INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SPÓŁDZIELNI PRACY SPECJALISTÓW RENTGENOLOGÓW

Transkrypt

1 ZATWIERDZAM.. (data i podpis Administratora Danych) INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SPÓŁDZIELNI PRACY SPECJALISTÓW RENTGENOLOGÓW 1

2 Spis treści Cel i zakres stosowania instrukcji... 3 Postanowienia ogólne... 3 Definicje... 3 Obowiązki w zakresie ochrony zasobów... 5 Obowiązki Administratora Bezpieczeństwa Informacji... 5 Obowiązki Administratora Systemu Informatycznego... 5 Obowiązki użytkowników... 6 Poziom bezpieczeństwa... 6 Bezpieczna eksploatacja systemów informatycznych... 8 Nadawanie i rejestrowanie (wyrejestrowywanie) uprawnień do przetwarzania danych w systemie informatycznym... 8 Nadawanie i rejestrowanie uprawnień... 8 Wyrejestrowywanie uprawnień... 9 Ewidencja osób upoważnionych do przetwarzania danych... 9 Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem Identyfikator Hasło użytkownika Hasło administratora systemu Procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu Tryb pracy na poszczególnych stacjach roboczych Tryb pracy na komputerach przenośnych Procedury tworzenia kopii zapasowych Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego Wymagania dla Systemu Informacji Medycznej Przetwarzanie, udostępniane i likwidacja danych osobowych Naprawy urządzeń komputerowych z chronionymi danymi osobowymi Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego 16 Wymagania dotyczące sprzętu i oprogramowania Poczta elektroniczna Zasady korzystania z sieci WWW i innych usług dostępnych w Internecie Postanowienia końcowe

3 1 Cel i zakres stosowania instrukcji 1. Instrukcja zarządzania systemem informatycznym, zwana dalej Instrukcją, określa sposób zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych w celu zabezpieczenia danych osobowych i innych danych medycznych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Instrukcja obejmuje swoim zakresem wszystkie osoby biorące udział w procesie przetwarzania danych w systemach informatycznych. 3. Przedstawione w Instrukcji zasady bezpieczeostwa teleinformatycznego dotyczą określenia wymagao zasobu, autoryzacji, konfiguracji, monitorowania, nadawania dostępu, zbywania oraz utylizacji najważniejszych zasobów. Przy ochronie zasobów kluczowe jest stosowanie podstawowej zasady bezpieczeostwa, że nie jest dozwolone wykorzystywanie zasobów w sposób inny niż jawnie dozwolony. 2 Postanowienia ogólne 1. Instrukcja została opracowana zgodnie z wymogami aktualnie obowiązujących przepisów prawa w zakresie przetwarzania danych osobowych i dokumentacji medycznej wyszczególnionych w Polityce bezpieczeostwa informacji. 2. Za priorytet uznano zagwarantowanie zgromadzonym danym osobowym, przez cały okres ich przetwarzania w systemach, charakteru poufnego wraz z zachowaniem ich integralności i rozliczalności. 3. Administrator Systemu Informatycznego powinien posiadad stosowne uprawnienia w nadzorowanych systemach informatycznych, gwarantujące skuteczne wykonywanie zadao z zakresu nadzoru wszędzie tam, gdzie jest to możliwe. Nie oznacza to automatycznego prawa dostępu do danych osobowych przetwarzanych w tych systemach. 3 Definicje Ilekrod w instrukcji jest mowa o: Administratorze Danych - rozumie się przez to Spółdzielnie Pracy Specjalistów Rentgenologów, reprezentowaną przez Prezesa Zarządu. Administratorze Bezpieczeostwa Informacji (ABI) rozumie się przez to osobę, której administrator danych powierzył pełnienie obowiązków administratora bezpieczeostwa informacji, zgodnie z opisem zawartym w Polityce bezpieczeostwa. Administratorze Systemu Informatycznego (ASI) rozumie się przez to osobę odpowiedzialną za systemy informatyczne u Administratora Danych. haśle rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi. identyfikatorze rozumie się przez to, ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. 3

4 integralności danych rozumie się przez to właściwośd zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. odbiorcy danych rozumie się przez to każdego, komu udostępniane są dane osobowe z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych, d) podmiotu, któremu powierzono dane do przetwarzania na podstawie pisemnej umowy powierzenia, o której mowa w art. 31 ustawy o ochronie danych osobowych, e) organów paostwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. osobie upoważnionej do przetwarzania danych osobowych rozumie się przez to osobę, która upoważniona została do przetwarzania danych osobowych. poufności danych rozumie się przez to właściwośd zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom. przetwarzającym rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy o ochronie danych osobowych. raporcie rozumie się przez to przygotowanie przez system informatyczny zestawienia zakresu i treści przetwarzanych danych. rozliczalności rozumie się przez to właściwośd zapewniającą, że działania podmiotu mogą byd przypisane w sposób jednoznaczny tylko temu podmiotowi. sieci publicznej rozumie się przez to sied publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. prawo telekomunikacyjne. sieci telekomunikacyjnej rozumie się przez to sied telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852 ze zm.). serwisancie rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego. systemie informatycznym administratora danych rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeo, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sied teleinformatyczną administratora danych, teletransmisji rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej. uwierzytelnianiu rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. użytkowniku rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło. 4

