Zarządzenie Nr 9/11 Rektora Państwowej WyŜszej Szkoły Zawodowej im. Witelona w Legnicy z dnia 21 marca 2011 r.

Transkrypt

1 Zarządzenie Nr 9/11 Rektora Państwowej WyŜszej Szkoły Zawodowej im. Witelona w Legnicy z dnia 21 marca 2011 r. w sprawie ustalenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym słuŝącym do przetwarzania danych osobowych w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy Na podstawie art. 66 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyŝszym (Dz.U. Nr 164, poz. 1365, z 2006 r. Nr 46, poz. 328, Nr 104, poz. 708 i poz. 711, Nr 144, poz. 1043, Nr 227, poz. 1658, z 2007 r. Nr 80, poz. 542, Nr 120, poz. 818, Nr 176, poz i poz. 1240, Nr 180, poz. 1280, z 2008 Nr 70, poz. 416, z 2009 r. Nr 157, poz. 1241, Nr 161, poz. 1278, Nr 202, poz. 1553, z 2010 r. Nr 57, poz. 359, Nr 75, poz. 471, Nr 96, poz. 620, Nr 127, poz. 857) oraz art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 późn. zm.) i 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), zarządzam co następuje: Wprowadzam w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy: 1) Politykę Bezpieczeństwa stanowiącą załącznik nr 1 do zarządzenia, 2) Instrukcję Zarządzania Systemem Informatycznym stanowiącą załącznik nr 2 do zarządzenia. 1. Zobowiązuje kierowników komórek organizacyjnych do zapoznania pracowników z dokumentami o których mowa w Traci moc zarządzenie nr 22/99 Rektora WyŜszej Szkoły Zawodowej w Legnicy z dnia 28 października 1999 r. w sprawie ochrony danych osobowych zmienione zarządzeniem nr 30 z dnia 23 sierpnia 2001 r. Zarządzenie wchodzi w Ŝycie z dniem podpisania. 4.

2 Załącznik nr 1 do Zarządzenie nr 9/11 Rektora Państwowej WyŜszej Szkoły Zawodowej im. Witelona w Legnicy z dnia 21 marca 2011 r. Rozdział I Przepisy ogólne, definicje i objaśnienia Polityka Bezpieczeństwa zwana dalej Polityką w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu danych osobowych przez PWSZ im. Witelona w Legnicy dalej zwaną Uczelnią. Przetwarzanie danych osobowych w Uczelni jest dopuszczalne tylko pod warunkiem przestrzegania ustawy z dnia 29 sierpnia1997 r. o ochronie danych osobowych i wydanych na jej podstawie przepisów wykonawczych, a takŝe przepisów wewnętrznych wdroŝonych na ich podstawie. 2. Celem Polityki jest: a) osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa aktywów informacyjnych Uczelni poprzez wdroŝenie odpowiedniego systemu ochrony tych aktywów przed zagroŝeniami wewnętrznymi i zewnętrznymi, b) podniesienie poziomu świadomości pracowników Uczelni co do istoty problemu bezpieczeństwa danych osobowych. 3. Polityka ma zastosowanie w stosunku do wszystkich postaci informacji zawierających dane osobowe: dokumentów papierowych, zapisów elektronicznych i innych, będących własnością Uczelni lub administrowanych przez Uczelnię i przetwarzanych w systemach informatycznych, tradycyjnych (papierowych) i komunikacyjnych Uczelni. 4. Ochrona danych osobowych wynikająca z Polityki jest realizowana na kaŝdym etapie przetwarzania informacji Dane osobowe w Uczelni przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: 1) Ustawy z dnia 29 sierpnia1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z póź. zm.) zwana dalej ustawą, 2) Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zwane dalej rozporządzeniem, 3) art ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (j.t. Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.) i przepisów wykonawczych wydanych z upowaŝnienia tej ustawy, 2. Dane osobowe w Uczelni przetwarzane są w zakresie realizacji jej statutowych, a w szczególności: 1) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych, badawczych i organizacyjnych Uczelni wynikających z przepisów ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyŝszym. (Dz. U. Nr 164, poz z póź. zm.), 2) dla zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni, polityki personalnej oraz bieŝącej obsługi stosunków pracy, studentów i innych osób wykonujących pracę na rzecz Uczelni, 3) dla realizacji innych usprawiedliwionych celów i zadań Uczelni - z poszanowaniem praw i wolności osób powierzających Uczelni swoje dane. 3. UŜyte w poniŝszych przepisach określenia oznaczają: 1. Uczelnia - Państwową WyŜszą Szkołę Zawodową im. Witelona w Legnicy. 2. Ustawa - ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. nr 101 poz. 926, z późniejszymi zmianami). 3. Administrator danych osobowych (ADO) podmiot, o którym mowa w art. 3 ustawy decydujący o celach i środkach przetwarzania danych osobowych. 4. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub moŝliwej do zidentyfikowania osoby fizycznej. 5. Zbiór danych kaŝdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezaleŝnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 6. Przetwarzanie danych osobowych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 7. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 8. Zabezpieczenie danych w systemie informatycznym wdroŝenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 9. Administrator bezpieczeństwa informacji (ABI) osobę nadzorującą przestrzeganie zasad ochrony przetwarzania danych osobowych. 10. Administrator systemu informatycznego (ASI) osobę odpowiedzialną za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach. 11. Osoba upowaŝniona lub uŝytkownik systemu, zwany dalej uŝytkownikiem osobę posiadającą upowaŝnienie wydane przez administratora danych dopuszczona, w zakresie w nim wskazanym, jako uŝytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej.

