom nieupoważnionym,
  • zachowania szczególnej staranności w trakcie dokonywania operacji przetwarzania danych w celu ochrony osób, których dane dotyczą,
  • zachowania tajemnicy danych oraz ich sposobu zabezpieczeń, nawet po ustaniu stosunku pracy.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                   ( podpis )

Załącznik nr 9

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

EWIDENCJA OSÓB

zapoznanych z „Polityką Bezpieczeństwa Przetwarzania i Ochrony Danych Osobowych”
w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . oraz  „Instrukcją Zarządzania Systemem Informatycznym”  i zapisami zawartymi w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jednolity: Dz. U. 2014 r. poz. 1182 z późn. zm.) oraz Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

PRZYJĄŁEM/AM DO WIADOMOŚCI I STOSOWANIA ZAPISY

POLITYKI BEZPIECZEŃSTWA I INSTRUKCJI ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI

Lp.Nazwisko i imięData i podpis
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   

Załącznik nr 10

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

OŚWIADCZENIE

zgody na przetwarzanie danych osobowych

Dotyczy:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

imię i nazwisko

Wyrażam zgodę na zbieranie, przetwarzanie i wykorzystywanie:

• danych osobowych mojego dziecka oraz moich, jako rodzica (opiekuna prawnego),

• wizerunku mojego dziecka oraz mojego, jako rodzica (opiekuna prawnego)

przez:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

w zakresie rekrutacji oraz działalności dydaktyczno–wychowawczo–opiekuńczej zgodnie z Ustawą o Ochronie Danych Osobowych (tekst jednolity: Dz. U. 2014 r. poz. 1182 z późn. zm.), Rozporządzeniem Ministra Edukacji Narodowej
z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. 2014 poz. 1170) oraz Ustawą o systemie oświaty z dnia 7 września 1991 r. (tekst jednolity:
Dz. U. 2004 r. nr 256 poz. 2572 z późn. zm.).

. . . . . . . . . . . . . . . . . . . . . . .                                              . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

        miejscowość, data                                                          podpis rodzica (opiekuna prawnego)

Załącznik nr 11

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

OŚWIADCZENIE

zgody na przetwarzanie danych osobowych

Dotyczy:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

imię i nazwisko

W związku z zatrudnieniem na stanowisku nauczyciela wyrażam zgodę
na przetwarzanie i wykorzystywanie moich danych danych osobowych tzn.:

  • wykształcenia,
  • przygotowania pedagogicznego,
  • posiadanych kwalifikacji do nauczania,
  • stopnia awansu zawodowego,
  • ukończonych form dokształcania i doskonalenia zawodowego,
  • wpisu do ewidencji egzaminatorów,
  • wpisu na listę rzeczoznawców,
  • wpisu na listę ekspertów,
  • dodatkowych uprawnień w zakresie kultury fizycznej

przez:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

zgodnie z Ustawą o Ochronie Danych Osobowych (tekst jednolity: Dz. U. Z  2014 poz. 1182 z późn. zm.) oraz Ustawą o Systemie Oświaty z dnia 7 września 1991 r. (tekst jednolity: Dz. U. 2004 r. nr 256 poz. 2572 z późn. zm.).

…………………………………………                                                ………………………………………………………

        miejscowość, data                                                                                     podpis

Załącznik nr 12

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

LISTA UCZESTNIKÓW SZKOLENIA Z ZAKRESU OCHRONY DANYCH OSOBOWYCH

Prowadzący:                             . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Miejsce i data szkolenia: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

L.p.Imię uczestnikaNazwisko uczestnikaWydziałPodpis
     
     
     
     
     
     
     
     
     
     
     
     
     

Załącznik nr 13

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                              . . . . . . . . . . . . . . . . . . . . . . . . . . . . , dn. . . . . . . . . . .r.

P R O T O K Ó Ł

Kontroli i oceny funkcjonowania mechanizmów zabezpieczeń oraz zasad postępowania
w przypadku naruszenia ochrony danych osobowych.