5 4 Obowiązki w zakresie ochrony zasobów 1. Do obowiązków osób zaangażowanych w przetwarzanie zasobów w systemach informatycznych należy: 1) Podejmowanie współpracy przy ustaleniu przyczyn naruszenia ochrony zasobów oraz usuwania skutków tych naruszeo, w tym zapobieganie ich ewentualnemu ponownemu wystąpieniu. 2) Przetwarzanie danych osobowych i innych zasobów wyłącznie w celach określonych przez swoich przełożonych. 2. Użytkownicy powinni podlegad okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmianą wewnętrznych regulacji. 5 Obowiązki Administratora Bezpieczeostwa Informacji Do obowiązków Administratora Bezpieczeostwa Informacji w zakresie ochrony danych osobowych przetwarzanych w systemach informatycznych należy w szczególności: 1) Nadzór nad stosowaniem środków ochrony. 2) Nadzór nad przestrzeganiem procedur bezpieczeostwa. 3) Wskazywanie zagrożeo oraz reagowanie na naruszenia ochrony danych osobowych i usuwanie ich skutków. 4) Kontrolowanie nadanych w systemie informatycznym uprawnieo do przetwarzania danych osobowych pod kątem ich zgodności z wpisami umieszczonymi w ewidencji osób upoważnionych do przetwarzania danych osobowych. 5) Prowadzenie szkoleo dla użytkowników w zakresie stosowanych w systemach informatycznych środków ochrony danych osobowych. 6) Zapewnienie doradztwa w zakresie przestrzegania przez pracowników firmy zewnętrznej zasad ochrony danych przyjętych u Administratora danych. 6 Obowiązki Administratora Systemu Informatycznego Do obowiązków Administratora Systemu Informatycznego w zakresie ochrony danych osobowych przetwarzanych w systemach informatycznych należy w szczególności: 1. Operacyjne zarządzanie systemami informatycznymi w sposób zapewniający ochronę danych osobowych w nich przetwarzanych. 2. Przestrzeganie opracowanych dla systemu procedur operacyjnych i bezpieczeostwa. 3. Kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną oraz kontrola działao inicjowanych z sieci publicznej a systemem informatycznym. 4. Zarządzanie stosowanymi w systemach informatycznym środkami uwierzytelnienia, w tym rejestrowanie i wyrejestrowywanie użytkowników oraz dokonywanie zmiany uprawnieo na podstawie zaakceptowanych wniosków złożonych przez osobę do tego upoważnioną. 5

6 5. Utrzymanie systemu w należytej sprawności technicznej. 6. Regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania, oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych. 7. Wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe. 7 Obowiązki użytkowników Do obowiązków użytkowników systemu informatycznego należy w szczególności: 1. Przestrzeganie opracowanych dla systemu zasad przetwarzania danych. 2. Przestrzeganie opracowanych dla systemu procedur operacyjnych i bezpieczeostwa. 3. Udostępnianie zasobów wyłącznie osobom upoważnionym lub uprawnionym do ich uzyskania. 4. Uniemożliwienie dostępu do zasobów w systemie lub ich podglądu przez osoby nieupoważnione. 5. Informowanie Administratora Bezpieczeostwa Informacji i Administratora Systemu Informatycznego o wszelkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony zasobów. 6. Wykonywania bez zbędnej zwłoki poleceo Administratora Systemu Informatycznego w zakresie ochrony zasobów, jeśli są one zgodne z przepisami prawa powszechnie obowiązującego. 8 Poziom bezpieczeostwa 1. Podjęte środki bezpieczeostwa: 1) Obszar przetwarzania danych zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. 2) Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą w obecności osoby upoważnionej do przetwarzania danych osobowych. 3) W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. 4) Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. 5) System informatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed: a) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; b) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 6) Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może byd przydzielony innej osobie. 6

7 7) W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. 8) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. 9) Kopie zapasowe: a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; b) usuwa się niezwłocznie po ustaniu ich użyteczności. 10) Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożnośd podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. 11) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: a) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; c) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 12) Administrator Systemu Informatycznego monitoruje wdrożone zabezpieczenia systemu informatycznego 13) Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar przetwarzania danych, zabezpiecza się w sposób zapewniający poufnośd i integralnośd tych danych. 14) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeo chroniących przed nieuprawnionym dostępem. 15) W przypadku zastosowania logicznych zabezpieczeo obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; b) kontrolę działao inicjowanych z sieci publicznej i systemu informatycznego administratora danych; c) Serwery WWW intranetowe muszą się znajdowad wewnątrz sieci LAN, tj. nie mogą równocześnie realizowad usług bezpośrednio w sieci Internet 16) Wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej stosuje się środki kryptograficznej ochrony. 17) Użytkownicy opuszczający swoje stanowisko pracy zobowiązani są do zablokowania dostępu do komputera stacjonarnego oraz stosowania zasady czystego ekranu. 7

