Załącznik nr 1 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Transkrypt

1 Załącznik nr 1 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Lublin, czerwiec 2015

2 SPIS TREŚCI 1 Zakres unormowań GIODO Zasady przetwarzania danych osobowych Legalność przetwarzania danych osobowych, zgoda na przetwarzanie danych Obowiązek informacyjny Powierzenie przetwarzania danych osobowych Udostępnianie danych osobowych Prawa osób, których dane dotyczą Przesyłanie danych Zbiór danych osobowych, rejestracja zbiorów Obszar przetwarzania danych osobowych Opis struktury zbiorów danych osobowych oraz sposobu przepływu danych pomiędzy systemami Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Zabezpieczenie danych osobowych przed osobami nieupoważnionymi Kontrola dostępu do danych Archiwizacja danych osobowych Zabezpieczenie danych osobowych zapisanych w formie papierowej Ochrona systemu przed wirusami Kontrola wewnętrzna Zasady postępowania w przypadkach naruszeń bezpieczeństwa danych osobowych Postępowanie w przypadkach zagrożeń bezpieczeństwa danych Środki organizacyjne Pozostałe informacje dotyczące systemów informatycznych i baz danych Załączniki Polityka bezpieczeństwa danych osobowych 2

3 1 ZAKRES UNORMOWAŃ 1. Niniejsza Polityka bezpieczeństwa stanowi integralną część Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Została opracowana w celu zapewnienia prawidłowości wdrożenia i zabezpieczenia procesu przetwarzania danych osobowych w Uniwersytecie oraz kompleksowości rozwiązań w przedmiotowym obszarze. 2. Mając na uwadze wymogi przepisów prawa z zakresu ochrony danych osobowych niniejszy dokument określa m.in. zasady przetwarzania danych administrowanych przez Uniwersytet oraz: Wykaz budynków oraz pomieszczeń tworzących obszar, w którym przetwarzane są dane; Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi; Sposób przepływu danych pomiędzy systemami; Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 2 GIODO 1. Kompetencje GIODO oraz uprawnienia pracowników Biura GIODO określone są w Ustawie o ochronie danych osobowych. 2. Administrator Danych Osobowych ma obowiązek umożliwienia pracownikom GIODO realizacji praw wynikających z obowiązujących przepisów prawa, w szczególności w zakresie uprawnień kontrolnych GIODO. 3. W każdym przypadku skierowania przez GIODO pisma, skargi lub wszczęcia z urzędu lub na wniosek postępowania kontrolnego lub administracyjnego w stosunku do Uniwersytetu o danym fakcie należy bezzwłocznie poinformować Administratora Bezpieczeństwa Informacji. 3 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH 1. Legalność przetwarzania danych osobowych, zgoda na przetwarzanie danych 1) Przetwarzanie danych osobowych może mieć miejsce, gdy: a) osoba, której dane dotyczą, wyrazi zgodę na ich przetwarzanie (nie dotyczy usunięcia danych), b) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa, c) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, d) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, e) jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora Danych Osobowych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 2) W sytuacji, gdy przesłanką legalnego przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą warunkiem jej skuteczności jest dobrowolność oraz świadomość jej złożenia. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być ona w każdym czasie odwołana. Wzór zgody przedstawia załącznik nr 1 do Polityki bezpieczeństwa. Polityka bezpieczeństwa danych osobowych 3

