Załącznik nr 1 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Transkrypt

1 Załącznik nr 1 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Lublin, marzec 2013

2 SPIS TREŚCI 1 Zakres unormowań GIODO Zasady przetwarzania danych osobowych Legalność przetwarzania danych osobowych, zgoda na przetwarzanie danych Obowiązek informacyjny Powierzenie przetwarzania danych osobowych Udostępnianie danych osobowych Prawa osób, których dane dotyczą Przesyłanie danych Zbiór danych osobowych, rejestracja zbiorów Obszar przetwarzania danych osobowych Opis struktury zbiorów danych osobowych oraz sposobu przepływu danych pomiędzy systemami Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Zabezpieczenie danych osobowych przed osobami nieupowaŝnionymi Kontrola dostępu do danych Archiwizacja danych osobowych Zabezpieczenie danych osobowych zapisanych w formie papierowej Ochrona systemu przed wirusami Kontrola wewnętrzna Zasady postępowania w przypadkach naruszeń bezpieczeństwa danych osobowych Postępowanie w przypadkach zagroŝeń bezpieczeństwa danych Środki organizacyjne Pozostałe informacje dotyczące systemów informatycznych i baz danych...14 Załączniki...14 Polityka bezpieczeństwa danych osobowych 2

3 1 ZAKRES UNORMOWAŃ 1. Niniejsza Polityka bezpieczeństwa stanowi integralną część Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Została opracowana w celu zapewnienia prawidłowości wdroŝenia i zabezpieczenia procesu przetwarzania danych osobowych w Uniwersytecie oraz kompleksowości rozwiązań w przedmiotowym obszarze. 2. Mając na uwadze wymogi przepisów prawa z zakresu ochrony danych osobowych niniejszy dokument określa m.in. zasady przetwarzania danych administrowanych przez Uniwersytet oraz: Wykaz budynków oraz pomieszczeń tworzących obszar, w którym przetwarzane są dane; Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi; Sposób przepływu danych pomiędzy systemami; Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 2 GIODO 1. Kompetencje GIODO oraz uprawnienia pracowników Biura GIODO określone są w Ustawie o ochronie danych osobowych. 2. Administrator Danych Osobowych ma obowiązek umoŝliwienia pracownikom GIODO realizacji praw wynikających z obowiązujących przepisów prawa, w szczególności w zakresie uprawnień kontrolnych GIODO. 3. W kaŝdym przypadku skierowania przez GIODO pisma, skargi lub wszczęcia z urzędu lub na wniosek postępowania kontrolnego lub administracyjnego w stosunku do Uniwersytetu o danym fakcie naleŝy bezzwłocznie poinformować Administratora Bezpieczeństwa Informacji. 3 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH 1. Legalność przetwarzania danych osobowych, zgoda na przetwarzanie danych 1) Przetwarzanie danych osobowych moŝe mieć miejsce, gdy: a) osoba, której dane dotyczą, wyrazi pisemną zgodę na ich przetwarzanie (nie dotyczy usunięcia danych), b) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa, c) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na Ŝądanie osoby, której dane dotyczą, d) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, e) jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora Danych Osobowych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 2) W sytuacji, gdy przesłanką legalnego przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą warunkiem jej skuteczności jest dobrowolność oraz świadomość jej złoŝenia. Zgoda nie moŝe być domniemana lub dorozumiana z oświadczenia woli o innej treści, moŝe być ona w kaŝdym czasie odwołana. Wzór zgody przedstawia załącznik nr 1 do Polityki bezpieczeństwa. Polityka bezpieczeństwa danych osobowych 3

4 3) W przypadku zaistnienia przesłanek wskazanych w pkt. 1) ppkt b e Uniwersytet nie musi występować o zgodę na przetwarzanie danych osobowych. 4) Za prawnie usprawiedliwiony cel przetwarzania danych osobowych uwaŝa się w szczególności: a) marketing bezpośredni własnych produktów lub usług, b) dochodzenie roszczeń z tytułu prowadzonej działalności. 5) Zabrania się przetwarzania danych osobowych sensytywnych, za wyjątkiem sytuacji gdy m.in.: a) przetwarzanie takich danych jest dopuszczalne w oparciu o przepis szczególny innej niŝ UODO ustawy i zachowana jest pełna gwarancja ich ochrony, b) jest to niezbędne do wykonania statutowych zadań organizacji lub instytucji naukowych, pod warunkiem, Ŝe przetwarzanie danych dotyczy wyłącznie tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, c) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, d) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. 6) Szczegółowe zasady dotyczące warunków legalnego przetwarzania danych osobowych oraz praw i obowiązków związanych z ich przetwarzaniem zarówno administratora danych, jak i osoby, której dane dotyczą, w szczególności prawa do dobrowolnego podania danych osobowych, ich modyfikacji oraz sprzeciwu wobec ich przetwarzania określa UODO. 7) Administrator Danych Osobowych zobowiązany jest stosować się do unormowań prawnych w przedmiotowym obszarze. 2. Obowiązek informacyjny 1) Uniwersytet zbiera dane osobowe od osoby, której dane dotyczą. 2) Zobowiązany jest on poinformować tę osobę o: a) pełnej nazwie i adresie swojej siedziby, b) celu zbierania danych, w szczególności o znanych mu, w czasie udzielania informacji, odbiorcach lub przewidywanych odbiorcach lub kategoriach odbiorców danych, c) prawie dostępu do treści swoich danych oraz ich poprawiania, d) dobrowolności albo obowiązku podania danych, a jeŝeli taki obowiązek istnieje o jego podstawie prawnej. Wzór informacji dla osoby, której dane dotyczą zawiera załącznik nr 2 do Polityki Bezpieczeństwa. 3) Obowiązek informacyjny wypełniany jest w chwili zbierania danych. Nie ma znaczenia sposób zbierania danych: za pomocą platformy rekrutacyjnej, pisemny, telefoniczny, czy teŝ w kontaktach bezpośrednich. 4) W przypadku zbierania danych nie od osoby, której one dotyczą administrator danych obowiązany jest poinformować tę osobę dodatkowo o źródle, z którego pozyskane są dane oraz prawie do wniesienia Ŝądania zaprzestania przetwarzania danych, sprzeciwu wobec ich przetwarzania lub przekazywania ich innemu administratorowi. 5) Obowiązku informacyjnego nie wypełnia się jeśli: a) przepis innej ustawy zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania, b) osoba, której dane dotyczą, posiada przedmiotowe informacje. 6) Informacje stanowiące dane osobowe mogą być przekazywane, przez umocowanych do tego typu czynności pracowników, wyłącznie osobom, których te dane dotyczą, chyba Ŝe osoby te wyraŝą zgodę na przekazywanie danych ich dotyczących wskazanym przez siebie osobom lub podmiotom. Polityka bezpieczeństwa danych osobowych 4