8 9 Bezpieczna eksploatacja systemów informatycznych 1. Użytkownikom zabrania się wprowadzania zmian do oprogramowania, sprzętu informatycznego poprzez jego samodzielne konfigurowanie i wyposażanie. 2. Użytkownikom zabrania się umożliwiania stronom trzecim uzyskiwania nieupoważnionego dostępu do systemów informatycznych. 3. Użytkownikom nie wolno we własnym zakresie instalowad nowego lub aktualizowad już zainstalowanego oprogramowania. 4. Użytkownikom nie wolno korzystad z systemów informatycznych dla celów innych niż związane z wykonywaniem obowiązków służbowych. 5. Użytkownikom nie wolno podejmowad prób testowania, modyfikacji i naruszenia zabezpieczeo systemów informatycznych lub jakichkolwiek działao noszących takie znamiona. 6. Użytkownikom nie wolno bez uzyskania zgody Administratora Bezpieczeostwa Informacji lub osób przez niego upoważnionych przenosid aplikacji oraz zasobów zlokalizowanych na zasobach sieciowych na dyski lokalne oraz przenośne nośniki danych. 7. Nieautoryzowane podłączenie własnego lub strony trzeciej urządzenia teleinformatycznego do systemu informatycznego jest zabronione bez zgody Administratora Systemu Informatycznego lub Administratora Bezpieczeostwa Informacji. 8. Dostęp do BIOS'u jest możliwy tylko dla Administratora Systemu Informatycznego. 10 Nadawanie i rejestrowanie (wyrejestrowywanie) uprawnieo do przetwarzania danych w systemie informatycznym I. Nadawanie i rejestrowanie uprawnieo 1. Użytkownicy systemu przed przystąpieniem do przetwarzania danych zobowiązani są zapoznad się z niniejszą Instrukcją oraz Polityką bezpieczeostwa informacji. 2. Użytkownicy przed dopuszczeniem do obsługi systemu informatycznego powinni podlegad przeszkoleniu w zakresie obsługi sprzętu informatycznego, oprogramowania systemowego oraz oprogramowania do obsługi aplikacji, którą będą wykorzystywali. 3. Pierwsze zarejestrowanie użytkownika w systemie i nadanie odpowiednich uprawnieo do systemu musi byd poprzedzone złożeniem przez użytkownika oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczania oraz przetwarzaniu zasobów zgodnie z przepisami. 4. Wzór oświadczenia stanowi załącznik do Polityki Bezpieczeostwa Informacji. 5. Użytkownik otrzymuje formalne upoważnienie do przetwarzania danych osobowych. Wzór upoważnienia zawiera załącznik nr 1 do niniejszej Instrukcji. 6. Identyfikator oraz zakres dostępu użytkownika powinien byd rejestrowany w ewidencji osób upoważnionych do przetwarzania danych osobowych. 7. Identyfikator i zakres dostępu przydziela Administrator Systemu Informatycznego na wniosek Administratora danych lub osoby przez niego upoważnionej. 8

9 8. Administrator Systemu Informatycznego powinien przekazywad użytkownikom tymczasowe hasła dostępowe w sposób bezpieczny. W tym celu powinni unikad pośrednictwa osób trzecich lub korzystania do tego celu z niechronionych wiadomości poczty elektronicznej. 9. Procedurę nadawania uprawnieo do przetwarzania danych osobowych w systemach należy stosowad odpowiednio, w przypadku zmiany uprawnieo w systemach lub w przypadku odebrania uprawnieo w systemach. 10. Prawa dostępu przyznane użytkownikom, którzy nie są pracownikami etatowymi powinny mied charakter czasowy i mogą byd przyznawane na okres odpowiadający wykonywanemu zadaniu. 11. Dostęp do systemu informatycznego a także do poszczególnych aplikacji i baz danych przetwarzających dane osobowe powinien byd możliwy tylko po podaniu identyfikatora odrębnego dla każdego użytkownika i poufnego hasła. 12. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskad wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana jako użytkownik w tym systemie przez administratora systemu, na pisemny wniosek administratora danych, określającego zakres uprawnieo pracownika. 13. Rejestracja użytkownika polega na nadaniu identyfikatora i przydzieleniu jednorazowego hasła oraz wprowadzeniu tych danych do bazy użytkowników systemu. Podczas pierwszego logowania, użytkownik dokonuje zmiany hasła na nowe, znane tylko jemu. 14. Pracownik ponosi odpowiedzialnośd za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła dostępu. 15. Pracownik ma prawo do wykonywania tylko tych czynności, do których został upoważniony. 16. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnieo traktowane będą jako naruszenie podstawowych obowiązków pracowniczych. 17. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązuje się do zachowania ich w tajemnicy. Tajemnica obowiązuje go również po ustaniu zatrudnienia. II. Wyrejestrowywanie uprawnieo 1. Wyrejestrowania użytkownika z systemu informatycznego dokonuje Administrator Systemu Informatycznego na wniosek przełożonego użytkownika. 2. Wyrejestrowanie może mied charakter czasowy lub trwały. 3. Wyrejestrowanie następuje poprzez: a) zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe), b) usunięcie danych użytkownika z bazy użytkowników systemu (wyrejestrowanie trwałe). III. Ewidencja osób upoważnionych do przetwarzania danych 1. Ewidencję osób upoważnionych do przetwarzania danych osobowych prowadzi Administrator Bezpieczeostwa Informacji lub osoba wyznaczona przez Administratora Danych. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych stanowi załącznik nr 2 do niniejszej Instrukcji. 9