3 12. Osoba trzecia kaŝdą osobę nieupowaŝnioną i przez to nieuprawnioną do dostępu do danych osobowych zbiorów będących w posiadaniu administratora danych. Osobą trzecią jest równieŝ osoba posiadająca upowaŝnienie wydane przez administratora danych podejmująca czynności w zakresie przekraczającym ramy jej upowaŝnienia. Rozdział II Ogólne zasady przetwarzania danych osobowych Wszelkie dane osobowe gromadzone w Uczelni są przetwarzane na podstawie obowiązujących przepisów prawa, albo zgody osób fizycznych, których dane dotyczą lub na mocy umów z podmiotami zewnętrznymi (przetwarzane dane osobowe dotyczą głównie pracowników i studentów Uczelni). 2. KaŜda osoba, której dane osobowe znajdują się w posiadaniu Uczelni ma prawo przeglądać swoje dane oraz je modyfikować, w celu ich uzupełnienia lub poprawy. 3. Uwzględniając kategorie przetwarzanych danych oraz zagroŝenia wprowadza się wysoki poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. 4. Wszelkie informacje zawierające dane osobowe są przechowywane w taki sposób, aby zminimalizować ryzyko ich ujawnienia, modyfikacji, zniszczenia lub utraty. 5. Dane osobowe są zabezpieczane fizycznie (np. przed awarią sprzętu), jak i elektronicznie (np. przed atakiem hackera lub dostępem niepowołanych osób). 6. Przetwarzanie danych osobowych w zakresie niezbędnym do wykonywania obowiązków słuŝbowych powierza się wyłącznie na podstawie zaewidencjonowanych upowaŝnień do przetwarzania danych osobowych. 7. W zakresie podmiotowym Polityka obowiązuje wszystkich pracowników Uczelni oraz inne osoby mające dostęp do danych osobowych. Rozdział III Organizacja ochrony przetwarzania danych osobowych Administratorem Danych Osobowych, w sensie formalno-prawnym jest Uczelnia, natomiast w sensie praktycznym za realizację podstawowych obowiązków ADO odpowiedzialny jest Rektor. Rektor swoje uprawnienia do nadawania uprawnień i upowaŝnień do przetwarzania danych osobowych pracownikom niebędącym nauczycielami akademickimi przekazuje Kanclerzowi. 2. Obowiązki wynikające z ustawy o ochronie danych osobowych ADO powierza się Lokalnym administratorom danych osobowych, zwanymi dalej LADO, to jest: a) prorektorom - w zakresie podległych im pracowników, b) dziekanom wydziałów - w zakresie studentów wydziałów i podległych im pracowników, c) dyrektorom/kierownikom pozostałych jednostek organizacyjnych w zakresie podległych im pracowników. Powierzenie obowiązków LADO następuje na podstawie powołania stanowiącego załącznik nr 1. Za naruszenie ustawy LADO ponoszą pełną odpowiedzialność w zakresie wnioskowanych uprawnień oraz upowaŝnień względem podległych pracowników. 3. Funkcję Administratora bezpieczeństwa informacji, w Uczelni pełni osoba powołana przez Rektora. Głównymi zadaniami ABI są nadzór nad przeciwdziałaniem dostępowi osób nieuprawnionych do zbiorów danych oraz wykrywanie naruszeń w systemie ochrony i prawidłowego wykorzystywania danych osobowych. 4. Obowiązki wynikające z ustawy o ochronie danych osobowych w zakresie zabezpieczenia systemów informatycznych sprawuje główny informatyk za pośrednictwem Administratorów systemów informatycznych. 5. Członkowie komisji powoływani w Uczelni, na podstawie zarządzenia lub wniosku organu kolegialnego, otrzymują upowaŝnienia do przetwarzania danych osobowych od Rektora lub Kanclerza. 6. LADO zobowiązani są do przestrzegania przepisów ustawy, w szczególności poprzez: 1) zapoznanie podległych pracowników z podstawowymi zasadami przetwarzania danych osobowych wynikającymi z ustawy, Polityki w zakresie ochrony danych osobowych w Uczelni, oraz Instrukcji Zarządzania Systemem Informatycznym w PWSZ im. Witelona w Legnicy, 2) wykonywanie zaleceń ABI oraz głównego informatyka w zakresie ochrony danych osobowych, 3) bieŝące przekazywanie do ABI wszelkich zmian mających wpływ na aktualizację ewidencji oraz praw dostępu do przetwarzania danych osobowych w systemach tradycyjnych, 4) bieŝące przekazywanie do głównego informatyka wszelkich zmian mających wpływ na aktualizację ewidencji oraz praw dostępu do przetwarzania danych osobowych w systemach informatycznych, 5) współpracę z ASI, w zakresie wdraŝania i nadzorowania przestrzegania Instrukcji Zarządzania Systemem Informatycznym, 6) występowanie z wnioskiem o nadanie uprawnień oraz upowaŝnień do przetwarzania danych osobowych podległym pracownikom; pracownika bez stosownego uprawnienia oraz upowaŝnienia LADO nie moŝe dopuścić do przetwarzania danych osobowych, 7) informowanie ABI i ADO o nieprawidłowościach w zakresie przetwarzania danych osobowych w systemach tradycyjnych.