W dniu . . . . . . . . . . . . . . . . , kontrolujący . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                                                                               /imię, nazwisko i stanowisko służbowe/

w obecności osób asystujących dokonał kontroli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

/nazwa firmy, komórki organizacyjnej itp./

W czasie kontroli stwierdzono i zalecono: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

/tu należy omówić wyniki kontroli, np.: stanu zabezpieczenia systemów informatycznych oraz innych zbiorów danych jak i przestrzegania obowiązujących przepisów/procedur itp./.

protokół niniejszy sporządzono w . . . . jednobrzmiących egzemplarzach i po odczytaniu podpisano.

                                                …………………………………………………….

                                                                                                                                                                                                   (podpis  i pieczątka )

Załącznik nr 14

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

REJESTR KONTROLI I OCENY FUNKCJONOWANIA MECHANIZMÓW ZABEZPIECZEŃ ORAZ ZASAD POSTĘPOWANIA W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH W

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

L.p.Nazwa jednostki kontrolowanejNazwisko, imię i stanowisko osoby przeprowadzającej kontrolęCzas trwania kontroliUwagiPodpis osoby przeprowadzającej kontrolę
            
            
            
            
            

Załącznik nr 15

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                                                                         . . . . . . . . . . . . . . . . . . . . . . . . . . . . , dn. . . . . . . . . . .r.

. . . . . . . . . . . . . . . . . . . . . . . .

              (pieczątka )

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

(imię i nazwisko)

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

(adres)

INFORMACJA

o zawartości zbioru danych osobowych

W związku z Pani/Pana wnioskiem z dnia . . . . . . . . . . . . . r. o udzielenie informacji związanych z przetwarzaniem danych osobowych w  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

działając na podstawie art. 33 ust. 1 Ustawy o ochronie danych osobowych informuję, że zbiór danych zawiera następujące Pani/Pana dane osobowe: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Powyższe dane przetwarzane są w  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

w celu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

z zachowaniem wymaganych zabezpieczeń i zostały uzyskane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (podać sposób). Powyższe dane nie były/były udostępniane  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (podać komu) w celu  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  (podać cel).

Zgodnie z rozdziałem 4 Ustawy o ochronie danych osobowych przysługuje Pani/Panu prawo
do kontroli danych osobowych, prawo ich poprawiania, a także w przypadkach kreślonych w art. 32 ust. 1 pkt 7 i 8 Ustawy, prawo wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz prawo sprzeciwu wobec przetwarzania danych w celach marketingowych lub wobec przekazywania danych innemu administratorowi danych osobowych.

            . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

   (podpis Administratora Danych Osobowych)   

Załącznik nr 16

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

ZGŁOSZENIE

naruszenia bezpieczeństwa danych osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.   Data: . . . . . . . . . . . . . . . . . . . . . . . . . . .   Godzina: . . . . . . . . . . . . . . . . . . . .

                                 (dd.mm.rr)                                                                 (00:00)

2.   Osoba powiadamiająca o zaistniałym zdarzeniu:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                                         ( imię i nazwisko, stanowisko służbowe )

3.  Lokalizacja zdarzenia :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.Opis zaistniałej sytuacji wpływającej na bezpieczeństwo danych osobowych:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .                                        . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

      godz. i data przyjęcia zgłoszenia                                                                     Podpis osoby zgłaszającej

       Podpis Administratora Danych                                                                               

         Osobowych / Administratora

          Bezpieczeństwa Informacji

Załącznik nr 17

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Raport ze zgłoszenia

naruszenia bezpieczeństwa dany osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.   Data: . . . . . . . . . . . . . . . . . . . . . . . . . . .   Godzina: . . . . . . . . . . . . . . . . . . . .

                                 (dd.mm.rr)                                                                 (00:00)

2.   Osoba powiadamiająca o zaistniałym zdarzeniu:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                                         ( imię i nazwisko, stanowisko służbowe )

3.  Lokalizacja zdarzenia :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.Podjęte działania :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6. Przyczyny wystąpienia zdarzenia :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7. Postępowanie wyjaśniające:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

  ………………………………………………………………….