4 3) W przypadku zaistnienia przesłanek wskazanych w pkt. 1) ppkt b e Uniwersytet nie musi występować o zgodę na przetwarzanie danych osobowych. 4) Za prawnie usprawiedliwiony cel przetwarzania danych osobowych uważa się w szczególności: a) marketing bezpośredni własnych produktów lub usług, b) dochodzenie roszczeń z tytułu prowadzonej działalności. 5) Zabrania się przetwarzania danych osobowych sensytywnych, za wyjątkiem sytuacji gdy m.in.: a) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie danych, b) przetwarzanie takich danych jest dopuszczalne w oparciu o przepis szczególny innej niż UODO ustawy i zachowana jest pełna gwarancja ich ochrony, c) jest to niezbędne do wykonania statutowych zadań organizacji lub instytucji naukowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, d) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, e) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. 6) Szczegółowe zasady dotyczące warunków legalnego przetwarzania danych osobowych oraz praw i obowiązków związanych z ich przetwarzaniem zarówno administratora danych, jak i osoby, której dane dotyczą, w szczególności prawa do dobrowolnego podania danych osobowych, ich modyfikacji oraz sprzeciwu wobec ich przetwarzania określa UODO. 7) Administrator Danych Osobowych zobowiązany jest stosować się do unormowań prawnych w przedmiotowym obszarze. 2. Obowiązek informacyjny 1) Uniwersytet zbiera dane osobowe od osoby, której dane dotyczą. 2) Zobowiązany jest on poinformować tę osobę o: a) pełnej nazwie i adresie swojej siedziby, b) celu zbierania danych, w szczególności o znanych mu, w czasie udzielania informacji, odbiorcach lub przewidywanych odbiorcach lub kategoriach odbiorców danych, c) prawie dostępu do treści swoich danych oraz ich poprawiania, d) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej. Wzór informacji dla osoby, której dane dotyczą zawiera załącznik nr 2 do Polityki Bezpieczeństwa. 3) Obowiązek informacyjny wypełniany jest w chwili zbierania danych. Nie ma znaczenia sposób zbierania danych: za pomocą platformy rekrutacyjnej, pisemny, telefoniczny, czy też w kontaktach bezpośrednich. 4) W przypadku zbierania danych nie od osoby, której one dotyczą administrator danych obowiązany jest poinformować tę osobę dodatkowo o źródle, z którego pozyskane są dane oraz prawie do wniesienia żądania zaprzestania przetwarzania danych, sprzeciwu wobec ich przetwarzania lub przekazywania ich innemu administratorowi. 5) Obowiązku informacyjnego nie wypełnia się jeśli: a) przepis innej ustawy zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania, b) osoba, której dane dotyczą, posiada przedmiotowe informacje. 6) Informacje stanowiące dane osobowe mogą być przekazywane, przez umocowanych do tego typu czynności pracowników, wyłącznie w oparciu o przepisy prawa powszechnego i osobom, Polityka bezpieczeństwa danych osobowych 4

5 których te dane dotyczą, chyba że osoby te wyrażą zgodę na przekazywanie danych ich dotyczących wskazanym przez siebie osobom lub podmiotom. 3. Powierzenie przetwarzania danych osobowych 1) Uniwersytet jako Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej w oparciu o art. 31 UODO. 2) Do umów zawieranych z podmiotami zewnętrznymi, przy realizacji których istnieje prawdopodobieństwo dostępu do pomieszczeń lub informacji i danych podlegających ochronie powinny zostać włączone klauzule: a) dotyczące obowiązku ochrony tych informacji przez strony umowy zarówno w trakcie trwania umowy, jak i po jej ustaniu, b) ograniczenia dostępu do informacji wyłącznie do osób związanych z realizacją umowy, c) zakazu ujawniania danych, d) odpowiedzialności w przypadku naruszenia bezpieczeństwa danych zarówno przez podmiot jak i zatrudnionych pracowników, a w przypadku umów powierzenia przetwarzania danych osobowych również klauzule określające: cel, zakres powierzenia przetwarzania danych osobowych, zasady przetwarzania i ochrony danych przez Zleceniobiorcę zgodnie z ustawą o ochronie danych osobowych, spełnienie wymogów wynikających z Ustawy o ochronie danych osobowych oraz przepisów wykonawczych do niej, prawo kontroli spełnienia wymogów podmiotu, któremu powierzono dane zarówno przed zawarciem umowy, jak i w trakcie jej trwania, odpowiedzialność podmiotu i jego pracowników z tytułu powierzenia przetwarzania powierzonych danych osobowych, obowiązek poinformowania o wszelkich naruszeniach w zakresie przetwarzania danych osobowych oraz kontrolach uprawnionych instytucji zewnętrznych, skutki naruszenia zasad przetwarzania danych osobowych, obowiązek podjęcia działań mających na celu zapobiegnięcie wyciekowi danych oraz wdrożenie środków zapobiegawczych mających na celu brak możliwości wystąpienia naruszeń w przyszłości, prawo do natychmiastowego rozwiązania umowy w przypadku braku przestrzegania jej postanowień. 