4 7. 1. ABI realizuje zadania za pośrednictwem: 1) kierownika Działu Organizacji i Spraw Osobowych, 2) głównego informatyka. 2. Do zadań ABI naleŝy ochrona danych osobowych przetwarzanych w Uczelni, a w szczególności: 1) nadzór nad przestrzeganiem przez pracowników zasad ochrony danych osobowych obowiązujących w Uczelni, 2) nadzór nad nadawaniem i odbieraniem uprawnień, na wniosek osób upowaŝnionych do korzystania z danych osobowych oraz prowadzenie ewidencji uprawnień, 3) koordynacja procesu reagowania na naruszenia lub próby naruszenia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym oraz tradycyjnym, 4) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych osobowych oraz informowanie o nich ADO, 5) monitorowanie zaleceń i interpretacji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w zakresie ochrony danych osobowych, 6) zgłaszanie do rejestracji zbioru danych osobowych do GIODO, na podstawie informacji otrzymanych od LADO. 3. ABI sprawuje nadzór nad realizacją zadań nałoŝonych na LADO do przetwarzania danych osobowych. 4. ABI gromadzi i przechowuje dokumentację związaną z przetwarzaniem danych osobowych w siedzibie Uczelni Kierownik Działu Organizacji i Spraw Osobowych PWSZ im. Witelona w Legnicy zobowiązany jest do wykonywania obowiązków LADO określonych w 6, a ponadto: a) uzupełniania akt osobowych pracowników zatrudnionych przy przetwarzaniu danych osobowych o oświadczenia, z których wynika, Ŝe zapoznali się z przepisami obowiązującymi w tym zakresie, b) zgłaszania głównemu informatykowi zmian kadrowych, w celu aktualizacji ewidencji praw dostępu do przetwarzania danych osobowych w systemach informatycznych, c) powiadamiania o dłuŝszej nieobecności w pracy ABI oraz ASI w celu niezwłocznego zawieszenia bądź wycofania uprawnień, d) wykonywania na polecenie ABI działań kontrolnych dotyczących przestrzegania przepisów w zakresie przetwarzania danych osobowych w systemach tradycyjnych. 2. Główny informatyk zobowiązany jest do wykonywania następujących obowiązków: a) wnioskowania o wyznaczenie ASI i nadzorowania ich pracy w zakresie ochrony danych osobowych, b) prowadzenia aktualnej ewidencji osób upowaŝnionych do przetwarzania danych osobowych w systemach informatycznych, c) szkolenia uŝytkowników w zakresie przestrzegania zasad bezpieczeństwa w systemach informatycznych, d) wnioskowania do Działu Administracyjno-Technicznego o konieczne zakupy związane z ochroną danych osobowych, e) wykonywania na polecenie ABI działań kontrolnych dotyczących przestrzegania przepisów w zakresie przetwarzania danych osobowych w systemach informatycznych, f) zabezpieczenia systemów informatycznych zgodnie z zatwierdzonym poziomem bezpieczeństwa, g) stosowania wszelkich dostępnych mechanizmów ochrony w celu właściwego zabezpieczenia systemu do przetwarzania danych, h) ochrony danych osobowych poprzez tworzenie i właściwe zabezpieczenie kopii zapasowych, i) prowadzania w bezpieczny sposób napraw oraz konserwacji sprzętu i oprogramowania słuŝącego do przetwarzania lub będącego nośnikiem danych osobowych, j) niszczenia zbędnego sprzętu i oprogramowania zawierającego dane osobowe w sposób uniemoŝliwiający ich odczytanie, k) informowania ABI i ADO o nieprawidłowościach w zakresie przetwarzania danych osobowych w systemach informatycznych ABI prowadzi Rejestr osób upowaŝnionych (UŜytkowników), zgodnie ze wzorem określonym w załączniku nr Przyznanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie z następującą procedurą: 1) LADO występuje do ADO z wnioskiem o przyznanie, zmianę lub wycofanie uprawnień do przetwarzania danych osobowych (załącznik nr 3), który przekazuje do ABI. 2) w przypadku wnioskowania o uprawnienia do przetwarzania danych w systemie informatycznym, osoba określona we wniosku kierowana jest do ASI celem ustalenia loginu do wnioskowanego systemu przetwarzania danych oraz odbycia szkolenia. 3) przed otrzymaniem upowaŝnienia do przetwarzania danych osobowych, pracownik bądź inna osoba zapoznaje się z obowiązującymi przepisami, a takŝe przyjętymi w Uczelni zasadami bezpieczeństwa danych osobowych oraz zobowiązuje się do ich przestrzegania. 4) ABI na podstawie otrzymanego wniosku, któremu nadaje numer, wypełnia upowaŝnienie (załącznik nr 4), i w trzech egzemplarzach przekazuje do ADO. Zaakceptowane i podpisane upowaŝnienie ABI wprowadza do rejestru nadając kolejny numer, z czego: jeden egzemplarz otrzymuje osoba uprawniona lub upowaŝniona, drugi egzemplarz jest przechowywany w aktach osobowych lub dokumentacji osoby upowaŝnionej, trzeci egzemplarz przechowywany jest w rejestrze osób upowaŝnionych. 5) oryginał zatwierdzonego wniosku przechowuje i ewidencjonuje ABI, kopię wniosku otrzymuje uŝytkownik oraz ASI. 6) nadanie, zmiana i wycofanie uprawnień odbywa się zgodnie z instrukcją zarządzania systemem informatycznym. 3. Uprawnienia do przetwarzania danych osobowych wygasają z chwilą: ustania stosunku pracy, zmiany stanowiska lub zakresu obowiązków, a takŝe z upływem okresu.

5 4. KaŜdy uŝytkownik posiadający uprawnienie do przetwarzania danych osobowych w systemie informatycznym otrzymuje od ASI jednoznaczny i niepowtarzalny login do systemu. 5. Sposób uwierzytelnienia uŝytkownika w systemie informatycznym określa Instrukcja Zarządzania Systemem Informatycznym. 6. UŜytkownicy zobowiązani są do: 1) ścisłego przestrzegania zakresu nadanego upowaŝnienia, 2) przetwarzania i ochrony danych osobowych zgodnie z przepisami, 3) przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach słuŝbowych (lub wyznaczonych ich częściach), 4) zachowania w tajemnicy loginów i haseł uwierzytelniających uŝytkownika w systemie do przetwarzania danych osobowych, 5) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, 6) niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób uniemoŝliwiający ich odczytanie, 7) niszczenia w sposób mechaniczny za pomocą niszczarek dokumentów, dokumentów zawierających dane osobowe po ustaniu ich przydatności jeśli nie są archiwizowane, 8) nieudzielania informacji o danych osobowych przetwarzanych w Uczelni innym podmiotom, chyba Ŝe obowiązek taki wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w tych przepisach zostały spełnione, 9) zgłaszania ASI i LADO zauwaŝonych incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu, a takŝe informowania ABI o przypadkach naruszenia zasad ochrony danych oraz o przypadkach utraty lub kradzieŝy dokumentów lub innych nośników zawierających dane osobowe. 7. Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego Uczelni. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego systemu, są umiejscawiane w sposób uniemoŝliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń słuŝących do przetwarzania, a zwłaszcza kopiowania danych. 8. Dane osobowe przetwarzane w formach papierowych w sposób tradycyjny przechowuje się w sposób uniemoŝliwiający dostęp do nich osób nieupowaŝnionych, np. w zamkniętych szafach lub kasach pancernych. Rozdział IV Obszar przetwarzanych danych osobowych 10. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe w Uczelni jest prowadzony przez ABI na podstawie pisemnej informacji uzyskanej od Kierownika Działu Administracyjno- Technicznego. Wzór wykazu miejsc przetwarzania danych osobowych w Uczelni określa załącznik nr Dostęp do budynków i pomieszczeń Uczelni, w których przetwarzane są dane osobowe podlega całodobowej kontroli dostępu. 2. Kontrola dostępu polega na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się: nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia lub budynku oraz godzinę pobrania lub zdania klucza. 3. Klucze do budynków lub pomieszczeń, w których przetwarzane są dane osobowe wydawane mogą być wyłącznie pracownikom upowaŝnionym do przetwarzania danych osobowych lub innym pracownikom upowaŝnionym do dostępu do tych budynków, lub pomieszczeń na innych zasadach. 4. ABI przekazuje w formie pisemnej słuŝbie ochrony budynku i aktualizuje wykaz pomieszczeń, do których dostęp jest ograniczony ze względu na przetwarzanie danych osobowych, zgodnie z 10 oraz wykaz osób upowaŝnionych do pobierania kluczy do tych pomieszczeń, na podstawie informacji uzyskanych od LADO. 5. Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób nieupowaŝnionych. 6. Chwilowe opuszczenie pomieszczenia przez osobę przetwarzającą dane osobowe, wiąŝe się z zabezpieczeniem ich przed dostępem osób trzecich, z zastosowaniem dostępnych środków zabezpieczających. 7. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako cięŝkie naruszenie podstawowych obowiązków pracowniczych. Rozdział V Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Dane osobowe są przetwarzane przy zastosowaniu systemów informatycznych oraz tradycyjnych, w zbiorach ewidencyjnych oraz poza zbiorami. 2. W Uczelni przetwarzane są następujące zbiory danych: a) dane osobowe studentów, b) dane osobowe absolwentów, c) dane osobowe kandydatów na studia, d) dane osobowe pracowników,