                   Podpis Administratora Danych           

         Osobowych / Administratora            

Bezpieczeństwa Informacji             

Załącznik nr 18

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

WNIOSEK

O UDOSTĘPNIENIE DANYCH ZE ZBIORU DANYCH OSOBOWYCH

1.Wniosek do . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2. Wnioskodawca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

      (nazwa firmy i jej siedziba albo nazwisko, imię i adres zamieszkania wnioskodawcy ew. NIP oraz REGON)

3. Podstawa prawna upoważniająca do pozyskania danych albo wskazanie wiarygodnie uzasadnionej potrzeby posiadania danych osobowych: 

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4. Wskazanie przeznaczenia dla udostępnionych danych osobowych:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5. Oznaczenia lub nazwa zbioru, z którego mają być udostępnione dane osobowe:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6. Zakres żądanych informacji ze zbioru:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7. Informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

(data i podpis wnioskodawcy)            

Załącznik nr 19

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

EWIDENCJA UDOSTĘPNIENIA DANYCH OSOBOWYCH

L.p.Data wydaniaDane odbiorcyZakres udostępnionych danychPodpis osoby udostępniającej dane osobowe
       
       
       
       
       
       
       
       
       
     

Załącznik nr 20

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

                Pieczątka

Protokół zniszczenia danych osobowych

nr: . . . . . . . . . . . .

  1. Data operacji: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
  • Nazwa zbioru danych osobowych, z którego pochodzą dane: . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

  • Powód zniszczenia danych osobowych: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

  • Rodzaj nośnika z kopią zapasową: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
  • Sposób zniszczenia: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Skład komisji:

                 
        ………………………………………. (podpis)      ………………………………………. (podpis)      ………………………………………. (podpis)

Załącznik nr 21

do Polityki Bezpieczeństwa i Ochrony Przetwarzania Danych Osobowych

w . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . , dn. . . . . . . . . . .r.

PROTOKÓŁ
PRZEKAZANIA/ZDANIA
KLUCZY

Data, godzina i miejsce odbioru: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1) Obecni :

            a) ze strony powierzającego:

. . . . . . . . . . . . . . . . . . . . . . . . . .  (imię i nazwisko), stanowisko . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

            b) ze strony odbierającego:

. . . . . . . . . . . . . . . . . . . . . . . . . .  (imię i nazwisko), stanowisko . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2) Przedmiot odbioru :

. . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

(np. jeden komplet kluczy (4 sztuki z czego 2 sztuki do kraty zabezpieczającej znajdującej się przed magazynem z zewnątrz i 2 sztuki do drzwi wejściowych do magazynu)


Niniejszym zobowiązuję się do nieudostępniania ich osobom trzecim.

Przejęcie kluczy zobowiązuje mnie do odpowiedzialności materialnej podczas pobytu poza godzinami pracy.

Na tym protokół zakończono i po przeczytaniu podpisano

. . . . . . . . . . . . . . . . . . . . . . . .                                               . . . . . . . . . . . . . . . . . . . . . . . .

                      Strona powierzająca                                                   Strona odbierająca

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA

SYSTEMEM INFORMATYCZNYM

w Publicznym Przedszkolu nr 3
w Jastrzębiu-Zdroju

wydana dnia …………………………………………………………………….

przez Administratora Danych Osobowych
mgr Jolanta Paluch

Postanowienia Ogólne

§ 1

Niniejsza instrukcja dotyczy każdego zbioru danych osobowych przetwarzanego w . . . . . . . . . . . . . . . . . . . . . . . . . . zarówno w formie elektronicznej jak i papierowej. Aktualny wykaz przetwarzanych zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych, ich lokalizacją i sposobem dostępu.

Użyte w Instrukcji określenia oznaczają:

§ 2

  1. zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
  2. administrator danych osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,
  3. administrator bezpieczeństwa informacji – osoba wyznaczona przez administratora danych osobowych, odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych
    we wskazanych systemach informatycznych,
  4. administrator systemu informatycznego – osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych (może to być administrator sieci lokalnej, systemu operacyjnego, bazy danych itp.),
  5. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
  6. stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie,
  7. bezpieczeństwo systemu informatycznego – wdrożenie przez administratora danych osobowych lub osobę przez niego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem,
  8. przetwarzanie danych osobowych – wykonywanie jakichkolwiek operacji na danych osobowych takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie
    i ich usuwanie,
  9. osoba upoważniona – osoba posiadająca upoważnienie wydane przez ADO (lub osobę uprawnioną przez niego) i dopuszczona jako użytkownik do przetwarzania danych osobowych
    w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym
    w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada administrator bezpieczeństwa informacji),