3) Projekty umów powierzenia przetwarzania danych osobowych innemu podmiotowi należy opiniować u Administratora Bezpieczeństwa Informacji. 4) Jednostki organizacyjne, w których zawierane są umowy powierzenia przetwarzania danych osobowych zobowiązane są do prowadzenia rejestru umów powierzenia. 5) Podmiot, któremu powierzono przetwarzanie danych osobowych może przetwarzać te dane wyłącznie w zakresie i celu przewidzianym w umowie, ponosi również odpowiedzialność za zachowanie wszelkich wymogów wynikających z przepisów prawa w zakresie ochrony danych osobowych, w szczególności zastosowanie wymogów technicznych i organizacyjnych do zabezpieczenia przedmiotowych danych. 4. Udostępnianie danych osobowych Dane osobowe administrowane przez Uniwersytet mogą być udostępniane wyłącznie na podstawie obowiązujących przepisów prawa. Szczegółowe zasady udostępniania danych osobowych określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych stanowiąca Załącznik nr 2 do Regulaminu ochrony danych osobowych UMCS. 5. Prawa osób, których dane dotyczą 1) Każdej osobie, której dane są przetwarzane, przysługuje prawo do kontroli przetwarzania tych danych, a w szczególności prawo wglądu do treści danych osobowych oraz: Polityka bezpieczeństwa danych osobowych 5

6 a) informacji o: fakcie przetwarzania danych jej dotyczących (czy istnieje zbiór danych), pełnej nazwie i adresie siedziby Administratora Danych Osobowych, celu przetwarzania danych, zakresie wykorzystywanych danych (kategoriach przetwarzanych informacji), sposobie przetwarzania danych (środkach, przy pomocy których dane są przetwarzane), dacie, od kiedy dane są przetwarzane przez Administratora Danych Osobowych (dacie włączenia do zbioru), źródle danych, chyba że Administrator Danych Osobowych zobowiązany jest do zachowania w tym zakresie tajemnicy, sposobie udostępniania danych oraz odbiorcach lub kategoriach odbiorców, którym dane są udostępniane, przesłankach podjęcia rozstrzygnięcia podjętego podczas zawierania lub wykonywania umowy uwzględniającego wniosek osoby, której dane dotyczą; b) żądania uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia; c) wniesienia - w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy o ochronie danych osobowych - pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz sprzeciwu wobec przetwarzania danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, d) wniesienia żądania ponownego, indywidualnego rozpatrzenia sprawy, jeżeli treść rozstrzygnięcia, w tej sprawie, jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym. 2) Udostępnienie informacji, o których mowa w pkt 1) odbywa się na wniosek zainteresowanej osoby, nie częściej niż raz na 6 miesięcy. Fakt udostępnienia informacji należy odnotować w systemie, w którym przetwarzane są dane podlegające udostępnieniu, a w przypadku braku takiej możliwości w ewidencji udostępniania danych osobowych, której wzór wprowadza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych. 3) Administrator Danych Osobowych na wniosek, o którym mowa w pkt 2), zobowiązany jest, w terminie 30 dni, poinformować zainteresowaną osobę o przysługujących jej prawach oraz udzielić informacji, o których udostępnienie zainteresowana osoba wnioskuje. 4) Uzupełnienie, uaktualnienie, sprostowanie, czasowe lub stałe wstrzymanie przetwarzania danych osobowych następuje, na wniosek zainteresowanej osoby, gdy dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane niezgodnie z obowiązującymi przepisami. Do celów dowodowych wymagana jest pisemna forma wniosku. 5) Po złożeniu przez zainteresowaną osobę wniosku, o którym mowa w pkt 4), Administrator Danych Osobowych zobowiązany jest bezzwłocznie do dokonania stosownych czynności w celu uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania jej danych, chyba że do odmiennego postępowania uprawniają go obowiązujące przepisy prawa. 