10 2. Ewidencja zawiera: 1) imię i nazwisko użytkownika, 2) datę nadania i ustania upoważnienia 3) zakres upoważnienia 4) identyfikator użytkownika 3. Ewidencja użytkowników może byd prowadzona w systemie informatycznym 4. Zmiany dotyczące użytkownika, takie jak: 1) zmiana imienia lub nazwiska, 2) zmiana zakresu upoważnienia, podlegają niezwłocznemu odnotowaniu w ewidencji. 5. Zmiany dotyczące użytkownika, takie jak: 1) rozwiązanie umowy, 2) utrata upoważnienia do przetwarzania danych osobowych 3) zmiana zakresu obowiązków służbowych skutkująca ustaniem upoważnienia, powodują wyrejestrowanie użytkownika przez Informatyka w trybie natychmiastowym z ewidencji, zablokowanie identyfikatora oraz unieważnienie hasła tego użytkownika. 6. Osoba odpowiedzialna za sprawy kadrowe oraz bezpośredni przełożony odpowiadają za natychmiastowe zgłoszenie do Informatyka użytkowników, którzy utracili uprawnienia do dostępu do danych osobowych, celem zablokowania im dostępu do systemu informatycznego poprzez zablokowanie identyfikatora i wyrejestrowanie z ewidencji osób upoważnionych. 7. Identyfikator, który utracił ważnośd nie może byd ponownie przydzielony innemu użytkownikowi 11 Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem I. Identyfikator 1. Identyfikator nadaje Administrator sytemu. 2. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może byd przydzielony innej osobie. II. Hasło użytkownika 1. Hasło powinno składad się z unikalnego zestawu co najmniej ośmiu znaków, zawierad małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie może byd identyczne z identyfikatorem użytkownika ani jego imieniem lub nazwiskiem. 2. Użytkownicy powinni stosowad hasła, które: a) są łatwe do zapamiętania, a trudne do odgadnięcia, b) nie są oparte na prostych skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczących właściciela konta (np. imię, nazwisko, numer telefonu, data urodzenia itp.), c) zawierają przynajmniej jedną dużą literę, jedną małą literę, jedną cyfrę lub znak specjalny. 3. Hasła powinny byd zmieniane co 30 dni; Administrator bezpieczeostwa informacji może w uzasadnionych sytuacjach polecid dokonanie zmiany hasła przez użytkownika. 10

11 4. Należy unikad ponownego lub cyklicznego używania starych haseł. 5. Zabrania się użytkownikom systemu udostępniania swojego identyfikatora i hasła innym osobom oraz korzystania przez osoby upoważnione do przetwarzania danych osobowych z identyfikatora lub hasła innego użytkownika. 6. Pracownicy są odpowiedzialni za zachowanie w poufności swoich haseł. 7. Użytkownik nie powinien przechowywad haseł w widocznych miejscach, nie powinien umieszczad haseł w żadnych automatycznych procesach logowania (skryptach, makrach lub pod klawiszami funkcyjnymi). 8. Użytkownik wprowadza swoje hasło w sposób uniemożliwiający innym osobom jego poznanie. 9. W sytuacji, gdy zachodzi podejrzenie, że hasło mogła poznad osoba nieuprawniona, użytkownik natychmiast dokonuje zmiany hasła. 10. Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich ważności. 11. Administrator Systemu jest odpowiedzialny za okresowe sprawdzanie, usuwanie lub blokowanie zbędnych identyfikatorów użytkowników oraz kont w systemach za które jest odpowiedzialny. III. Hasło administratora systemu Hasło administratora systemu przechowywane jest w zapieczętowanej kopercie w zamykanej szafie, do której ma dostęp wyłącznie Administrator danych i Administrator Systemu Informatycznego. 12 Procedury rozpoczęcia, zawieszenia i zakooczenia pracy, przeznaczone dla użytkowników systemu I. Tryb pracy na poszczególnych stacjach roboczych 1. Rozpoczęcie pracy na stacji roboczej następuje po właczeniu komputera, a następnie wprowadzeniu indywidualnego, znanego tylko użytkownikowi identyfikatora i hasła. 2. W pomieszczeniu, w którym przetwarzane są dane osobowe osoby postronne mogą znajdowad się tylko za zgodą i w towarzystwie użytkownika albo administratora bezpieczeostwa informacji. 3. Przed osobami postronnymi należy chronid ekrany komputerów (ustawienie monitora powinno uniemożliwiad podgląd), wydruki leżące na biurkach oraz w otwartych szafach. 4. Monitory komputerów wyposażone są w wygaszacze ekranu. Zastosowana jest blokada komputerów, wznowienie wyświetlenia następuje dopiero po wprowadzeniu odpowiedniego hasła. 5. W przypadku opuszczenia stanowiska pracy, użytkownik ma obowiązek wylogowania się z systemu lub w inny sposób zablokowad stację roboczą. Stanowisko pracy nie może pozostad z uruchomionym i dostępnym systemem bez nadzoru pracującego na nim pracownika. 6. Obowiązuje zakaz robienia kopii całych zbiorów danych; całe zbiory danych mogą byd kopiowane tylko przez administratora systemu lub automatycznie przez system, z zachowaniem procedur ochrony danych osobowych. 11