52

  1.  użytkownik systemu – osoba posiadająca uprawnienia do przetwarzania danych osobowych
    w systemie informatycznym,
  2.  osoba uprawniona – osoba posiadająca upoważnienie wydane przez administratora danych osobowych do wykonywania w jego imieniu określonych czynności,
  3.  ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych oraz ustawa z dnia 7.11.2014 r.
    o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), która weszła w życie dnia 15 stycznia 2015 roku nowelizująca przepisy ustawy z dnia 29 sierpnia 1997 r.
    o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926, z póź. zm.),
  4. rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji
    z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

§ 3

  1. Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych (wzór upoważnienia stanowi załącznik do Polityki bezpieczeństwa). Wydanie upoważnienia oraz rejestracja użytkownika systemu informatycznego przetwarzającego dane osobowe następuje na wniosek przełożonego użytkownika lub koordynatora zadania, na rzecz którego będą wykonywane czynności związane
    z przetwarzaniem danych osobowych. W formie pisemnej składa on wniosek do Administratora danych osobowych odpowiedniego dla zakresu danych o wydanie upoważnienia do przetwarzania danych osobowych. Wniosek ten powinien zawierać:
  1. imię i nazwisko pracownika, któremu upoważnienie zostanie nadane,
  2. nazwę zbioru danych osobowych oraz nazwę  systemu informatycznego, do którego użytkownik będzie miał dostęp,
  3. zakres upoważnienia do przetwarzania danych osobowych,
  4. datę, z jaką upoważnienie ma być nadane,
  5. okres ważności upoważnienia.
  1. Oryginał upoważnienia zostaje przekazany pracownikowi za potwierdzeniem odbioru, kopia zostaje dołączona do akt osobowych pracownika oraz przekazana do wiadomości przełożonego pracownika.

Identyfikator i hasło do systemu informatycznego przetwarzającego dane osobowe są przydzielane użytkownikowi tylko w przypadku, gdy posiada on pisemne upoważnienie do przetwarzania danych osobowych wydane przez administratora danych osobowych lub osobę przez niego uprawnioą.

Za przydzielenie i wygenerowanie identyfikatora i hasła użytkownikowi, który pierwszy raz będzie korzystał z systemu informatycznego odpowiada administrator danych osobowych lub powołany przez niego Administrator Bezpieczeństwa Informacji.

Wyrejestrowanie użytkownika z systemu informatycznego może nastąpić na wniosek Administratora Danych Osobowych, lub powołanego przez niego Administratora Bezpieczeństwa Informacji, przełożonego użytkownika lub koordynatora zadania, na rzecz którego były wykonywane czynności związane z przetwarzaniem danych osobowych.

53

Administrator danych osobowych jest zobowiązany do prowadzenia ewidencji pracowników upoważnionych do przetwarzania danych osobowych. Zgodnie z art. 39 ust. 1 ustawy taka ewidencja zawiera:

  1. imię i nazwisko osoby upoważnionej,
    1. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
    1. nazwa systemu informatycznego, którego dotyczy upoważnienie,
    1. identyfikator nadany w systemie.

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i
użytkowaniem

§ 4

  1. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał.
  2. Identyfikator składa się minimalnie z pięciu znaków- znaki identyfikatora nie są rozdzielone spacjami ani znakami interpunkcyjnymi, identyfikator nie zawiera polskich liter.
  3. Identyfikator wpisuje się do ewidencji prowadzonej przez administratora danych osobowych wraz z imieniem i nazwiskiem użytkownika oraz nazwami systemów informatycznych, do których użytkownik uzyskał dostęp i wprowadzany jest przez administratorów systemów informatycznych do właściwych systemów.
  4. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika
    z systemu informatycznego nie może być przydzielany innej osobie. System informatyczny przetwarzający dane osobowe jest skonfigurowany w sposób wymagający bezpieczne zarządzanie hasłami użytkowników.
  5. Hasło przydzielone użytkownikowi musi być zmienione po pierwszym udanym zalogowaniu się do systemu informatycznego przetwarzającego dane osobowe.
  6. Hasła są zmieniane przez użytkownika.
  7. System informatyczny wyposażony jest w mechanizmy wymuszające zmianę hasła po upływie
    30 dni od dnia ostatniej zmiany hasła.
  8. System informatyczny wyposażony jest w mechanizm pozwalający na wymuszenie jakości hasła, w szczególności hasło powinno składać się z co najmniej 8 znaków.  Hasło powinno zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Osoby uprawnione do wykonywania prac administracyjnych w systemie informatycznym posiadają własne konta administracyjne
    do których mają przydzielone hasło. Zasady zarządzania hasłami są analogiczne, jak w przypadku haseł użytkowników.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