6) Osoba, której dane są przetwarzane, ma prawo do wniesienia pisemnego sprzeciwu wobec przetwarzania jej danych dla celów marketingowych lub przekazania ich innemu administratorowi, w przypadkach przewidzianych przepisami Ustawy o ochronie danych osobowych. 7) W przypadku wniesienia sprzeciwu, o którym mowa w pkt 6), należy bezzwłocznie zaprzestać przetwarzania kwestionowanych danych. 8) W celu uniknięcia ponownego wykorzystania danych osobowych osoby, o której mowa pkt 6), w celach objętych sprzeciwem w zbiorze pozostawia się jej imię i nazwisko, numer PESEL lub adres, chyba że system informatyczny wykorzystywany w Uniwersytecie nie zezwala na pozostawienie tych danych. Polityka bezpieczeństwa danych osobowych 6

7 6. Przesyłanie danych 1) Dopuszcza się elektroniczny obieg dokumentów zawierających dane osobowe pomiędzy jednostkami organizacyjnymi Uniwersytetu oraz zewnętrznymi jednostkami organizacyjnymi z zastosowaniem użytkowanych w Uniwersytecie środków. 2) Do przesyłania dokumentów elektronicznych z danymi osobowymi należy stosować systemy informatyczne gwarantujące bezpieczeństwo przesyłanych danych, tj. strony szyfrowane, indywidualne katalogi wymiany. 3) Systemy informatyczne służące do przesyłania danych oraz generowania plików przeznaczonych do wysłania powinny posiadać uaktywnione mechanizmy kontroli dostępu w postaci loginu i hasła. 4) Dane osobowe należy przesyłać w formie niejawnej i umożliwiającej ich uwierzytelnienie, np. poprzez spakowanie z hasłem lub szyfrowane kanały. 5) W przypadku, gdy elektroniczne przesyłanie danych osobowych, do podmiotów zewnętrznych uprawnionych do ich otrzymania na mocy przepisów prawa, stanowi udostępnianie tych danych, należy przedmiotowy fakt odnotować w systemie lub zaewidencjonować w Ewidencji udostępniania danych osobowych, o której mowa w ust. 5 pkt 2). 7. Zbiór danych osobowych, rejestracja zbiorów 1) Za zbiór danych osobowych przetwarzanych w Uniwersytecie uważa się: systemy informatyczne przetwarzania danych oraz oprogramowanie komputerowe służące do ich przetwarzania; dokumenty papierowe, w szczególności kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne. Wykaz zbiorów danych przetwarzanych w Uniwersytecie jest prowadzony przez Administratora Bezpieczeństwa Informacji. 2) Generalną zasadą jest obowiązek rejestracji zbiorów danych osobowych w centralnym rejestrze zbiorów danych prowadzonym przez GIODO, przy czym Administrator Danych Osobowych zwolniony jest z tego obowiązku w związku z powołaniem Administratora Bezpieczeństwa Informacji i zgłoszeniem go do rejestru ABI w GIODO. Zwolnieniem, o którym mowa powyżej nie są objęte - mimo powołania ABI - wyłącznie zbiory danych, w których przetwarzane są dane wrażliwe. 3) Zgłoszenie zbiorów danych osobowych administrowanych przez Uniwersytet, w których przetwarzane są dane wrażliwe, do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zawierać: a) wniosek o wpisanie zbioru do rejestru danych osobowych, b) oznaczenie administratora danych i adres jego siedziby, w tym numer REGON oraz podstawę prawną upoważniającą do prowadzenia zbioru,, c) cel przetwarzania danych, d) opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych, e) sposób zbierania oraz udostępniania danych, f) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, g) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego, h) opis środków technicznych i organizacyjnych zastosowanych do zabezpieczenia danych, i) informację o sposobie wypełniania wymogów technicznych i organizacyjnych, określonych w przepisach, dotyczących zabezpieczeń urządzeń i systemów informatycznych służących do przetwarzania danych. 4) Kierownicy jednostek organizacyjnych Uniwersytetu są zobowiązani, w ciągu 7 dni od zaistnienia zmiany w zakresie przetwarzanych w podległej jednostce zbiorów danych osobowych, przekazać do Administratora Bezpieczeństwa Informacji stosowną informację w powyższym zakresie. 5) Administrator Bezpieczeństwa Informacji przygotowuje - na podstawie przekazanych przez kierowników jednostek organizacyjnych informacji - wniosek zgłoszenia aktualizacji zbiorów Polityka bezpieczeństwa danych osobowych 7