12 7. Jednostkowe dane mogą byd kopiowane na nośniki magnetyczne, optyczne i inne, po ich zaszyfrowaniu i przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii, dane należy trwale skasowad lub fizycznie zniszczyd nośniki, na których są przechowywane. 8. Jednostkowe dane mogą byd przekazywane pocztą elektroniczną pomiędzy komputerami administratora danych a komputerami przenośnymi użytkowników tylko po ich zaszyfrowaniu. 9. Przesyłanie danych osobowych pocztą elektroniczną może odbywad się tylko w postaci zaszyfrowanej. 10. Obowiązuje zakaz wynoszenia poza obszar przetwarzania danych na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej. 11. Przetwarzając dane osobowe, należy odpowiednio często robid kopie robocze danych, na których się właśnie pracuje, tak by zapobiec ich utracie. 12. Zakooczenie pracy na stacji roboczej następuje po wprowadzeniu danych tego dnia przetwarzanych w odpowiednie obszary zasobów sieciowych, a następnie prawidłowym wylogowaniu się przez użytkownika i wyłączeniu komputera. 13. Przed opuszczeniem pokoju należy: a) zniszczyd w niszczarce lub schowad do zamykanych na klucz szaf wszelkie wykonane wydruki zawierające dane osobowe, b) schowad do zamykanych na klucz szaf wszelkie dokumenty zawierające dane osobowe, c) umieścid klucze do szaf w ustalonym, przeznaczonym do tego miejscu, d) zamknąd okna. 14. Opuszczając pokój należy zamknąd za sobą drzwi na klucz. II. Tryb pracy na komputerach przenośnych 1. O ile to możliwe, przy przetwarzaniu danych osobowych na komputerach przenośnych obowiązują procedury określone w niniejszej instrukcji, dotyczące pracy na komputerach stacjonarnych. 2. Użytkownicy, którym zostały powierzone komputery przenośne, powinni chronid je przed uszkodzeniem, kradzieżą i dostępem osób postronnych, szczególną ostrożnośd należy zachowad podczas transportu. 3. Obowiązuje zakaz używania komputerów przenośnych przez osoby inne niż użytkownicy, którym zostały one powierzone. 4. Praca na komputerze przenośnym możliwa jest po wprowadzeniu hasła i indywidualnego identyfikatora użytkownika. 5. Użytkownicy zmieniają hasła w komputerach przenośnych nie rzadziej niż raz na 30 dni. 6. Pliki zawierające dane osobowe przechowywane na komputerach przenośnych są zaszyfrowane i opatrzone hasłem dostępu. 7. Obowiązuje zakaz przetwarzania na komputerach przenośnych całych zbiorów danych lub szerokich z nich wypisów, nawet w postaci zaszyfrowanej. 12

13 8. Użytkownicy przetwarzający dane osobowe na komputerach przenośnych obowiązani są do systematycznego wprowadzania tych danych w określone miejsca na zasobach sieciowych administratora danych, a następnie do trwałego usuwania ich z pamięci powierzonych komputerów przenośnych. 9. Obowiązuje zakaz samodzielnej modernizacji oprogramowania i sprzętu w powierzonych komputerach przenośnych. Wszelkie zmiany mogą byd dokonywane tylko pod nadzorem administratora systemu, stosownie do wymagao niniejszej instrukcji. W razie wystąpienia usterek w pracy komputerów przenośnych lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zgłosid to administratorowi systemu. 10. Komputery przenośne wyposażone są w odpowiednie programy ochrony antywirusowej, których aktualizację sugeruje automatycznie system. 13 Procedury tworzenia kopii zapasowych 1. W systemie informatycznym wykorzystującym technologię klient serwer kopie zapasowe wykonuje się po stronie serwera lub innych zasobów sieciowych. 2. Dostęp do kopii bezpieczeostwa posiada wyłącznie Administrator bezpieczeostwa informacji oraz Administrator systemu informatycznego i upoważnieni przez niego pracownicy. Każde wydanie i przyjęcie kopii jest odnotowywane w odpowiednim rejestrze. 3. Pozostałe kopie tworzy się na oddzielnych nośnikach informatycznych. 4. Nośniki zawierające kopie zapasowe należy oznaczad jako Kopia zapasowa dzienna/ tygodniowa/miesięczna wraz z podaniem daty sporządzenia. 5. Za tryb i częstotliwośd tworzenia kopii zapasowych odpowiada Administrator Systemu Informatycznego 6. W celu zapewnienia poprawności wykonywania kopii bezpieczeostwa należy regularnie poddawad testowi wybraną kopię. Próba polega na odtworzeniu danych w warunkach testowych i sprawdzeniu, czy jest możliwośd odczytania danych. 7. Kopie zapasowe przechowuje się w odrębnym pomieszczeniu. Zabrania się przechowywania kopii zapasowych w pomieszczeniach przeznaczonych do przechowywania zbiorów danych pozostających w bieżącym użytkowaniu. 8. Nośniki zawierające nieaktualne kopie danych, będące poza wykazem cyklicznych kopii, likwiduje się. W przypadku nośników jednorazowych, takich jak płyty CD R, DVD R, likwidacja polega na ich fizycznym zniszczeniu w taki sposób, by nie można było odczytad ich zawartości. Nośniki wielorazowego użytku, takie jak dyski twarde, płyty CD RW, DVD RW, można wykorzystad ponownie do celów przechowywania kopii bezpieczeostwa po uprzednim usunięciu ich zawartości. 9. Nośniki wielorazowego użytku nienadające się do ponownego użycia, niszczy się fizycznie np. w niszczarce. 13