§ 5

  1. Przed rozpoczęciem pracy, w trakcie rozpoczynania pracy z systemem informatycznym
    oraz w trakcie pracy każdy pracownik obowiązany jest do zwrócenia bacznej uwagi, czy nie wystąpiły symptomy mogące świadczyć o naruszeniu ochrony danych osobowych.

Szczegółowy opis takich symptomów oraz sposób postępowania w przypadku ich wykrycia został opisany w dokumencie „Polityka bezpieczeństwa”.

54

Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje wprowadzenie identyfikatora
i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu.

Maksymalna ilość prób wprowadzenia hasła przy logowaniu się do systemu wynosi trzy.
Po przekroczeniu tej liczby prób logowania system blokuje dostęp do zbioru danych na poziomie danego użytkownika. Odblokowania konta może dokonać administrator systemu informatycznego
w porozumieniu z administratorem danych osobowych. Użytkownik informuje administratora danych osobowych o zablokowaniu dostępu do zbioru danych. W przypadku bezczynności użytkownika na stacji roboczej przez okres dłuższy niz 30 minut automatycznie włączany jest wygaszacz ekranu. Wygaszacze ekranu powinny być zaopatrzone w hasła zbudowane analogicznie do haseł używanych przez użytkownika przy logowaniu.

Hasło powinno składać się z co najmniej 8 znaków, powinno zawierać małe i wielkie litery oraz cyfry
lub znaki specjalne oraz być zmieniane nie rzadziej niż co 30 dni.

Zmianę użytkownika stacji roboczej każdorazowo musi poprzedzać wylogowanie się poprzedniego użytkownika. Niedopuszczalne jest, aby dwóch lub większa ilość użytkowników wykorzystywała wspólnie jedno konto użytkownika. W przypadku, gdy przerwa w pracy na stacji roboczej trwa dłużej niż 60 minut użytkownik obowiązany jest wylogować się z aplikacji i systemu stacji roboczej, na której pracuje oraz sprawdzić czy nie zostały pozostawione bez zamknięcia nośniki informacji zawierające

dane osobowe. W pomieszczeniach, w których przetwarzane są dane i w których jednocześnie mogą przebywać osoby postronne monitory stanowisk dostępu do danych powinny być ustawione w taki sposób żeby uniemożliwić tym osobom wgląd w dane.

Zakończenie pracy użytkownika w systemie informatycznym obejmuje wylogowanie się użytkownika
z aplikacji.

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

§ 6

  1. Dane osobowe przetwarzane w systemie informatycznym podlegają zabezpieczeniu poprzez tworzenie kopii zapasowych. Za proces tworzenia kopii zapasowych odpowiada administrator systemu informatycznego lub osoba specjalnie do tego celu wyznaczona. W przypadku lokalnego przetwarzania danych osobowych na stacjach roboczych użytkownicy systemu informatycznego zobowiązani są do centralnego przechowywania kopii danych, tak aby możliwe było zabezpieczenie ich dostępności poprzez wykonanie kopii zapasowych. Przez centralne przechowywanie kopii danych rozumie się cotygodniowe przegrywanie zbioru danych
    na specjalnie wydzielony do tego celu obszar dysku na serwerze. W przypadku, gdy z przyczyn technicznych jest to niemożliwe użytkownicy systemu są zobowiązani do sporządzania kopii zapasowych baz danych na nośniku wymiennym i centralne ich przechowywanie w miejscu wskazanym przez administratora danych osobowych.