5 3. Powierzenie przetwarzania danych osobowych 1) Uniwersytet jako Administrator Danych Osobowych moŝe powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej w oparciu o art. 31 UODO. 2) Do umów zawieranych z podmiotami zewnętrznymi, przy realizacji których istnieje prawdopodobieństwo dostępu do pomieszczeń lub informacji i danych podlegających ochronie powinny zostać włączone klauzule: a) dotyczące obowiązku ochrony tych informacji przez strony umowy zarówno w trakcie trwania umowy, jak i po jej ustaniu, b) ograniczenia dostępu do informacji wyłącznie do osób związanych z realizacją umowy, c) zakazu ujawniania danych, d) odpowiedzialności w przypadku naruszenia bezpieczeństwa danych zarówno przez podmiot jak i zatrudnionych pracowników, a w przypadku umów powierzenia przetwarzania danych osobowych równieŝ klauzule określające: cel, zakres powierzenia przetwarzania danych osobowych, zasady przetwarzania i ochrony danych przez Zleceniobiorcę zgodnie z ustawą o ochronie danych osobowych, spełnienie wymogów wynikających z Ustawy o ochronie danych osobowych oraz przepisów wykonawczych do niej, prawo kontroli spełnienia wymogów podmiotu, któremu powierzono dane zarówno przed zawarciem umowy, jak i w trakcie jej trwania, odpowiedzialność podmiotu i jego pracowników z tytułu powierzenia przetwarzania powierzonych danych osobowych, obowiązek poinformowania o wszelkich naruszeniach w zakresie przetwarzania danych osobowych oraz kontrolach uprawnionych instytucji zewnętrznych, skutki naruszenia zasad przetwarzania danych osobowych, obowiązek podjęcia działań mających na celu zapobiegnięcie wyciekowi danych oraz wdroŝenie środków zapobiegawczych mających na celu brak moŝliwości wystąpienia naruszeń w przyszłości, prawo do natychmiastowego rozwiązania umowy w przypadku braku przestrzegania jej postanowień. 3) Projekty umów powierzenia przetwarzania danych osobowych innemu podmiotowi naleŝy opiniować u Administratora Bezpieczeństwa Informacji. 4) Jednostki organizacyjne, w których zawierane są umowy powierzenia przetwarzania danych osobowych zobowiązane są do prowadzenia rejestru umów powierzenia. 5) Podmiot, któremu powierzono przetwarzanie danych osobowych moŝe przetwarzać te dane wyłącznie w zakresie i celu przewidzianym w umowie, ponosi równieŝ odpowiedzialność za zachowanie wszelkich wymogów wynikających z przepisów prawa w zakresie ochrony danych osobowych, w szczególności zastosowanie wymogów technicznych i organizacyjnych do zabezpieczenia przedmiotowych danych. 4. Udostępnianie danych osobowych Dane osobowe administrowane przez Uniwersytet mogą być udostępniane wyłącznie na podstawie obowiązujących przepisów prawa. Szczegółowe zasady udostępniania danych osobowych określa Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych stanowiąca Załącznik nr 2 do Regulaminu ochrony danych osobowych UMCS. 5. Prawa osób, których dane dotyczą 1) KaŜdej osobie, której dane są przetwarzane, przysługuje prawo do kontroli przetwarzania tych danych, a w szczególności prawo wglądu do treści danych osobowych oraz: a) informacji o: fakcie przetwarzania danych jej dotyczących (czy istnieje zbiór danych), Polityka bezpieczeństwa danych osobowych 5