6 e) dane osobowe kandydatów do pracy, f) dane osobowe staŝystów, g) dane osobowe byłych staŝystów, h) dane osobowe byłych pracowników, i) dane osobowe osób, z którymi zawarto umowy cywilno-prawne, j) dane osobowe osób, które posiadały umowy cywilno-prawne, k) dane osobowe osób korzystających z Biblioteki, l) dane osobowe osób, którzy korzystali z Biblioteki, m) dane osobowe słuchaczy, n) dane osobowe uczestników kursów, o) dane osobowe byłych uczestników kursów, p) dane osobowe osób korzystających z Domu Studenckiego, q) dane osobowe osób, które korzystały z Domu Studenckiego. 3. Uczelnia posługuje się systemami informatycznymi wymienionymi w załączniku nr Systemy informatyczne słuŝące do przetwarzania danych osobowych zabezpieczone są przed działaniem niepoŝądanym na bieŝąco aktualizowanymi systemami antywirusowymi. 2. Zbiory danych osobowych zlokalizowane są w przedmiotowych bazach danych umieszczonych na serwerach bazodanowych. 3. Dane osobowe w zbiorach są przetwarzane tylko w aplikacjach (programach) dostosowanych do merytorycznych potrzeb komórek organizacyjnych Uczelni. Rozdział VI Opis struktury zbiorów danych osobowych wskazujących zawartość pól informacyjnych i powiązania między nimi Zawartość pól informacyjnych, występujących w aplikacjach (programach) systemów zastosowanych do przetwarzania danych, musi być zgodna z przepisami prawa, które uprawniają lub zobowiązują ADO do przetwarzania danych osobowych. 2. Opisy struktur zbiorów danych wskazujące zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi wykonują ASI na podstawie aplikacji zastosowanych do przetwarzania tych danych, jeŝeli opisów nie uzyskano od dostawców oprogramowania. 3. Opisy, o których mowa w ust. 2 mogą być wykonywane w postaci wydruków zrzutów ekranowych lub struktur tablic bazy prezentujących zawartość pól informacyjnych i powiązań pomiędzy nimi. W przypadku braku moŝliwości uzyskania wydruku zrzutu ekranowego ASI sporządzają inne dostępne opisy struktury zbioru. 4. ASI zobowiązani są do przekazywania opisów do ABI oraz niezwłocznego informowania o wszelkich zmianach w strukturze zbiorów danych, załącznik nr 7. Rozdział VII Sposób przepływu danych pomiędzy poszczególnymi systemami Schematy przepływu danych pomiędzy systemami informatycznymi, zastosowanymi w celu przetwarzania danych osobowych wykonują ASI, zgodnie z relacjami występującymi pomiędzy tymi systemami. 2. ASI zobowiązani są do przekazywania schematów przepływu danych pomiędzy systemami informatycznymi oraz niezwłocznego informowania o wszelkich zmianach do ABI. 3. Przepływ danych pomiędzy systemami zastosowanymi w celu przetwarzania danych osobowych moŝe odbywać się w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego. 4. Przesyłanie danych pomiędzy systemami moŝe odbywać się w sposób manualny, przy wykorzystaniu nośników zewnętrznych (w szczególności dyskietki, płyty CD i DVD, dysku wymiennego, PenDrive a) lub w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu (importu) danych za pomocą teletransmisji (w szczególności poprzez wewnętrzną sieć teleinformatyczną). 5. Wzór schematu przedstawiającego sposób przepływu danych osobowych pomiędzy poszczególnymi systemami określa załącznik nr 8. Rozdział VIII Opis zdarzeń naruszających ochronę danych osobowych Podział zagroŝeń: a) zagroŝenia losowe zewnętrzne (np. klęski Ŝywiołowe, przerwy w zasilaniu), ich występowanie moŝe prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych,