Kopie zapasowe informacji przechowywanych w systemie informatycznym przetwarzającym dane osobowe tworzone są w następujący sposób:

  1. kopia zapasowa aplikacji przetwarzającej dane osobowe – pełna kopia wykonywana jest po wprowadzeniu zmian do aplikacji, kopie umieszczone są na nośnikach wymiennych, kopia przechowywana jest w zamkniętej szafie,

55

  • kopia zapasowa danych osobowych przetwarzanych przez aplikację (pełna kopia) wykonywana jest codziennie na dysku lokalnym komputera wybranego przez administratora systemu informatycznego (komputerem tym nie może być serwer baz danych),
    • raz w tygodniu, na nośniku wymiennym, tworzona jest kopia zawierająca kopie zapasową danych osobowych z każdego dnia ostatniego tygodnia, kopia
      ta przechowywana jest w zamkniętej szafie w innym pomieszczeniu niż w którym znajdują się serwery danych,
    • zbiorcze (tygodniowe) kopie przechowywane są przez okres dwóch tygodni- po tym terminie stare kopie są niszczone poprzez nadpisywanie ich przez bardziej aktualne,
    • raz w miesiącu, pomiędzy 1 a 5 dniem każdego miesiąca tworzona jest kopia zapasowa danych osobowych, która przekazywana jest do przechowywania przy zachowaniu odpowiednich zabezpieczeń w innym budynku niż ten, w którym znajdują się serwery- przechowywane są tam kopie z 3 ostatnich miesicęcy,
    • kopia zapasowa danych konfiguracyjnych systemu informatycznego przetwarzającego dane osobowe, w tym uprawnień użytkowników systemu – pełna kopia wykonywana jest raz na miesiąc, która przechowywana jest w zamkniętej szafie. Do tworzenia kopii zapasowych wykorzystywane są dedykowane do tego celu urządzenia wchodzące
      w skład systemu informatycznego na nośnikach wymiennych adekwatnych do rodzaju urządzenia.

W przypadku przechowywania kopii zapasowych przez okres dłuższy niż pół roku, wszystkie kopie zapasowe zbiorów danych osobowych, aplikacji przetwarzających dane osobowe oraz danych konfiguracyjnych systemu informatycznego przetwarzającego dane osobowe, których to dotyczy muszą być okresowo (co najmniej raz na pół roku) sprawdzane pod względem ich dalszej przydatności.

Czynności te wykonuje administrator systemu informatycznego. Z przeprowadzonego testu administrator systemu sporządza krótką notatkę uwzględniającą datę testu oraz jego rezultat (kopię notatki przekazuje administratorowi danych osobowych).

Nośniki kopii zapasowych, które zostały wycofane z użycia (jeżeli jest to możliwe) należy pozbawić zapisanych danych za pomocą specjalnego oprogramowania do bezpiecznego usuwania zapisanych danych. W przeciwnym wypadku nośniki podlegają fizycznemu zniszczeniu z wykorzystaniem metod adekwatnych do typu nośnika, w sposób uniemożliwiający odczytanie zapisanych na nich danych.

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

§ 7

  1. Nośniki danych zarówno w postaci elektronicznej, jak i papierowej powinny być zabezpieczone przed dostępem osób nieuprawnionych nieautoryzowaną modyfikacją i zniszczeniem. Dane osobowe mogą być zapisywane na nośnikach przenośnych w przypadku tworzenia kopii zapasowych lub gdy istnieje konieczność przeniesienia tych danych w postaci elektronicznej,
    a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione, niemożliwe lub zbyt niebezpieczne. Nośniki danych osobowych oraz wydruki powinny być przechowywane
    w zamkniętych szafach wewnątrz obszaru przeznaczonego do przetwarzania danych osobowych
    i nie powinny być bez uzasadnionej przyczyny wynoszone poza ten obszar. Przekazywanie nośników danych osobowych i wydruków powinno odbywać się za wiedzą administratora bezpieczeństwa informacji.

56

W przypadku, gdy nośnik danych osobowych nie jest dłużej potrzebny, należy przeprowadzić zniszczenie nośnika lub usunięcie danych z nośnika zgodnie ze wskazówkami umieszczonymi w punkcie 5. Jeżeli wydruk danych osobowych nie jest dłużej potrzebny, należy przeprowadzić zniszczenie wydruku przy użyciu niszczarki dokumentów. W przypadku, gdy kopia zapasowa nie jest dłużej potrzebna, należy przeprowadzić jej zniszczenie lub usunięcie danych z nośnika, na którym się ona zgodnie
ze wskazówkami umieszczonymi w § 5.

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu.