6 pełnej nazwie i adresie siedziby Administratora Danych Osobowych, celu przetwarzania danych, zakresie wykorzystywanych danych (kategoriach przetwarzanych informacji), sposobie przetwarzania danych (środkach, przy pomocy których dane są przetwarzane), dacie, od kiedy dane są przetwarzane przez Administratora Danych Osobowych (dacie włączenia do zbioru), źródle danych, chyba Ŝe Administrator Danych Osobowych zobowiązany jest do zachowania w tym zakresie tajemnicy, sposobie udostępniania danych oraz odbiorcach lub kategoriach odbiorców, którym dane są udostępniane, przesłankach podjęcia rozstrzygnięcia podjętego podczas zawierania lub wykonywania umowy uwzględniającego wniosek osoby, której dane dotyczą; b) Ŝądania uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia; c) wniesienia - w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy o ochronie danych osobowych - pisemnego, umotywowanego Ŝądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz sprzeciwu wobec przetwarzania danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, d) wniesienia Ŝądania ponownego, indywidualnego rozpatrzenia sprawy, jeŝeli treść rozstrzygnięcia, w tej sprawie, jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym. 2) Udostępnienie informacji, o których mowa w pkt 1) odbywa się na wniosek zainteresowanej osoby, nie częściej niŝ raz na 6 miesięcy. Fakt udostępnienia informacji naleŝy odnotować w ewidencji udostępniania danych osobowych, której wzór wprowadza Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych. 3) Administrator Danych Osobowych na wniosek, o którym mowa w pkt 2), zobowiązany jest, w terminie 30 dni, poinformować zainteresowaną osobę o przysługujących jej prawach oraz udzielić informacji, o których udostępnienie zainteresowana osoba wnioskuje. 4) Uzupełnienie, uaktualnienie, sprostowanie, czasowe lub stałe wstrzymanie przetwarzania danych osobowych następuje, na wniosek zainteresowanej osoby, gdy dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane niezgodnie z obowiązującymi przepisami. Do celów dowodowych wymagana jest pisemna forma wniosku. 5) Po złoŝeniu przez zainteresowaną osobę wniosku, o którym mowa w pkt 4), Administrator Danych Osobowych zobowiązany jest bezzwłocznie do dokonania stosownych czynności w celu uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania jej danych, chyba Ŝe do odmiennego postępowania uprawniają go obowiązujące przepisy prawa. 6) Osoba, której dane są przetwarzane, ma prawo do wniesienia pisemnego sprzeciwu wobec przetwarzania jej danych dla celów marketingowych lub przekazania ich innemu administratorowi, w przypadkach przewidzianych przepisami Ustawy o ochronie danych osobowych. 7) W przypadku wniesienia sprzeciwu, o którym mowa w pkt 6), naleŝy bezzwłocznie zaprzestać przetwarzania kwestionowanych danych. 8) W celu uniknięcia ponownego wykorzystania danych osobowych osoby, o której mowa pkt 6), w celach objętych sprzeciwem w zbiorze pozostawia się jej imię i nazwisko, numer PESEL lub adres, chyba Ŝe system informatyczny wykorzystywany w Uniwersytecie nie zezwala na pozostawienie tych danych. 6. Przesyłanie danych 1) Dopuszcza się elektroniczny obieg dokumentów zawierających dane osobowe pomiędzy jednostkami organizacyjnymi Uniwersytetu oraz zewnętrznymi jednostkami organizacyjnymi z zastosowaniem uŝytkowanych w Uniwersytecie środków. Polityka bezpieczeństwa danych osobowych 6

7 2) Do przesyłania dokumentów elektronicznych z danymi osobowymi naleŝy stosować systemy informatyczne gwarantujące bezpieczeństwo przesyłanych danych, tj. strony szyfrowane, indywidualne katalogi wymiany. 3) Systemy informatyczne słuŝące do przesyłania danych oraz generowania plików przeznaczonych do wysłania powinny posiadać uaktywnione mechanizmy kontroli dostępu w postaci loginu i hasła. 4) Dane osobowe naleŝy przesyłać w formie niejawnej i umoŝliwiającej ich uwierzytelnienie, np. poprzez spakowanie z hasłem lub szyfrowane kanały. 5) W przypadku, gdy elektroniczne przesyłanie danych osobowych, do podmiotów zewnętrznych uprawnionych do ich otrzymania na mocy przepisów prawa, stanowi udostępnianie tych danych, naleŝy przedmiotowy fakt zaewidencjonować w Ewidencji udostępniania danych osobowych, o której mowa w ust. 5 pkt 2). 7. Zbiór danych osobowych, rejestracja zbiorów 1) Za zbiór danych osobowych przetwarzanych w Uniwersytecie uwaŝa się: systemy informatyczne przetwarzania danych oraz oprogramowanie komputerowe słuŝące do ich przetwarzania; dokumenty papierowe, w szczególności kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne. Wykaz zbiorów danych przetwarzanych w Uniwersytecie jest prowadzony przez Administratora Bezpieczeństwa Informacji. 2) Generalną zasadą jest obowiązek rejestracji zbiorów danych osobowych w centralnym rejestrze zbiorów danych prowadzonym przez GIODO. Przypadki zwolnienia zbioru z przedmiotowego obowiązku zostały wskazane w art. 43 Ustawy o ochronie danych osobowych. 3) Zgłoszenie zbiorów danych osobowych administrowanych przez Uniwersytet do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zawierać: a) wniosek o wpisanie zbioru do rejestru danych osobowych, b) oznaczenie administratora danych i adres jego siedziby, w tym numer REGON oraz podstawę prawną upowaŝniającą do prowadzenia zbioru,, c) cel przetwarzania danych, d) opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych, e) sposób zbierania oraz udostępniania danych, f) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, g) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego, h) opis środków technicznych i organizacyjnych zastosowanych do zabezpieczenia danych, i) informację o sposobie wypełniania wymogów technicznych i organizacyjnych, określonych w przepisach, dotyczących zabezpieczeń urządzeń i systemów informatycznych słuŝących do przetwarzania danych. 4) Kierownicy jednostek organizacyjnych Uniwersytetu są zobowiązani, w ciągu 7 dni od zaistnienia zmiany w zakresie przetwarzanych w podległej jednostce zbiorów danych osobowych, przekazać do Administratora Bezpieczeństwa Informacji stosowną informację w powyŝszym zakresie. 5) Administrator Bezpieczeństwa Informacji przygotowuje - na podstawie przekazanych przez kierowników jednostek organizacyjnych informacji - wniosek zgłoszenia aktualizacji zbiorów do Generalnego Inspektora Ochrony Danych Osobowych, w ciągu 30 dni od pozyskania informacji o zmianach. 4 OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH Z uwagi na rodzaj działalności wykaz lokalizacji Uniwersytetu stanowi wykaz obszarów przetwarzania danych osobowych. Za jego prowadzenie i bieŝącą aktualizację odpowiedzialny jest Dział Eksploatacji UMCS. Polityka bezpieczeństwa danych osobowych 7