8 do Generalnego Inspektora Ochrony Danych Osobowych, w ciągu 30 dni od pozyskania informacji o zmianach, w przypadku obowiązku zgłoszenia go do rejestru GIODO 6) Zbiory danych osobowych zwolnione z obowiązku zgłoszenia do rejestru GIODO w związku z powołaniem ABI, a nie ujęte w wykazie zawartym w art. 43 ust. 1 UODO podlegają ewidencji w jawnym rejestrze prowadzonym przez ABI, zgodnie z zasadami opisanymi w Regulaminie ochrony danych osobowych. 4 OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH Z uwagi na rodzaj działalności wykaz lokalizacji Uniwersytetu stanowi wykaz obszarów przetwarzania danych osobowych. Za jego prowadzenie i bieżącą aktualizację odpowiedzialny jest Dział Eksploatacji UMCS. 5 OPIS STRUKTURY ZBIORÓW DANYCH OSOBOWYCH ORAZ SPOSOBU PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI 1. Zbiory danych osobowych podzielone są funkcjonalnie. Przetwarza się je, w tym gromadzi i przechowuje zarówno na nośnikach papierowych, jak i w systemie informatycznym, w szczególności w zakresie: a) dokumentacji i akt osobowych w związku z zatrudnieniem, b) dokumentacji i aktach w związku z nauczaniem studentów, c) dokumentacji i akt w związku z realizacją działań statutowych Uniwersytetu. 2. Ze względu na rodzaj i charakter danych osobowych zawartych w zbiorach wyróżnia się dwie kategorie danych: a) dane osobowe zwykłe, b) dane osobowe sensytywne. 3. W przypadku przetwarzania danych osobowych w postaci papierowej odbywa się ono przy wykorzystaniu wszelkiego typu druków, formularzy, kartotek, ksiąg, akt, albumów oraz innej dokumentacji gromadzonej w poszczególnych jednostkach organizacyjnych Uniwersytetu. 4. W przypadku przetwarzania danych osobowych w postaci elektronicznej odbywa się ono przy użyciu systemów informatycznych wykorzystywanych u ADO. Pliki bazodanowe przechowywane są na dedykowanych serwerach. Szczegółowy opis struktury danych osobowych przetwarzanych w postaci elektronicznej, relacji pomiędzy danymi oraz procesy przetwarzania danych zawarte są w dokumentacji technicznej systemów informatycznych wykorzystywanych do przetwarzania przedmiotowych danych. 5. Opis struktury zbioru danych stanowi opis bazy danych, w której są przetwarzane dane osobowe stanowiące zbiór danych osobowych. 6. Jednostką odpowiedzialną za opracowanie i bieżącą aktualizację wykazu systemów przetwarzających dane osobowe, struktury zbiorów danych osobowych administrowanych w bazach oraz przepływu danych pomiędzy systemami jest Dział Lubman UMSC. 6 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPENWIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH 1. Zabezpieczenie danych osobowych przed osobami nieupoważnionymi 1) Przetwarzania danych osobowych należy dokonywać w warunkach zabezpieczających te dane przed osobami nieupoważnionymi. 2) Pomieszczenia, w których przetwarzane są dane osobowe tworzące obszar szczególnie chroniony zabezpieczone są na czas nieobecności osób zatrudnionych przy przetwarzaniu Polityka bezpieczeństwa danych osobowych 8

9 danych osobowych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych, tj. poprzez zabezpieczenia techniczne, fizyczne i ochronę fizyczną. 3) Uzasadnione względami służbowymi przebywanie w tych pomieszczeniach osób nieuprawnionych do dostępu do danych jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych. 4) Pracownicy przetwarzający dane osobowe obowiązani są do prawidłowego zabezpieczania urządzeń i danych na swoich stanowiskach pracy. 5) Dostęp do kluczy do pomieszczeń stanowiących obszar przetwarzania danych osobowych posiadają wyłącznie osoby uprawnione przez ADO do wstępu do tych pomieszczeń. Przed rozpoczęciem pracy klucze pobierane są od pracownika ochrony nadzorującego ich przechowywanie, zaś po zakończeniu pracy są one zdawane również do pracownika ochrony. 6) Wszelkie urządzenia i nośniki zawierające dane osobowe, takie jak serwery, komputery główne, urządzenia teletransmisyjne, szafy z nośnikami magnetycznymi zawierające kopie danych powinny być usytuowane w pomieszczeniach uniemożliwiających dostęp do nich osób nieupoważnionych. 