§ 8

  1. W związku z tym, że system informatyczny narażony jest na działanie oprogramowania,
    którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu konieczne jest podjęcie odpowiednich środków ochronnych.

            Można wyróżnić następujące rodzaje występujących tu zagrożeń:

  1. nieuprawniony dostęp bezpośrednio do bazy danych,
    1. uszkodzenie kodu aplikacji umożliwiającej dostęp do bazy danych w taki sposób,
      że przetwarzane dane osobowe ulegną zafałszowaniu lub zniszczeniu,
    1. przechwycenie danych podczas transmisji w przypadku rozproszonego przetwarzania danych z wykorzystaniem ogólnodostępnej sieci Internet,
    1. przechwycenie danych z aplikacji umożliwiającej dostęp do bazy danych na stacji roboczej wykorzystywanej do przetwarzania danych osobowych przez wyspecjalizowany program szpiegowski i nielegalne przesłanie tych danych poza miejsce przetwarzania danych,
    1. uszkodzenie lub zafałszowanie danych osobowych przez wirus komputerowy zakłócający pracę aplikacji umożliwiającej dostęp do bazy danych na stacji roboczej wykorzystywanej do przetwarzania danych osobowych. W celu przeciwdziałania wymienionym zagrożeniom system informatyczny musi posiadać następujące zabezpieczenia polegające na fizycznym odseparowaniu serwera bazy danych od sieci zewnętrznej:
      1. autoryzacja użytkowników przy zachowaniu odpowiedniego poziomu komplikacji haseł dostępu,
      1. stosowanie rygorystycznego systemu autoryzacji dostępu do wszystkich serwerów na których znajdują się elementy aplikacji umożliwiających przetwarzanie danych osobowych,
      1. stosowaniu aplikacji w postaci skompilowanej i nie umieszczenie kodu źródłowego aplikacji na powszechnie dostępnych serwerach,
      1. stosowanie szyfrowanej transmisji danych przy zastosowaniu odpowiedniej długości klucza szyfrującego,
      1. stosowanie odpowiedniej ochrony antywirusowej na stacjach roboczych wykorzystywanych do przetwarzania danych osobowych.
  1. Potencjalnymi źródłami przedostawania się programów szpiegowskich oraz wirusów komputerowych na stacje robocze są :
  1. załączniki do poczty elektronicznej,
  2. przeglądane strony internetowe,
  3. pliki i aplikacje pochodzące z nośników wymiennych uruchamiane i odczytywane na stacji roboczej.

57

  1. W celu zapewnienia ochrony antywirusowej administrator systemu informatycznego przetwarzającego dane osobowe lub osoba specjalnie do tego celu wyznaczona, jest odpowiedzialny za zarządzanie systemem wykrywającym i usuwającym wirusy. System antywirusowy powinien być skonfigurowany w następujący sposób:
  1. rezydentny monitor antywirusowy (uruchomiony w pamięci operacyjnej stacji roboczej) powinien być stale włączony,
  2. antywirusowy skaner ruchu internetowego powinien być stale włączony,
  3. monitor zapewniający ochronę przed wirusami makr w dokumentach MS Office powinien być stale włączony,
  4. skaner poczty elektronicznej powinien być stale włączony.
  1. Systemy antywirusowe zainstalowane na stacjach roboczych powinny być skonfigurowane
    w sposób następujący:
  1. zablokowanie możliwości ingerencji użytkownika w ustawienia oprogramowania antywirusowego,
  2. możliwość centralnego uaktualnienia wzorców wirusów.

System antywirusowy powinien być aktualizowany na podstawie materiałów publikowanych
przez producenta oprogramowania.

  1. Użytkownicy systemu informatycznego zobowiązani są do następujących działań :
  1. skanowanie zawartości dysków stacji roboczej pracującej w systemie informatycznym
    pod względem potencjalnie niebezpiecznych kodów – przynajmniej 2 razy w tygodniu,
  2. skanowania zawartości nośników wymiennych odczytywanych na stacji roboczej pracującej w systemie informatycznym pod względem potencjalnie niebezpiecznych kodów – przy każdym odczycie,
  3. skanowanie informacji przesyłanych do systemu informatycznego pod kątem pojawienia się niebezpiecznych kodów – na bieżąco.