8 5 OPIS STRUKTURY ZBIORÓW DANYCH OSOBOWYCH ORAZ SPOSOBU PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI 1. Zbiory danych osobowych podzielone są funkcjonalnie. Przetwarza się je, w tym gromadzi i przechowuje zarówno na nośnikach papierowych, jak i w systemie informatycznym, w szczególności w zakresie: a) dokumentacji i akt osobowych w związku z zatrudnieniem, b) dokumentacji i aktach w związku z nauczaniem studentów, c) dokumentacji i akt w związku z realizacją działań statutowych Uniwersytetu. 2. Ze względu na rodzaj i charakter danych osobowych zawartych w zbiorach wyróŝnia się dwie kategorie danych: a) dane osobowe zwykłe, b) dane osobowe sensytywne. 3. W przypadku przetwarzania danych osobowych w postaci papierowej odbywa się ono przy wykorzystaniu wszelkiego typu druków, formularzy, kartotek, ksiąg, akt, albumów oraz innej dokumentacji gromadzonej w poszczególnych jednostkach organizacyjnych Uniwersytetu. 4. W przypadku przetwarzania danych osobowych w postaci elektronicznej odbywa się ono przy uŝyciu systemów informatycznych wykorzystywanych u ADO. Pliki bazodanowe przechowywane są na dedykowanych serwerach. Szczegółowy opis struktury danych osobowych przetwarzanych w postaci elektronicznej, relacji pomiędzy danymi oraz procesy przetwarzania danych zawarte są w dokumentacji technicznej systemów informatycznych wykorzystywanych do przetwarzania przedmiotowych danych. 5. Opis struktury zbioru danych stanowi opis bazy danych, w której są przetwarzane dane osobowe stanowiące zbiór danych osobowych. 6. Jednostką odpowiedzialną za opracowanie i bieŝącą aktualizację wykazu systemów przetwarzających dane osobowe, struktury zbiorów danych osobowych administrowanych w bazach oraz przepływu danych pomiędzy systemami jest Lubman UMSC. 6 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPENWIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH 1. Zabezpieczenie danych osobowych przed osobami nieupowaŝnionymi 1) Przetwarzania danych osobowych naleŝy dokonywać w warunkach zabezpieczających te dane przed osobami nieupowaŝnionymi. 2) Pomieszczenia, w których przetwarzane są dane osobowe tworzące obszar szczególnie chroniony zabezpieczone są na czas nieobecności osób zatrudnionych przy przetwarzaniu danych osobowych, w sposób uniemoŝliwiający dostęp do nich osób nieupowaŝnionych, tj. poprzez zabezpieczenia techniczne, fizyczne i ochronę fizyczną. 3) Uzasadnione względami słuŝbowymi przebywanie w tych pomieszczeniach osób nieuprawnionych do dostępu do danych jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych. 4) Pracownicy przetwarzający dane osobowe obowiązani są do prawidłowego zabezpieczania urządzeń i danych na swoich stanowiskach pracy. 5) Dostęp do kluczy do pomieszczeń stanowiących obszar przetwarzania danych osobowych posiadają wyłącznie osoby uprawnione przez ADO do wstępu do tych pomieszczeń. Przed rozpoczęciem pracy klucze pobierane są od pracownika ochrony nadzorującego ich przechowywanie, zaś po zakończeniu pracy są one zdawane równieŝ do pracownika ochrony. 6) Wszelkie urządzenia i nośniki zawierające dane osobowe, takie jak serwery, komputery główne, urządzenia teletransmisyjne, szafy z nośnikami magnetycznymi zawierające kopie Polityka bezpieczeństwa danych osobowych 8

9 danych powinny być usytuowane w pomieszczeniach uniemoŝliwiających dostęp do nich osób nieupowaŝnionych. 7) Wyłączniki oraz zabezpieczenia zasilania elektrycznego, w juŝ uŝytkowanych obiektach, powinny być zabezpieczone przed dostępem osób nieupowaŝnionych. W obiektach nowobudowanych lub modernizowanych wymaga się zabezpieczenia tablic zgodnie z obowiązującymi przepisami nadrzędnymi. 8) Dostęp do pomieszczeń, w których odbywa się przetwarzanie danych osobowych winien być ściśle kontrolowany poprzez stosowane zabezpieczenia organizacyjne i mechaniczne oraz zainstalowane systemy alarmowe. 9) System informatyczny słuŝący do przetwarzania danych osobowych zabezpiecza się w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 10) System informatyczny słuŝący do przetwarzania danych osobowych chroni się przed zagroŝeniami pochodzącymi z sieci publicznej poprzez wdroŝenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 11) W przypadku zastosowania zabezpieczeń logicznych obejmują one: kontrolę przepływu informacji pomiędzy systemem informatycznym wykorzystywanym w Uniwersytecie a siecią publiczną, kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego w Uniwersytecie. 12) Administrator danych obowiązany jest do zabezpieczenia wykorzystywanych do przetwarzania danych osobowych urządzeń, dysków lub innych elektronicznych nośników informacji. Uregulowania określające rodzaj zastosowanych zabezpieczeń nośników znajdują się w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych. 13) System informatyczny słuŝący do przetwarzania danych osobowych z wyjątkiem systemu słuŝącego do przetwarzania danych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie powinien zapewniać, aby moŝliwe było w tym systemie odnotowanie: daty pierwszego wprowadzenia danych osobowych do systemu oraz odnotowanie identyfikatora uŝytkownika wprowadzającego dane do systemu powyŝszy obowiązek nie dotyczy systemu informatycznego, do którego dostęp posiada wyłącznie jedna osoba. W/w odnotowania następują automatycznie po zatwierdzeniu przez uŝytkownika operacji wprowadzenia danych, źródła danych w przypadku zbierania danych nie od osoby, której dane dotyczą, informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie ich udostępnienia, wniesienia sprzeciwu osoby wobec przetwarzania jej danych osobowych: w celach marketingowych lub przekazywania danych innemu administratorowi danych, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa powyŝej. 14) W przypadku wykorzystywania do przetwarzania danych osobowych komputerów przenośnych jego uŝytkownik zobowiązany jest do zachowania szczególnej ostroŝności podczas jego transportu, przechowywania i uŝywania poza wyznaczonym przez ADO obszarem przetwarzania danych osobowych, w tym stosowania środków ochrony kryptograficznej wobec przetwarzanych danych. UŜytkownik komputera przenośnego odpowiada za powierzone mu urządzenie oraz wszelkie operacje wykonywane przy jego uŝyciu. 15) Komputery przenośne, wykorzystywane do przetwarzania danych osobowych, po zakończonej pracy, winny być przechowywane w warunkach zapewniających ich bezpieczeństwo. Za właściwe zabezpieczenie przedmiotowych urządzeń odpowiedzialni są ich uŝytkownicy. 16) Lokalizacja urządzeń komputerowych (komputerów typu PC, terminali, drukarek) powinna uniemoŝliwiać dostęp do nich osób nieuprawnionych oraz wgląd do danych wyświetlanych na monitorach komputerowych. Polityka bezpieczeństwa danych osobowych 9