14 14 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 1. Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie odbywa się przy wykorzystaniu oprogramowania zainstalowanego na serwerach, stacjach roboczych oraz komputerach przenośnych przez administratora systemu. 2. Oprogramowanie, o którym mowa w pkt 1, sprawuje ciągły nadzór (ciągła praca w tle) nad pracą systemu i jego zasobami oraz serwerami i stacjami roboczymi. 3. Niezależnie od ciągłego nadzoru, o którym mowa w pkt. 2, administrator systemu nie rzadziej niż raz na miesiąc przeprowadza pełną kontrolę obecności wirusów komputerowych w systemie oraz jego zasobach, jak również w serwerach i stacjach roboczych. 4. Do obowiązków administratora systemu należy aktualizacja oprogramowania antywirusowego oraz określenie częstotliwości automatycznych aktualizacji definicji wirusów, dokonywanych przez to oprogramowanie. 5. Użytkownik niezwłocznie powiadamia administratora systemu o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem. 6. Dostęp do internetu możliwy jest na wszystkich stacjach roboczych, sied wewnętrzna jest chroniona centralnym urządzeniem sprzętowym z wbudowanym Firewall. 15 Wymagania dla Systemu Informacji Medycznej 1. Elektroniczna dokumentacja medyczna jest udostępniana w Systemie Informacji Medycznej (dalej SIM) w formacie XML oraz, w zakresie wymiany i interpretacji danych medycznych związanych z diagnostyką obrazową, w standardzie DICOM. 2. Udostępnianie elektronicznej dokumentacji medycznej odbywa się w sposób umożliwiający identyfikację uprawnionych osób, tj. z użyciem kwalifikowanego podpisu elektronicznego lub za pośrednictwem platformy e-puap. 3. Wdrożono mechanizmy pozyskiwania, rejestracji i śledzenia stanu zgody wyrażonej przez usługobiorcę na dostęp do całości lub części danych przetwarzanych w SIM, z uwzględnieniem celu pozyskania dostępu do tych danych. 4. Elektroniczna Dokumentacja Medyczna spełnia REGUŁY, które są doprecyzowaniem standardu HL7 CDA (Clinical Document Architecture). 5. Moduły, w których są gromadzone dane osobowe i jednostkowe dane medyczne przetwarzane w SIM spełniają funkcjonalności opisane w Rozporządzeniu Ministra Zdrowia z dnia 25 marca 2013 r. w sprawie klasyfikacji danych i systemu kodów w Systemie Informacji Medycznej 14

15 16 Przetwarzanie, udostępniane i likwidacja danych osobowych 1. W przypadku przekazywania urządzeo lub nośników zawierających dane osobowe, poza obszar przetwarzania danych osobowych, zabezpiecza się je w sposób zapewniający poufnośd, integralnośd i rozliczalnośd tych danych, przez co rozumie się: a) ograniczenie dostępu do danych osobowych hasłem zabezpieczającym dane przed osobami nieupoważnionymi, b) stosowanie metod kryptograficznych, c) stosowanie odpowiednich zabezpieczeo fizycznych, d) stosowanie odpowiednich zabezpieczeo organizacyjnych. 2. W zależności od stopnia zagrożenia zalecane jest stosowanie kombinacji wyżej wymienionych zabezpieczeo. 3. W przypadku udostępniania danych osobowych odbiorcy danych w rozumieniu art. 7 pkt 6 Ustawy o ochronie danych osobowych użytkownik ma obowiązek odnotowad komu i kiedy udostępniono poszczególne dane. 4. Jeżeli dane osobowe nie są pozyskane od osoby, której dotyczą, użytkownik zobowiązany jest odnotowad w systemie informatycznym źródło pochodzenia danych. 5. W przypadku zgłoszenia sprzeciwu wobec przetwarzania danych osobowych użytkownik usuwa z systemu dane osoby zgłaszającej sprzeciw pozostawiając jedynie imię, nazwisko. W przypadkach wątpliwych użytkownik konsultuje się z Administratorem Bezpieczeostwa Informacji. 6. Dla udokumentowania czynności dokonywanych w celu likwidacji zbiorów danych osobowych nie podlegających archiwizacji w odrębnym trybie dla którego cel przetwarzania ustał, Administrator Bezpieczeostwa Informacji lub osoby upoważnione sporządzają protokół, w którym zamieszcza się następujące informacje: a) datę dokonania likwidacji, b) przedmiot likwidacji (aplikacja, baza), c) podpisy osób dokonujących i obecnych przy likwidacji zbiorów danych osobowych. 7. Decyzję o likwidacji zbiorów danych osobowych, przetwarzanych w systemach informatycznych podejmują Właściciele zasobów danych. 8. W przypadku likwidacji elektronicznych nośników informacji, należy dokonad wcześniej skutecznego usunięcia danych z tych nośników. W przypadku gdy usunięcie danych nie jest możliwe, należy uszkodzid nośniki w sposób uniemożliwiający odczyt tych danych. 9. Przed przekazaniem elektronicznego nośnika informacji osobie nieuprawnionej, należy usunąd z nośnika dane osobowe. 16 Naprawy urządzeo komputerowych z chronionymi danymi osobowymi 1. Wszelkie naprawy urządzeo komputerowych oraz zmiany w systemie informatycznym administratora danych przeprowadzane są o ile to możliwe przez Administratora systemu informatycznego. 15