7 b) zagroŝenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora systemu, awarie sprzętowe, błędy oprogramowania), moŝe dojść do zniszczenia danych, moŝe zostać zakłócona ciągłość pracy systemu, moŝe nastąpić naruszenie poufności danych, c) zagroŝenia zamierzone, świadome i celowe najpowaŝniejsze zagroŝenia, naruszenie poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagroŝenia te moŝemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagroŝenie materialnych składników systemu. 2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: poŝar, zalanie pomieszczeń, katastrofa budowlana itp.; b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych, a takŝe niewłaściwe działanie serwisu, d) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu, e) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego, wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepoŝądaną modyfikację w systemie, f) nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, g) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upowaŝnienia (autoryzacji), h) nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie, i) ujawniono osobom nieupowaŝnionym dane osobowe lub objęte tajemnicą procedury ochrony danych osobowych albo inne strzeŝone elementy systemu zabezpieczeń, j) praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od załoŝonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., k) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki, itp., l) podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upowaŝnienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe, m) raŝąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy stwierdzono naruszenie zabezpieczenia systemu informatycznego lub stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej wskazują na naruszenie zabezpieczeń tych danych. 4. Za naruszenie ochrony danych uwaŝa się równieŝ stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte w trakcie nieobecności w pomieszczeniu osoby upowaŝnionej szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych, tj. na papierze (wydrukach), dyskietkach w formie niezabezpieczonej itp. Rozdział IX Zasady postępowania w sytuacji naruszenia ochrony danych osobowych KaŜdy UŜytkownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym oraz w systemie tradycyjnym Uczelni zobowiązany jest do niezwłocznego poinformowania o tym ASI, LADO lub w przypadku ich nieobecności ABI. 2. ASI, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony bazy danych sytemu, którym administruje zobowiązany jest do niezwłocznego: a) zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu, b) jeŝeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą, godziną i podpisania, c) przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp., d) podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in.: fizycznego odłączenia urządzeń i segmentów sieci które mogły umoŝliwić dostęp do bazy danych osobie niepowołanej, wylogowania uŝytkownika podejrzanego o naruszenie ochrony danych, zmianę hasła na konto administratora i uŝytkownika poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu, e) szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych,

8 f) przywrócenia normalnego działania systemu, przy czym, jeŝeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostroŝności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupowaŝnioną, tą samą drogą, g) złoŝenie głównemu informatykowi raportu o zaistniałym wypadku naruszenia ochrony danych osobowych i podjętych krokach zabezpieczających. 3. Główny informatyk powinien: a) przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości, b) jeŝeli przyczyną zdarzenia był błąd uŝytkownika systemu informatycznego, naleŝy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych, c) jeŝeli przyczyną zdarzenia była infekcja wirusem naleŝy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości, d) w porozumieniu z właściwym LADO przygotować szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 14 dni od daty jego zaistnienia, przekazać do ADO i ABI. 4. LADO w przypadku naruszenia ochrony danych osobowych w formie tradycyjnej (np. pozostawienia niezabezpieczonych przed dostępem osób postronnych dokumentów na: biurku, ksero lub drukarce, kradzieŝy dokumentów, niezamkniętej szafy, niewłaściwego zniszczenia dokumentów w sposób umoŝliwiający identyfikacje zawartych w nich danych osobowych, prace na danych osobowych w celach prywatnych itp.) ma obowiązek ponownie przeszkolić UŜytkownika, a w przypadku zaniedbań sporządzić raport z zaistniałej sytuacji i poinformować o tym fakcie ABI. 5. JeŜeli przyczyną naruszenia zasad ochrony danych osobowych było zaniedbanie ze strony uŝytkownika systemu, ADO moŝe wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych.

9 Załącznik nr 1 do Polityki Bezpieczeństwa Wzór dokumentu powołania Lokalnego Administratora Danych Osobowych Legnica, dnia.. r. POWOŁANIE LOKALNEGO ADMINISTRATORA DANYCH OSOBOWYCH Nr.. 1 ) Celem spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.): powołuję, Panią/Pana... (imię i nazwisko) zatrudnioną(nego) na stanowisku/pełniącą(ego) funkcję... w... (nazwa jednostki/komórki organizacyjnej) do pełnienia funkcji Lokalnego Administratora Danych Osobowych dla zbioru na okres..... (podpis Rektora ) (podpis LADO) 1) numer nadaje ABI

10 Załącznik nr 2 do Polityki Bezpieczeństwa Wzór rejestru osób upowaŝnionych do przetwarzanie danych osobowych. Lp. Nazwisko Imię Komórka organizacyjna Zakres uprawnień Login Numer upowaŝnienia nadania uprawnień Data wycofania uprawnień Uwagi

11 Załącznik nr 3 do Polityki Bezpieczeństwa Legnica, dnia.. r. AKCEPTUJĘ: (Rektor/Kanclerz) Wniosek o (przyznanie/zmianę/wycofanie 1 ) Uprawnień do przetwarzania danych osobowych Nr.. 2 dla Pani/Pana... (imię i nazwisko) zatrudnionej/nego na stanowisku... w... pomieszczenie.../.../... (nazwa jednostki/komórki organizacyjnej) (obiekt/budynek/nr) do przetwarzania danych osobowych, które obejmuje/obejmowało 1 przetwarzanie w zakresie (wymienić rodzaj danych) w 3... login 4 :... na okres od. do.. (podpis ASI) (podpis LADO) 1 ) podkreślić właściwe 2 ) numer nadaje ABI 3 ) podać sposób przetwarzania danych np. w systemie informatycznym (podać nazwę systemu) lub/takŝe w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych (wymienić) 4 ) (identyfikator uŝytkownika w systemie informatycznym) w przypadku nowego pracownika, po zatwierdzeniu Wniosku przez Rektora login do systemu informatycznego zakłada ASI, w przypadku zmian login podaje osoba dla której składany jest wniosek

12 Załącznik nr 4 do Polityki Bezpieczeństwa Legnica, dnia..... r. UpowaŜnienie do przetwarzania danych osobowych w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy nr..... Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101 poz. 926 z późn. zm), Rektor/Kanclerz PWSZ im. Witelona w Legnicy upowaŝnia Panią/Pana: (imię i nazwisko) (nazwa jednostki/komórki organizacyjnej) do przetwarzania danych osobowych PWSZ im. Witelona w Legnicy zgodnie z Wnioskiem nr.... oraz zobowiązuje do przetwarzania danych osobowych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wydanymi na jej podstawie aktami wykonawczymi oraz obowiązującymi przepisami wewnętrznymi. (Rektor/Kanclerz)..... (data i podpis ABI)..... (data i podpis upowaŝnionego) UpowaŜnienie wycofano dnia: (data i podpis ABI) Strona 1