10 17) W przypadku oddalenia się pracownika od stanowiska pracy naleŝy pozostawić system w takim stanie, aby osoby nieupowaŝnione nie miały do niego dostępu. W tym celu konieczne jest zablokowanie komputera (jeŝeli istnieją takie moŝliwości techniczne) oraz stosowanie chronionych hasłem wygaszaczy ekranu z odpowiednim (tj. nie dłuŝszym niŝ 10 minut) czasem nieaktywności do ich uruchomienia. 18) Wszystkie prace remontowe, konserwacyjne, naprawcze, a takŝe porządkowe odbywają się w oparciu o zawarte umowy oraz są nadzorowane przez osobę upowaŝnioną przez Uniwersytet. 19) W przypadku naprawy sprzętu komputerowego dane naleŝy zabezpieczyć, natomiast w przypadku naprawy sprzętu poza obszarem przetwarzania danych osobowych, po zabezpieczeniu danych naleŝy je trwale usunąć z dysku. Gdy nie ma moŝliwości usunięcia danych naprawa powinna być nadzorowana przez osobę upowaŝnioną przez Uniwersytet. 20) Szczególnemu nadzorowi podlegają w Uniwersytecie urządzenia umoŝliwiające tworzenie i przenoszenie duŝych ilości danych, w tym nagrywarki DVD oraz nośniki typu pendrive, a takŝe nośniki komputerowe zawierające dane osobowe. Do ich ochrony i zabezpieczenia zobowiązani są wszyscy ich uŝytkownicy. 21) W przypadku uszkodzenia nośników komputerowych, o których mowa w pkt 20), uŝytkownicy zobowiązani są do ich zniszczenia lub przekazania do właściwych słuŝb informatycznych w celu zniszczenia. 22) Uszkodzone nośniki komputerowe (w tym dyski twarde), zawierające dane osobowe, powinny być fizycznie niszczone w sposób uniemoŝliwiający dostęp do danych osób niepowołanych. Do czasu zniszczenia nośniki komputerowe powinny być zabezpieczone przed dostępem osób nieupowaŝnionych. 23) Dopuszcza się ponowne wykorzystanie urządzeń i nośników komputerowych zawierających dane osobowe. 24) Urządzenia i nośniki komputerowe zawierające dane osobowe, przeznaczone do ponownego wykorzystania lub przekazania innemu podmiotowi naleŝy - przed ich wykorzystaniem lub przekazaniem - pozbawić zapisu w sposób gwarantujący trwałe usunięcie danych (za pomocą specjalistycznego oprogramowania). 25) Unormowania dotyczące obszaru szczególnie chronionego oraz zasad zabezpieczenia danych osobowych przed osobami nieupowaŝnionymi stosuje się analogicznie w odniesieniu do informacji podlegających ochronie, za wyjątkiem informacji niejawnych, których zasady ochrony normowane są odrębnie. 2. Kontrola dostępu do danych 1) System informatyczny przetwarzający dane powinien być wyposaŝony w mechanizmy uwierzytelniania uŝytkowników oraz kontroli dostępu do danych. 2) Wszystkie mechanizmy, o których mowa w pkt 1), winny być uaktywnione. 3) Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, słuŝących do przetwarzania danych osobowych, a takŝe do obsługi kartotek i dokumentów zawierających dane osobowe przetwarzanych w formie papierowej mogą zostać dopuszczone wyłącznie osoby posiadające upowaŝnienie ADO. Dopuszczalny sposób i zakres przetwarzania danych osobowych regulują zapisy ustaw szczegółowych właściwych dla funkcjonowania Uniwersytetu i jego jednostek organizacyjnych. 4) Dostęp do danych przyznaje się w oparciu o rolę jaką dana osoba pełni w związku z realizacją czynności wykonywanych w ramach zakresu obowiązków oraz poleceń przełoŝonego. 5) Dopuszcza się moŝliwość dostępu do danych przez podmioty zewnętrzne w przypadku zaistnienia okoliczności wynikających z obowiązujących przepisów prawa oraz zawartych umów. W odniesieniu do osób nie będących pracownikami Uniwersytetu zasady ochrony i dostępu do danych są określone w odrębnych umowach, zaś nadzór nad przestrzeganiem wszelkich przepisów prawnych i uregulowań z zakresu ochrony danych spoczywa na właścicielu lub organie decyzyjnym podmiotu współpracującego. 6) Czas dostępu uŝytkownika do poszczególnych danych określony jest czasem wykonania zadania wynikającego z pełnionej roli. Polityka bezpieczeństwa danych osobowych 10