W przypadku wystąpienia infekcji i braku możliwości automatycznego usunięcia wirusów przez system antywirusowy administrator systemu informatycznego lub inny wyznaczony pracownik powinien podjąć działania zmierzające do usunięcia zagrożenia.

W szczególności działania te mogą obejmować :

  1. usunięcie zainfekowanych plików, o ile jest to akceptowalne ze względu na prawidłowe funkcjonowanie systemu informatycznego,
  2. odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu czy dane zapisane
    na kopiach nie są zainfekowane,
  3. samodzielną ingerencję w zawartość pliku – w zależności od posiadanych kwalifikacji
    lub po skonsultowaniu się z zewnętrznymi ekspertami.

System informatyczny przetwarzający dane osobowe powinien posiadać mechanizmy pozwalające
na zabezpieczenie ich przed utratą lub wystąpieniem zafałszowania w wyniku awarii zasilania lub zakłóceń w sieci zasilającej.

W związku z tym system informatyczny powinien być wyposażony w co najmniej:

  1. filtry zabezpieczające stacje robocze przed skutkami przepięcia,

58

  • zasilacze awaryjne serwerów baz danych, serwerów aplikacji oraz urządzeń pamięci masowej pozwalające na bezpieczne zamkniecie aplikacji przetwarzających dane osobowe w sposób umożliwiający poprawne zapisanie przetwarzanych danych.

Sposób realizacji wymogów

§ 9

  1. System informatyczny przetwarzający dane osobowe musi posiadać mechanizm uwierzytelniający użytkownika, powinien także posiadać mechanizmy pozwalające na określenie uprawnień użytkownika do korzystania z przetwarzanych informacji (np. prawo do odczytu danych, modyfikacji istniejących danych, tworzenia nowych danych, usuwania danych).
  2. System informatyczny przetwarzający dane osobowe musi posiadać mechanizmy pozwalające
    na odnotowanie faktu wykonania operacji na danych. W szczególności zapis ten powinien obejmować :
  1. rozpoczęcie i zakończenie pracy przez użytkownika systemu,
    1. operacje wykonywane na przetwarzanych danych, a w szczególności ich dodanie, modyfikację oraz usunięcie,
    1. przesyłanie za pośrednictwem systemu danych osobowych przetwarzanych w systemie informatycznym innym podmiotom niebędącym właścicielem ani współwłaścicielem systemu,
    1. nieudane próby dostępu do systemu informatycznego przetwarzającego dane osobowe
      oraz nieudane próby wykonania operacji na danych osobowych,
    1. błędy w działaniu systemu informatycznego podczas pracy danego użytkownika.
  1. Zapis działania użytkownika uwzględnia:
  1. identyfikator użytkownika,
    1. datę i czas kiedy zdarzenie miało miejsce,
    1. rodzaj zdarzenia, określenie informacji, których zdarzenie dotyczy (identyfikatory rekordów). W ramach możliwości technicznych system informatyczny powinien posiadać mechanizmy pozwalające na automatyczne powiadomienie administratora danych osobowych lub osoby przez niego uprawnionej o zaistnieniu zdarzenia krytycznego (mogącego mieć krytyczne znaczenie dla bezpieczeństwa przetwarzanych danych osobowych).
  1. Ponadto system informatyczny powinien zapewnić zapis faktu przekazania danych osobowych
    z uwzględnieniem:
  1. identyfikatora osoby, której dane dotyczą,
    1. osoby przesyłającej dane,
    1. odbiorcy danych,
    1. zakresu przekazanych danych osobowych,
    1. daty operacji,
    1. sposobu przekazania danych.

59

§ 10

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

  1. Wszelkie prace związane z naprawami i konserwacją systemów informatycznych przetwarzających dane osobowe muszą uwzględniać zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych. Prace serwisowe na terenie firmy prowadzone w tym zakresie mogą być wykonywane wyłącznie przez upoważnionych pracowników firmy lub przez upoważnionych przedstawicieli wykonawców zewnętrznych znajdujących się w towarzystwie upoważnionych pracowników firmy.

Przed rozpoczęciem prac serwisowych przez osoby postronne konieczne jest potwierdzenie tożsamości serwisantów. Urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe,

przeznaczone do:

  1. likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,
    1. przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,
    1. naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej.
Przewiń do góry