13 .... Legnica, dnia..... r. (nazwisko i imię).... (stanowisko słuŝbowe oraz nazwa komórki organizacyjnej)... (numer ewidencyjny) OŚWIADCZENIE Ja niŝej podpisana/ny oświadczam, iŝ: 1. Zostałam/em przeszkolona/ny w zakresie ochrony danych osobowych i znana jest mi treść ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.) oraz Polityki Bezpieczeństwa w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy a takŝe Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych. 2. Zobowiązuję się: zachować w tajemnicy dane osobowe, z którymi zetknęłam się/zetknąłem się* w trakcie wykonywania swoich obowiązków słuŝbowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu; chronić dane osobowe przed dostępem do nich osób do tego nieupowaŝnionych, zabezpieczać je przed zniszczeniem i nielegalnym ujawnieniem. 3. Znana jest mi odpowiedzialność karna za naruszenie ustawy o której mowa w ust.1 (art ). 4. Przyjmuję do wiadomości, iŝ: sposoby zabezpieczenia danych osobowych stosowane w PWSZ im. Witelona w Legnicy są tajemnicą Uczelni; postępowanie sprzeczne z powyŝszymi zobowiązaniami moŝe być uznane przez administratora danych osobowych za cięŝkie naruszenie obowiązków pracowniczych w rozumieniu art pkt 1 Kodeksu Pracy lub za naruszenie przepisów karnych ww. ustawy o ochronie danych osobowych, a takŝe przepisów prawa cywilnego w przypadku umowy cywilno-prawnej (Rektor/Kanclerz) (podpis) * niepotrzebne skreślić Strona 2

14 Załącznik nr 5 do Polityki Bezpieczeństwa Wzór wykazu miejsc przetwarzania danych osobowych w PWSZ im. Witelona w Legnicy Lp. Nazwa zbioru danych (1) Budynek Nr pokoju Nazwa Systemu (2) Funkcja lokalizacji (3) Zabezpieczenie fizyczne (4) (1) nazwa zbioru danych osobowych zgodna z Polityką Bezpieczeństwa (2) nazwa systemu do przetwarzania tradycyjny (papierowy), informatyczny (nazwa systemu) (3) S - serwer, K miejsce przechowywania kopii bezpieczeństwa, Z pomieszczenie, w którym wykonywane są kopie bezpieczeństwa, U pomieszczenie osób wprowadzających dane, A pomieszczenie administratora bazy danych, P pomieszczenie, gdzie przetwarza się dane osobowe w sposób tradycyjny (papierowy), AP archiwum zbiorów papierowych, (4) A alarm, W wzmocnione drzwi Dane aktualne na dzień..... Sporządził.....

15 Załącznik nr 6 do Polityki Bezpieczeństwa Wzór wykazu systemów informatycznych przetwarzania danych osobowych w PWSZ im. Witelona w Legnicy Lp. Nazwa zbioru danych Systemy informatyczne stosowane do przetwarzania danych osobowych w zbiorze Zastosowany poziom bezpieczeństwa Uwagi Dane aktualne na dzień..... Sporządził.....

16 Załącznik nr 7 do Polityki Bezpieczeństwa Wzór struktury zbiorów danych.... System informatyczny stosowany do przetwarzania danych osobowych Lp. Nazwa zbioru danych Zakres przetwarzanych danych Dane aktualne na dzień.. Sporządził..

17 Załącznik nr 8 do Polityki Bezpieczeństwa Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami. Nazwa systemu Przepływ jednokierunkowy Nazwa systemu do przetwarzania danych osobowych sposób przepływu informacji (manualny, automatyczny, półautomatyczny), wykorzystywany nośnik do przetwarzania danych osobowych Przepływ dwukierunkowy Dane aktualne na dzień.. Sporządził..

18 Załącznik nr 2 do zarządzenia nr 9/11 Rektora Państwowej WyŜszej Szkoły Zawodowej im. Witelona w Legnicy z dnia 21 marca 2011 r. Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w Państwowej WyŜszej Szkole Zawodowej im. Witelona w Legnicy 1. Postanowienia ogólne Celem wprowadzenia instrukcji jest ustalenie ramowych zasad właściwego zarządzania zabezpieczeniami systemu informatycznego oraz ochrony danych osobowych zwanych dalej danymi przetwarzanych w tym systemie. 2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym. 1. Dane osobowe przetwarzane są w PWSZ im. Witelona w Legnicy z uŝyciem dedykowanych serwerów, komputerów stacjonarnych i przenośnych. 2. Dla kaŝdego uŝytkownika systemu informatycznego, który przetwarza dane osobowe, ASI (Administrator Systemów Informatycznych) ustala niepowtarzalny login. 3. Dostęp do danych osobowych przetwarzanych w systemie informatycznym moŝliwy jest wyłącznie po podaniu przez uŝytkownika loginu i właściwego hasła dostępu. 4. Główny informatyk lub osoba przez niego upowaŝniona tj. ASI przekazując uŝytkownikowi login i hasło przeprowadza szkolenie z zakresu pracy w systemie informatycznym oraz bezpieczeństwa danych w systemie informatycznym. 5. Za realizację procedury rejestrowania, aktualizacji oraz wyrejestrowywania uŝytkowników w systemie informatycznym odpowiedzialny jest ASI. 6. Login wraz z danymi uŝytkownika podlega wpisowi do rejestru osób upowaŝnionych do przetwarzania danych osobowych oraz rejestracji w systemie informatycznym. 7. UŜytkownicy nie mogą korzystać z innych loginów niŝ te, do których są upowaŝnieni. 8. Login uŝytkownika nie podlega zmianie, a po wyrejestrowaniu uŝytkownika z systemu informatycznego, nie jest przydzielany innej osobie. 9. Główny informatyk wyznacza dla kaŝdego systemu informatycznego ASI oraz osobę zastępującą, w przypadku jego nieobecności. ASI przydziela się w systemie login uŝytkownika uprzywilejowanego. 10. LADO (Lokalny Administrator Danych Osobowych), informuje głównego informatyka o fakcie utraty przez podległą mu osobę uprawnień dostępu do danych osobowych w systemie informatycznym. 11. Login osoby, która utraciła uprawnienia dostępu do danych osobowych, naleŝy niezwłocznie wyrejestrować z systemu informatycznego, uniewaŝnić jej hasło, oraz podjąć inne stosowne działania w celu zapobieŝenia dalszemu dostępowi tej osoby do danych. 3. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i uŝytkowaniem 1. Hasło ustanowione podczas przyznawania uprawnień przez ASI naleŝy zmienić na indywidualne podczas pierwszego logowania się w systemie. 2. Hasło dostępu uŝytkownika ulega automatycznej zmianie raz na miesiąc. Za jego zmianę odpowiedzialny jest uŝytkownik. 3. Hasło składa się z co najmniej ośmiu znaków, zawiera małe i duŝe litery oraz cyfry lub znaki specjalne. 4. Hasło nie moŝe być udostępniane innym uŝytkownikom ani przechowywane w miejscach umoŝliwiających dostęp do niego osobom trzecim. 5. W przypadku, gdy istnieje podejrzenie, Ŝe hasło mogła poznać osoba nieuprawniona, uŝytkownik zobowiązany jest do natychmiastowej zmiany hasła, lub w razie problemów powiadomić o tym fakcie ASI. 6. Pracownik ma prawo do wykonywania tylko tych czynności, do których został upowaŝniony. 7. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy uŝyciu jego logina i hasła dostępu. 8. W przypadku przetwarzania danych osobowych w komputerach przenośnych za bezpieczeństwo danych osobowych w całości odpowiada uŝytkownik urządzenia. 9. Komputery przenośne, dyski twarde oraz inne wykorzystywane nośniki informacji powinny być zabezpieczone w sposób uniemoŝliwiający dostęp do danych osobowych osobom postronnym (np. nieuprawniony dostęp, kradzieŝ komputera, szpiegostwo przemysłowe), poprzez wykorzystanie metod i środków kryptograficznych (szyfrowane partycje dysków twardych, szyfrowanie plików, ochrona fizyczna nośników). 10. Stanowiska komputerowe, na których skonfigurowanie logina i hasła zapewniającego ochronę jest nieskuteczne, zabezpiecza się dodatkowym hasłem (hasło wygaszacza ekranu, hasło BIOSu) 11. Hasła ASI są zdeponowane w Kancelarii Tajnej i podlegają zmianie raz w roku.