11 7) Szczegółowy opis procesu zarządzania uprawnieniami do dostępu do danych osobowych i obsługi systemu informatycznego oraz nadawania, modyfikacji i anulowania uprawnień uŝytkowników realizowane są według zasad określonych w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych. 8) Uniwersytet jako ADO prowadzi ewidencję osób upowaŝnionych do przetwarzania danych osobowych podlegającą aktualizacji w związku z nadawaniem, modyfikowaniem i anulowaniem uprawnień uŝytkowników. Sposób prowadzenia ewidencji określa Instrukcja, o której mowa w pkt 7). 9) Osoby, które zostały upowaŝnione do przetwarzania danych osobowych obowiązane są do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia. 10) System informatyczny musi zapewniać autoryzację i rozliczalność operacji. KaŜde działanie w systemie informatycznym powinno być jednoznacznie przypisane do unikalnego identyfikatora. 11) Dostęp do danych w systemie informatycznym powinien być kontrolowany. Jest on moŝliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Identyfikator przydzielany jest uŝytkownikowi na stałe. Uwierzytelnienie uŝytkownika następuje za pomocą indywidualnego hasła. Szczegółowe zasady w zakresie metod i środków uwierzytelniania oraz sposobu zarządzania hasłami do systemów informatycznych i wymagań dotyczących haseł określone są w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych. 12) System informatyczny powinien posiadać moŝliwość kontroli złoŝoności i długości haseł. 13) Przed uruchomieniem komputera na stanowisku pracy kaŝdy uŝytkownik powinien dokonać przeglądu i sprawdzenia urządzeń komputerowych pod kątem ujawnienia okoliczności wskazujących na naruszenie dostępu do tych urządzeń lub danych zawartych na nich. 14) Praca w systemie informatycznym powinna być inicjowana właściwą dla danego systemu procedurą login, która wymaga podania identyfikatora i hasła. 15) Jeśli istnieją moŝliwości techniczne, system informatyczny powinien wymuszać skończoną liczbę prób logowania, nie większą niŝ trzy. 16) UŜytkownik opuszczając stanowisko pracy winien zwrócić szczególną uwagę na uniemoŝliwienie wykorzystywania systemu komputerowego przez osoby nieupowaŝnione, w szczególności na włączenie opcji wygaszacza ekranu po upływie ustalonego czasu nieaktywności uŝytkownika. Zaleca się ręczne blokowanie komputera przez uŝytkownika. 17) W przypadku zakończenia pracy, kaŝdy uŝytkownik zobowiązany jest do: a) wykonania właściwej funkcji logout, b) wyłączenia sprzętu komputerowego, c) zabezpieczenia stanowiska pracy, w szczególności dokumentacji i wymiennych nośników danych. 3. Archiwizacja danych osobowych 1) Wszystkie bazy danych osobowych w jednostkach organizacyjnych Uniwersytetu podlegają zabezpieczeniu i archiwizowaniu. 2) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych baz danych oraz programów słuŝących do przetwarzania danych. 3) Dostęp do kopii powinien być kontrolowany, przetwarzanie kopii archiwalnych powinno zapewniać ich poufność, integralność (stopień w zaleŝności od krytyczności danych) oraz dostępność (w stopniu zdefiniowanym przez właściciela). 4) Szczegółowe unormowania dotyczące tworzenia, przechowywania i usuwania kopii określa Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych. 4. Zabezpieczenie danych osobowych zapisanych w formie papierowej 1) Za bezpieczeństwo danych osobowych zapisanych w formie papierowej odpowiedzialne są osoby je przetwarzające oraz kierownicy poszczególnych jednostek organizacyjnych Uniwersytetu. 2) Wszystkie dane osobowe, o których mowa w pkt 1, powinny być zabezpieczone przed osobami nieupowaŝnionymi oraz przechowywane w urządzeniach gwarantujących dostęp do nich wyłącznie uprawnionych pracowników, tj. przynajmniej w pomieszczeniach zamykanych na Polityka bezpieczeństwa danych osobowych 11