16 2. Naprawy i zmiany w systemie informatycznym administratora danych przeprowadzane przez serwisanta prowadzone są pod nadzorem administratora systemu w siedzibie administratora danych (jeśli to możliwe) lub poza siedzibą administratora danych, po uprzednim nieodwracalnym usunięciu danych w nich przetwarzanych, a jeśli wiązałoby się to z nadmiernymi utrudnieniami, to po podpisaniu umowy powierzenia przetwarzania danych osobowych. 3. Jeśli nośnik danych (dysk, płyta lub inne) zostanie uszkodzony i nie można go odczytad ani usunąd z niego danych, należy go zniszczyd mechanicznie w niszczarce. 17 Postępowanie w przypadku stwierdzenia naruszenia bezpieczeostwa systemu informatycznego 1. Użytkownik zobowiązany jest zawiadomid administratora bezpieczeostwa informacji lub Administratora systemu o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeostwa systemu, a w szczególności: a) naruszeniu hasła dostępu i identyfikatora (system nie reaguje na hasło lub je ignoruje bądź można przetwarzad dane bez wprowadzenia hasła), b) częściowym lub całkowitym braku danych albo dostępie do danych w zakresie szerszym niż wynikający z przyznanych uprawnieo, c) braku dostępu do właściwej aplikacji lub zmianie zakresu wyznaczonego dostępu do zasobów sieciowych, d) wykryciu wirusa komputerowego, e) zauważeniu elektronicznych śladów próby włamania do systemu informatycznego, f) znacznym spowolnieniu działania systemu informatycznego, g) podejrzeniu kradzieży sprzętu komputerowego lub dokumentów zawierających dane osobowe, h) zmianie położenia sprzętu komputerowego, i) zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeo lub zamykanych szaf. 2. Do czasu przybycia na miejsce Administratora bezpieczeostwa informacji lub Administratora Systemu Informatycznego należy: a) o ile istnieje taka możliwośd, niezwłocznie podjąd czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego zdarzenia, a następnie uwzględnid w działaniu również ustalenie jego przyczyn lub sprawców, b) rozważyd wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, c) zaniechad o ile to możliwe dalszych planowanych przedsięwzięd, które wiążą się z zaistniałym naruszeniem i mogą utrudnid udokumentowanie i analizę, d) zastosowad się do instrukcji i regulaminów lub dokumentacji aplikacji, jeśli odnoszą się one do zaistniałego przypadku, e) przygotowad opis incydentu, 16

17 f) nie opuszczad bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia administratora bezpieczeostwa informacji lub osoby przez niego wskazanej. 3. Administrator bezpieczeostwa informacji lub Administrator systemu informatycznego po otrzymaniu zawiadomienia niezwłocznie: a) przeprowadza postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia ochrony danych osobowych, b) podejmuje działania chroniące system przed ponownym naruszeniem, c) w przypadku stwierdzenia faktycznego naruszenia bezpieczeostwa systemu sporządza raport naruszenia bezpieczeostwa systemu informatycznego administratora danych, a następnie niezwłocznie przekazuje jego kopię administratorowi danych. 4. Administrator bezpieczeostwa informacji w uzgodnieniu z Administratorem systemu informatycznego zarządza, w razie potrzeby, odłączenie części systemu informatycznego dotkniętej incydentem od pozostałej jego części. 5. W razie odtwarzania danych z kopii zapasowych Administrator systemu upewnia się, że odtwarzane dane zapisane zostały przed wystąpieniem incydentu (dotyczy to zwłaszcza przypadków infekcji wirusowej). 6. Administrator danych po zapoznaniu się z raportem, podejmuje decyzję o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeostwo systemu informatycznego administratora danych bądź zastosowaniu środków ochrony fizycznej. 7. Administrator bezpieczeostwa informacji i Administrator systemu informują Administratora danych o awariach systemu informatycznego, zauważonych przypadkach naruszenia niniejszej instrukcji przez użytkowników, a zwłaszcza o przypadkach posługiwania się przez użytkowników nieautoryzowanymi programami, nieprzestrzeganiu zasad używania oprogramowania antywirusowego, niewłaściwym wykorzystania sprzętu komputerowego lub przetwarzaniu danych w sposób niezgodny z procedurami ochrony danych osobowych. 18 Wymagania dotyczące sprzętu i oprogramowania 1. Programy zainstalowane na stacjach roboczych stacjonarnych i na komputerach przenośnych obsługujących przetwarzanie danych osobowych muszą byd użytkowane z zachowaniem praw autorskich i posiadad licencje. 2. Oprogramowanie może byd używane tylko zgodnie z prawami licencji. Oprogramowanie typu Freeware, Shareware lub inne oprogramowanie dostarczane bez opłat jest uznawane jako nieautoryzowane, jeżeli nie otrzyma stosownej aprobaty Administratora Systemu Informatycznego. 3. Przed zainstalowaniem nowego oprogramowania Administrator Systemu lub inna upoważniona osoba, zobowiązana jest sprawdzid jego działanie pod kątem bezpieczeostwa całego systemu. 4. Sied teleinformatyczna wykorzystywana do przetwarzania danych osobowych powinna mied zapewnione prawidłowe zasilanie energetyczne gwarantujące właściwe i zgodne z wymaganiami producenta działanie sprzętu informatycznego. 17