19 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu 1. Dane osobowe, których administratorem jest PWSZ im. Witelona w Legnicy mogą być przetwarzane z uŝyciem systemu informatycznego tylko na potrzeby realizowania zadań statutowych i organizacyjnych Uczelni. 2. UŜytkownik przystępujący do pracy w systemie informatycznym, w którym przetwarzane są dane osobowe wpisuje login oraz hasło dostępu, a po uzyskaniu akceptacji uruchamia właściwy program. 3. UŜytkownik ma obowiązek wylogowania się lub zablokowania systemu w przypadku nieobecności na stanowisku pracy lub w przypadku zakończenia pracy. Stanowisko komputerowe nie moŝe pozostać z uruchomionym i dostępnym systemem bez nadzoru pracującego na nim uŝytkownika. 4. Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają upowaŝnień do przetwarzania danych osobowych, naleŝy ustawić w taki sposób, aby uniemoŝliwić osobom postronnym wgląd w dane. 5. Po zakończeniu pracy naleŝy zamknąć programy i po zastosowaniu odpowiedniej procedury wyłączyć komputer. 6. Wychodząc z pomieszczenia, w którym przetwarzane są dane z systemu informatycznego naleŝy sprawdzić czy zamknięte są okna i wejście do pomieszczenia. 7. UŜytkownik niezwłocznie powiadamia ASI o przypadku braku moŝliwości zalogowania się na swoje konto oraz LADO w przypadku podejrzenia fizycznej ingerencji w przetwarzane dane osobowe lub uŝytkowane narzędzia programowe lub sprzętowe. Wówczas, uŝytkownik jest zobowiązany do natychmiastowego wyłączenia sprzętu. 8. Osoby uŝytkujące przenośny komputer, słuŝący do przetwarzania danych osobowych, obowiązane są zabezpieczyć dostęp do komputera hasłem, zachować szczególną ostroŝność podczas transportu i przechowywania komputera, nie zezwalając na uŝywanie komputera przez osoby nieupowaŝnione. 9. Drukarki nie mogą być pozostawione bez kontroli jeśli są lub wkrótce będą drukowane na nich dane osobowe z systemu informatycznego, o ile dostęp osób trzecich do pomieszczeń drukarek nie jest odpowiednio ograniczony. 10. Drukowanie na takich drukarkach jest dopuszczalne o ile otoczenie drukarki jest chronione przed fizycznym dostępem osób nieuprawnionych. 11. Za przechowywanie wydruku zawierającego dane z systemu informatycznego w PWSZ im. Witelona w Legnicy odpowiada uŝytkownik tj. wykonawca wydruku. 12. Wykonawca który odpowiada za przechowywanie wydruku zawierającego dane z systemu informatycznego, moŝe przekazać wydruk oraz odpowiedzialność za jego przechowanie innej osobie tylko wtedy, gdy jest ona upowaŝniona do dostępu informacji zawartych na wydruku. 13. Wydruki zawierające dane z systemu informatycznego po zakończeniu pracy powinny być przechowywane w zamkniętych szafach. 14. Wydruki, notatki, kserokopie dokumentów itp. nie wykorzystane a zawierające dane osobowe z systemu informatycznego muszą być bezwzględnie niszczone w sposób uniemoŝliwiający odtworzenie ich treści. 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania 1. Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą: a) urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej, b) sporządzania kopii zapasowych zbiorów danych (kopie pełne). 2. Główny informatyk odpowiedzialny jest za tworzenie kopii bezpieczeństwa systemu informatycznego, przy czym moŝe on zlecić wykonanie tej kopii wyznaczonemu ASI. 3. Pełne kopie zapasowe zbiorów danych tworzone są codziennie po zakończonym dniu pracy. 4. W szczególnych przypadkach przed aktualizacją lub zmianą w systemie naleŝy bezwarunkowo wykonać pełną kopię zapasową systemu. 5. Kopie zapasowe zbiorów danych naleŝy okresowo sprawdzać pod kątem ich przydatności do odtworzenia gdyby doszło do awarii systemu. Za przeprowadzanie tej procedury odpowiedzialny jest właściwy ASI. 6. Nośniki danych po ustaniu ich uŝyteczności naleŝy pozbawić danych lub zniszczyć w sposób uniemoŝliwiający odczyt danych. 7. W przypadku komputerów stacjonarnych i przenośnych nie będących własnością PWSZ im. Witelona w Legnicy, uŝytkownik systemu ma obowiązek sporządzania kopii zapasowych jak równieŝ ochrony nośników informacji. Wymaga się od uŝytkownika stosowania zasad dotyczących ochrony danych osobowych przed dostępem osób nieuprawnionych. 6. Sposób, miejsce i okres przechowywania nośników informacji zawierających dane osobowe, w tym kopii zapasowych 1. Okresowe kopie zapasowe wykonywane są na dyskietkach, płytach CD, DVD, kasetach do streamerów lub innych elektronicznych nośnikach informacji. Kopie powinny być przechowywane w innych pomieszczeniach niŝ te,