12 klucz zabezpieczonych monitorowanym systemem alarmowym, z zastosowaniem dodatkowego zabezpieczenia w postaci szafy drewnianej zamykanej na klucz lub szafy metalowej w odniesieniu do szczególnie istotnych dla działalności Uniwersytetu danych. 3) Analogicznej ochronie jak dokumenty zawierające dane osobowe podlegają dokumenty zawierające informacje podlegające ochronie w Uniwersytecie oraz poszczególnych jego jednostkach organizacyjnych, z zastrzeŝeniem odrębności postępowania w przedmiotowym obszarze w odniesieniu do informacji niejawnych. 4) Wszelkie dokumenty i wydruki zawierające dane osobowe przeznaczone do usunięcia naleŝy niszczyć w stopniu uniemoŝliwiającym ich odczytanie (przy uŝyciu niszczarki). Dopuszcza się moŝliwość niszczenia dokumentów zawierających dane osobowe przez specjalistyczne firmy zewnętrzne. Warunkiem skorzystania z usług tego typu firm jest zawarcie umowy cywilnoprawnej, w której naleŝy zawrzeć klauzule zobowiązujące firmę do zapewnienia stanu poufności informacji uzyskanych w toku realizacji umowy oraz określić kwestie związane z przekazaniem dokumentów do zniszczenia, sposobem zniszczenia oraz potwierdzenia tego faktu w postaci protokołów i certyfikatów. 5. Ochrona systemu przed wirusami 1) W celu ochrony danych osobowych przetwarzanych w systemach informatycznych przed szkodliwym oprogramowaniem naleŝy stosować zabezpieczenia techniczne minimalizujące ryzyko utraty lub uszkodzenia danych. 2) Sposób postępowania i ochrony zasobów informatycznych przed wirusami normuje Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych. 7 KONTROLA WEWNĘTRZNA 1. Do kontroli stanu ochrony danych osobowych w jednostkach organizacyjnych Uniwersytetu uprawnieni są: 1) Rektor i Członkowie władz Uniwersytetu, 2) Administrator Bezpieczeństwa Informacji, 3) Kierownicy jednostek organizacyjnych w podległych im jednostkach, 4) Pracownicy upowaŝnieni przez osoby wymienione w pkt W przypadku przeprowadzenia kontroli przez kierownika jednostki organizacyjnej Uniwersytetu lub pracownika przez niego upowaŝnionego oraz stwierdzenia w czasie kontroli odstępstw od obowiązujących - na podstawie przepisów prawa i aktów prawnych wewnętrznych - zasad przetwarzania danych osobowych kontrolujący zobowiązany jest do poinformowania Administratora Bezpieczeństwa Informacji o wynikach kontroli i stwierdzonych faktach oraz uzgodnienia z nim dalszego toku postępowania. 8 ZASADY POSTĘPWANIA W PRZYPADKACH NARUSZEŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH 1. Do zdarzeń zagraŝających bezpieczeństwu danych osobowych naleŝą: 1) próby naruszenia ochrony danych: a) z zewnątrz włamania do systemu, podsłuch, kradzieŝ danych, b) z wewnątrz nieumyślna lub celowa modyfikacja danych, kradzieŝ danych, 2) programy destrukcyjne: a) wirusy, b) konie trojańskie, c) makra, d) bomby logiczne, 3) awarie sprzętu lub uszkodzenie oprogramowania, 4) utrata zasilania powodująca przerwę w pracy systemów, 5) zabór sprzętu lub nośników z waŝnymi danymi, Polityka bezpieczeństwa danych osobowych 12

13 6) inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych (zjawiska fizyczne, takie jak powódź, poŝar, huragan, działania silnych pół elektromagnetycznych, przechwycenie transmisji danych, odczyt danych z monitora komputera przez osoby nieuprawnione itp.). 2. W przypadku pozyskania informacji o fakcie nieprawnego przetwarzania, ujawnienia lub nienaleŝytego zabezpieczenia przed osobami nieuprawnionymi danych osobowych, jak równieŝ stwierdzenia istnienia przesłanek wskazujących na prawdopodobieństwo naruszenia zasad ochrony danych osobowych, kaŝdy pracownik Uniwersytetu zobowiązany jest poinformować bezpośredniego przełoŝonego, który powiadamia o zdarzeniu przełoŝonego wyŝszego szczebla oraz Administratora Bezpieczeństwa Informacji, w celu umoŝliwienia mu przeprowadzenia lub koordynacji działań związanych z postępowaniem wyjaśniającym okoliczności danego zdarzenia. 3. Dopuszcza się moŝliwość przeprowadzenia postępowania wyjaśniającego przez ABI lub przez pracownika wskazanego przez kierownika jednostki organizacyjnej, w której zaistniało podejrzenie wystąpienia sytuacji, o której mowa w ust. 2. Wyboru pracownika mającego przeprowadzić postępowanie wyjaśniające dokonuje się z uwzględnieniem rodzaju zdarzenia oraz indywidualnych predyspozycji pracownika. 4. W przypadku prowadzenia postępowania wyjaśniającego przez pracownika upowaŝnionego przez kierownika jednostki organizacyjnej, w której zaistniało podejrzenie wystąpienia sytuacji, o której mowa w ust. 2, informację zawierającą opis i wyniki przeprowadzonego postępowania naleŝy przekazać do Administratora Bezpieczeństwa Informacji. 5. Administrator Bezpieczeństwa Informacji powiadamia o wynikach postępowania wyjaśniającego władze Uniwersytetu. 6. W ramach postępowania wyjaśniającego podejmowane są czynności mające na celu wyjaśnienie okoliczności danego zdarzenia, w szczególności: 1) ustalenie czasu wystąpienia naruszenia, jego zakresu, przyczyn, skutków oraz wielkości szkód, które zaistniały, 2) ustalenie osoby odpowiedzialnej za naruszenie, 3) podjęcie działań w kierunku ograniczenia szkód oraz przeciwdziałania podobnym przypadkom w przyszłości, 4) wyciągnięcie konsekwencji w stosunku do osoby ponoszącej odpowiedzialność za zdarzenie, przy czym z tytułu przedmiotowych naruszeń moŝliwa jest m.in. odpowiedzialność: dyscyplinarna na podstawie obowiązujących unormowań wewnętrznych, cywilna w oparciu o przepisy KC, w związku z wystąpieniem przez Administratora Danych Osobowych na drogę sądową, karna na podstawie UODO, 5) podjęcie decyzji czy zdarzenie spełnia przesłanki przestępstwa określonego w UODO oraz czy ADO zobowiązany jest zgłosić sprawę do organów ścigania. 7. W trakcie prowadzenia postępowania wyjaśniającego osoba je prowadząca ma prawo do pełnej swobody działania, dostępu do dokumentów, wglądu do operacji wykonywanych w systemach informatycznych, pobierania wyjaśnień od pracowników i osób mogących mieć wpływ na wyniki postępowania oraz podejmowania wszelkich czynności mających na celu wyjaśnienie przyczyn, okoliczności i skutków zdarzenia oraz wskazania osób z nim powiązanych. O wynikach postępowania informowane są władze Uniwersytetu. 9 POSTĘPWANIE W PRZYPADKACH ZAGROśEŃ BEZPIECZEŃSTWA DANYCH 1. W przypadku nieprawidłowości w działaniu systemu, uszkodzenia lub podejrzenia o uszkodzenie sprzętu, oprogramowania, sieci telekomunikacyjnej lub danych naleŝy bezzwłocznie powiadomić bezpośredniego przełoŝonego oraz zgłosić incydent do Administratora Systemu Informatycznego. PrzełoŜony informuje o zaistniałym zdarzeniu Administratora Bezpieczeństwa Informacji. 2. W przypadku włamania lub podejrzenia o włamanie do systemu Administrator Systemu, do którego zostało skierowane zgłoszenie podejmuje działania w celu zabezpieczenia systemu i danych: Polityka bezpieczeństwa danych osobowych 13