18 5. Zastosowano urządzenia typu UPS, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania. 6. Infrastruktura techniczna związana z siecią teleinformatyczną i jej zasilaniem (rozdzielnie elektryczne, skrzynki z bezpiecznikami) powinna byd zabezpieczona przed dostępem osób nieupoważnionych. 7. Wdrażanie aplikacji i oprogramowania eksploatowanych systemów powinno byd poprzedzone wyczerpującymi, pozytywnymi i udokumentowanymi testami przeprowadzonymi w wydzielonym w tym celu środowisku. 8. Należy przechowywad wszystkie poprzednie wersje oprogramowania jako środek utrzymania ciągłości działania. 9. Należy zapewnid ograniczenie dostępu do bibliotek źródłowych programów a dostęp i zmiany odnotowywad. 10. Należy zapewnid synchronizację zegarów wszystkich stosowanych systemów służących do przetwarzania danych osobowych z uzgodnionym, dokładnym źródłem czasu. 11. Należy zapewnid, aby porty i usługi, które nie są wykorzystywane były zablokowane. 18 Poczta elektroniczna 1. Korzystanie ze służbowych kont poczty elektronicznej dozwolone jest tylko i wyłącznie w celach służbowych. Zabronione jest przesyłanie danych osobowych w formie jawnej (niezaszyfrowanej). 2. Odczyt poczty elektronicznej z komputerów innych niż komputery w placówce jest dozwolony tylko w bezpiecznych środowiskach - za bezpieczne środowisko uważa się służbowy komputer przenośny lub służbowy telefon komórkowy. Za środowisko bezpieczne nie uważa się komputerów w innych placówkach lub publicznie dostępnych (hotele, kawiarenki internetowe. biblioteki) lub komputerów prywatnych. 3. Zakazane jest udostępnianie haseł do służbowych kont poczty elektronicznej innym osobom. 4. Zakazane jest używanie służbowych kont poczty elektronicznej do rozsyłania wiadomości, które mogłyby narazid na szwank dobre imię placówki. 5. W szczególności użytkownicy systemu poczty elektronicznej zobowiązani są do przestrzegania następujących zasad: a) informacje przesyłane za pośrednictwem poczty elektronicznej muszą byd zgodne z prawem i z zasadami obowiązującymi w placówce. b) zabrania się otwierania od nieznanych sobie osób wiadomości i ich załączników, których tytuł lub treśd nie sugeruje związku z wypełnianymi obowiązkami służbowymi, c) zabrania się uruchamiania wykonywalnych plików dołączonych do wiadomości przesyłanych pocztą elektroniczną; w przypadku otrzymania wiadomości z takimi plikami użytkownik powinien poinformowad o zdarzeniu Administratora systemu informatycznego lub Administratora bezpieczeostwa informacji, którzy powinni sprawdzid czy załącznik stanowi zagrożenie dla przetwarzanych w systemie informacji. 18

19 d) zabrania się rozsyłania za pośrednictwem poczty elektronicznej np. "łaocuszków szczęścia" itp., e) zabrania się wykorzystywania służbowej poczty elektronicznych do działalności niezwiązanej z obowiązkami służbowymi (np. serwisy aukcyjne, serwisy społecznościowe, fora internetowe, sklepy internetowe, portale ogłoszeniowe). 6. Pracownicy zobowiązani są do zachowania szczególnej ostrożności przy przesyłaniu poczty elektronicznej, aby zapobiec wysłaniu wiadomości do niewłaściwego adresata. 19 Zasady korzystania z sieci WWW i innych usług dostępnych w Internecie 1. Zabrania się pracownikom korzystającym z Internetu następujących praktyk: a) przeglądania oraz ściągania materiałów o treściach pornograficznych lub prawnie zakazanych, b) uprawiania hazardu za pomocą Internetu, c) wyrażania osobistych opinii jako opinii placówki, d) wyrażania lub przesyłania nieprzyzwoitych uwag lub propozycji, e) ściągania programów komercyjnych z naruszeniem praw autorskich, f) ściągania programów lub plików elektronicznych bez odpowiedniej ochrony antywirusowej, g) umyślnego zakłócania normalnej pracy urządzeo dostępowych do Internetu, h) uczestniczenia w czynnościach, które powodują zator lub zakłócenia w pracy sieci komputerowej placówki oraz innej działalności naruszającej dobre imię placówki. 2. W przypadku pracy na komputerze przenośnym poza terenem placówki zalecane jest ograniczenie korzystania z zasobów sieci WWW, aby zminimalizowad ryzyko infekcji komputera przez szkodliwe oprogramowanie. 3. Zakazane jest wykorzystanie służbowych komputerów przenośnych do łączenia się z zasobami placówki w miejscach takich jak kawiarenki internetowe lub za pośrednictwem nieznanych sieci bezprzewodowych Wi-Fi oraz hot-spotów przy wykorzystaniu transmisji nieszyfrowanej. 4. Informuje się, że wykorzystanie sieci WWW przez pracowników placówki w obrębie systemu informatycznego placówki może podlegad monitorowaniu. 20 Postanowienia koocowe 1. W sprawach nieokreślonych niniejszą instrukcją należy stosowad instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeo i programów. 2. Każda osoba upoważniona do przetwarzania danych osobowych jest zapoznawana przed dopuszczeniem do przetwarzania danych z niniejszą instrukcją oraz składa pisemne oświadczenie, potwierdzające znajomośd jej treści. 3. Niezastosowanie się do procedur określonych w niniejszej instrukcji przez pracowników upoważnionych do przetwarzania danych osobowych może byd potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 kodeksu pracy. 19

20 Załącznik nr 1 do Instrukcji.. (pieczęd nagłówkowa pracodawcy).. (miejscowośd i data) Upoważnienie do przetwarzania danych osobowych Na podstawie art. 37 ustawy o ochronie danych osobowych (tj. Dz. U. z 2002 r Nr 101, poz. 926 ze zm.) upoważniam Panią/Pana*.. (imię i nazwisko osoby upoważnionej) zatrudnionej w (nazwa jednostki, komórki organizacyjnej, stanowisko) do przetwarzania danych osobowych na wyznaczonym stanowisku pracy, zgodnie z obowiązkami pracowniczymi i poleceniami Administratora Bezpieczeostwa Informacji w następującym zakresie**:.. (podpis Administratora danych lub osoby przez niego upoważnionej do nadawania upoważnieo) Zobowiązuję się do przestrzegania przepisów dotyczących ochrony danych osobowych oraz wprowadzonych i wdrożonych do stosowania przez Administratora Danych Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zobowiązuję również do zachowania w tajemnicy danych osobowych... (podpis osoby upoważnionej) *niepotrzebne skreślid **uprawnienia składające się na zakres upoważnienia: D wgląd, W wprowadzanie, M modyfikacja, U usuwanie, P powierzanie, udostępnianie 20