20 w których przechowywane są zbiory danych osobowych wykorzystywane na bieŝąco. Kopie zapasowe przechowuje się w sposób uniemoŝliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie. 2. Dostęp do nośników z kopiami zapasowymi systemu oraz kopiami danych osobowych, ma wyłącznie Rektor, Kanclerz, Główny Informatyk, ABI oraz ASI. 3. Kopie miesięczne przechowuje się przez okres 12 miesięcy. Kopie zapasowe naleŝy bezzwłocznie usuwać po ustaniu ich uŝyteczności. 4. Usunięcie danych z systemu powinno zostać zrealizowane przy pomocy oprogramowania przeznaczonego do bezpiecznego usuwania danych z nośnika informacji. 5. W przypadku kopii zapasowych sporządzanych indywidualnie przez uŝytkownika, za ich zniszczenie odpowiada uŝytkownik. 6. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych. 7. W przypadku nośników informacji, przez ich zniszczenie rozumie się ich trwałe i nieodwracalne zniszczenie fizyczne do stanu nie dającego moŝliwości ich rekonstrukcji i odzyskania danych. 8. W przypadku braku moŝliwości zrealizowania procedury zniszczenia nośników informacji, naleŝy fakt ten zgłosić głównemu informatykowi. Po przekazaniu nośników zostaną one zniszczone w ramach środków technicznych Działu Administracyjno-Technicznego, bądź poddane procedurze utylizacji nośników informacji realizowanej przez firmę zewnętrzną. 9. Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy naleŝy pozbawić przed naprawą zapisu danych albo naprawiać pod nadzorem osoby upowaŝnionej przez ADO. 7. Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania 1. Ruch w sieci komputerowej PWSZ im. Witelona w Legnicy jest zabezpieczony przed dostępem z zewnętrznej publicznej sieci przez zastosowanie rozbudowanej ściany ogniowej (firewall). Ruch jest monitorowany przez ABI w celu kontroli przepływu danych między siecią publiczną, a siecią PWSZ im. Witelona w Legnicy oraz kontroli działań w sieciach. 2. Na wszystkich stacjach roboczych oraz serwerach zainstalowane jest oprogramowanie antywirusowe NOD Aktualizacje baz danych pobierane są codziennie do lokalnego repozytorium, z którego aktualizacje pobierane są przez pozostałe komputery. 4. Funkcjonowanie oprogramowania antywirusowego nadzorowane jest centralnie przez oprogramowanie konsoli zarządzającej. 5. UŜytkownicy powinni być przeszkoleni w ramach wewnętrznych szkoleń adaptacyjnych, w szczególności z zasad bezpiecznej pracy pozwalających unikać szkodliwego oprogramowania oraz zasad postępowania w przypadku wykrycia, lub podejrzenia działania złośliwego oprogramowania. 6. Oprogramowanie uŝywane w systemie informatycznym w PWSZ im. Witelona w Legnicy musi być chronione przed jakąkolwiek niekontrolowaną modyfikacją, nieautoryzowanym usunięciem oraz kopiowaniem. 7. Przed jakimkolwiek zainstalowaniem nowego oprogramowania naleŝy sprawdzić jego działanie pod kątem bezpieczeństwa całego systemu. 8. W systemie informatycznym w PWSZ im. Witelona w Legnicy moŝe być uŝywane wyłącznie oprogramowanie licencjonowane przez posiadacza praw autorskich. 9. Oprogramowanie moŝe być uŝywane tylko zgodnie z prawami licencji. 10. Narzędzia związane z bezpieczeństwem systemów mogą być wykorzystane w systemie informatycznym w PWSZ im. Witelona w Legnicy tylko jeśli pochodzą od zaufanego dostawcy. 11. ASI raz w miesiącu dokonuje sprawdzenia serwera przy uŝyciu uaktualnionego oprogramowania antywirusowego. 12. UŜytkownik przeprowadza cykliczne kontrole antywirusowe w przydzielonym mu komputerze - minimum raz w miesiącu. W przypadku wykrycia wirusów komputerowych, sprawdzane jest stanowisko komputerowe na którym wykryto wirusa oraz wszystkie posiadane przez uŝytkownika nośniki 13. Kontrola antywirusowa przeprowadzana jest równieŝ na wybranym komputerze, w przypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowaniu. 14. W przypadku podejrzenia wykrycia wirusa komputerowego uŝytkownik powinien natychmiast powiadomić o tym głównego informatyka lub ASI. 15. Bez zgody głównego informatyka oraz ASI zabronione jest instalowanie jakiegokolwiek oprogramowania komputerowego. 16. Pobieranie w niezbędnym zakresie danych ze źródeł zewnętrznych moŝliwe jest wyłącznie po uprzednim ich sprawdzeniu na obecność wirusów komputerowych. 17. Rejestr wydanych komputerowych nośników informacji przeznaczonych do przetwarzania danych osobowych prowadzony jest przez głównego informatyka. 18. Za pobrany komputerowy nośnik informacji, bezpieczeństwo zapisanych na nim danych oraz rejestrację, o której mowa w ust. 17 odpowiada uŝytkownik, który pobrał dany nośnik i posiada go na swoim stanie. 19. Autoryzowane, do uŝywania z systemu informatycznego w PWSZ im. Witelona w Legnicy, nośniki informacji powinny być po zakończeniu pracy przechowywane w sposób zapewniający bezpieczeństwo zapisanych na nim danych. 20. W przypadku uszkodzenia lub zuŝycia dyskietki, płyty CD-ROM lub inne komputerowe nośniki winny być zdawane głównemu informatykowi. 21. Główny informatyk dokonuje zniszczenia uszkodzonego lub zuŝytego komputerowego nośnika informacji w sposób uniemoŝliwiający odtworzenie zapisanych na nim danych.