14 1) zmienia hasła administracyjne, 2) określa rodzaj i sposób włamania, 3) podejmuje działania w celu uniemoŝliwienia ponownego włamania tego samego typu, 4) szacuje straty, 5) przywraca stan systemu sprzed włamania. 3. W przypadku uszkodzenia sprzętu lub programów z danymi Administrator Systemu podejmuje działania w celu: 1) określenia przyczyny uszkodzenia, 2) oszacowania strat wynikających z ww. uszkodzenia, 3) naprawy uszkodzeń, a w szczególności naprawy sprzętu, ponownego zainstalowania danego programu, odtworzenie jego pełnej konfiguracji oraz wczytania danych z ostatniej kopii zapasowej. 4. W przypadku uszkodzenia danych Administrator Systemu podejmuje następujące działania: 1) ustala przyczynę uszkodzenia danych, 2) określa wielkość i jakość uszkodzonych danych, 3) podejmuje działania w celu odtworzenia danych z ostatniej kopii zapasowej. 5. W przypadku zidentyfikowania osób odpowiedzialnych za wystąpienie któregoś ze zdarzeń zagraŝających bezpieczeństwu danych informacje o powyŝszym naleŝy przekazać do bezpośredniego przełoŝonego winnej osoby, który zawiadamia o danym fakcie Administratora Bezpieczeństwa Informacji oraz uzgadnia z nim dalszy tryb postępowania. 10 ŚRODKI ORGANIZACYJNE 1. Administrator Danych Osobowych w celu spełnienia wymogów wynikających z UODO: 1) opracowuje i wdraŝa dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagroŝeń oraz kategorii danych objętych ochroną. Zgodnie z 3 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych na ww. dokumentację składa się Polityka Bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych stanowiące integralne elementy niniejszego Regulaminu ochrony danych osobowych, 2) wyznacza w oparciu o art. 36 ust. 3 UODO - Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, 3) dopuszcza do przetwarzania danych wyłącznie osoby posiadające upowaŝnienie nadane przez Administratora Danych Osobowych, 4) prowadzi ewidencję osób upowaŝnionych do przetwarzania danych. 2. Wszelkie niezbędne informacje o zastosowanych przez ADO środkach zawarte są w Regulaminie ochrony danych osobowych oraz załącznikach do niej. 11 POZOSTAŁE INFORMACJE DOTYCZĄCE SYSTEMÓW INFORMATYCZANYCH I BAZ DANYCH Pozostałe informacje dotyczące systemów informatycznych i baz danych zawarte są - zgodnie z 5 rozporządzenia - w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych. ZAŁĄCZNIKI: Załącznik nr 1 - Wzór zgody osoby, której dane dotyczą. Załącznik nr 2 - Wzór informacji dla osoby, której dane dotyczą. Polityka bezpieczeństwa danych osobowych 14

15 Załącznik nr 1 (imię i nazwisko)... (adres zamieszkania) Zgoda na przetwarzanie danych osobowych Oświadczam, Ŝe wyraŝam zgodę na przetwarzanie przez Uniwersytet Marii Curie-Skłodowskiej w Lublinie z siedzibą przy Pl. M. Curie-Skłodowskiej 5, Lublin danych osobowych zawartych w.. oraz zgromadzonych w toku realizacji procesu.. w celu..., a takŝe celach statutowych, archiwalnych i statystycznych, zgodnie z Ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych. Posiadam wiedzę o dobrowolności podania danych. Zostałem równieŝ poinformowany, iŝ przysługuje mi prawo dostępu do treści danych dotyczących mnie, ich poprawiania, modyfikacji oraz skorzystania z innych uprawnień wynikających z ww. Ustawy, a takŝe Ŝe dane nie będą przedmiotem sprzedaŝy ani udostępniania podmiotom zewnętrznym, za wyjątkiem podmiotów i okoliczności ich ujawnienia przewidzianych przepisami prawa.... (data i czytelny podpis osoby składającej oświadczenie) Polityka bezpieczeństwa danych osobowych 15

16 Załącznik nr 1 Informacja dla osoby, której dane dotyczą Uniwersytet Marii Curie-Skłodowskiej w Lublinie z siedzibą przy Pl. M. Curie-Skłodowskiej 5, Lublin jako Administrator Danych Osobowych - wykonując obowiązek wynikający z art. 24 ust. 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych informuje, Ŝe w swoim zbiorze danych osobowych posiada Pani/a dane osobowe zgromadzone w zakresie.... w celu.. Podstawą prawną przetwarzania tych danych jest przepis art. 23 ust. 1 pkt ww. Ustawy. Dane te przetwarzane są równieŝ w calach archiwalnych i statystycznych, zgodnie z obowiązującymi przepisami prawa. Jednocześnie Uniwersytet informuje o prawie dostępu do treści danych, ich poprawiania, modyfikacji oraz moŝliwości skorzystania z innych uprawnień przewidzianych unormowaniami Ustawy o ochronie danych osobowych. Dane Pani/a nie są udostępniane podmiotom zewnętrznym, z wyjątkiem podmiotów i okoliczności ich ujawnienia przewidzianych przepisami prawa.... (data i czytelny podpis osoby przygotowującej informację) Polityka bezpieczeństwa danych osobowych 16