7) Wyłączniki oraz zabezpieczenia zasilania elektrycznego, w już użytkowanych obiektach, powinny być zabezpieczone przed dostępem osób nieupoważnionych. W obiektach nowobudowanych lub modernizowanych wymaga się zabezpieczenia tablic zgodnie z obowiązującymi przepisami nadrzędnymi. 8) Dostęp do pomieszczeń, w których odbywa się przetwarzanie danych osobowych winien być ściśle kontrolowany poprzez stosowane zabezpieczenia organizacyjne i mechaniczne oraz zainstalowane systemy alarmowe. 9) System informatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 10) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 11) W przypadku zastosowania zabezpieczeń logicznych obejmują one: kontrolę przepływu informacji pomiędzy systemem informatycznym wykorzystywanym w Uniwersytecie a siecią publiczną, kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego w Uniwersytecie. 12) Administrator danych obowiązany jest do zabezpieczenia wykorzystywanych do przetwarzania danych osobowych urządzeń, dysków lub innych elektronicznych nośników informacji. Uregulowania określające rodzaj zastosowanych zabezpieczeń nośników znajdują się w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. 13) System informatyczny służący do przetwarzania danych osobowych z wyjątkiem systemu służącego do przetwarzania danych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie powinien zapewniać, aby możliwe było w tym systemie odnotowanie: daty pierwszego wprowadzenia danych osobowych do systemu oraz odnotowanie identyfikatora użytkownika wprowadzającego dane do systemu powyższy obowiązek nie dotyczy systemu informatycznego, do którego dostęp posiada wyłącznie jedna osoba. W/w odnotowania następują automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych, źródła danych w przypadku zbierania danych nie od osoby, której dane dotyczą, informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie ich udostępnienia, wniesienia sprzeciwu osoby wobec przetwarzania jej danych osobowych: w celach marketingowych lub przekazywania danych innemu administratorowi danych, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie Polityka bezpieczeństwa danych osobowych 9

10 informacje, o których mowa powyżej. 14) W przypadku wykorzystywania do przetwarzania danych osobowych komputerów przenośnych jego użytkownik zobowiązany jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i używania poza wyznaczonym przez ADO obszarem przetwarzania danych osobowych, w tym stosowania środków ochrony kryptograficznej wobec przetwarzanych danych. Użytkownik komputera przenośnego odpowiada za powierzone mu urządzenie oraz wszelkie operacje wykonywane przy jego użyciu. 15) Komputery przenośne, wykorzystywane do przetwarzania danych osobowych, po zakończonej pracy, winny być przechowywane w warunkach zapewniających ich bezpieczeństwo. Za właściwe zabezpieczenie przedmiotowych urządzeń odpowiedzialni są ich użytkownicy. 16) Lokalizacja urządzeń komputerowych (komputerów typu PC, terminali, drukarek) powinna uniemożliwiać dostęp do nich osób nieuprawnionych oraz wgląd do danych wyświetlanych na monitorach komputerowych. 17) W przypadku oddalenia się pracownika od stanowiska pracy należy pozostawić system w takim stanie, aby osoby nieupoważnione nie miały do niego dostępu. W tym celu konieczne jest zablokowanie komputera (jeżeli istnieją takie możliwości techniczne) oraz stosowanie chronionych hasłem wygaszaczy ekranu z odpowiednim (tj. nie dłuższym niż 10 minut) czasem nieaktywności do ich uruchomienia. 18) Wszystkie prace remontowe, konserwacyjne, naprawcze, a także porządkowe odbywają się w oparciu o zawarte umowy oraz są nadzorowane przez osobę upoważnioną przez Uniwersytet. 19) W przypadku naprawy sprzętu komputerowego dane należy zabezpieczyć, natomiast w przypadku naprawy sprzętu poza obszarem przetwarzania danych osobowych, po zabezpieczeniu danych należy je trwale usunąć z dysku. Gdy nie ma możliwości usunięcia danych naprawa powinna być nadzorowana przez osobę upoważnioną przez Uniwersytet. 20) Szczególnemu nadzorowi podlegają w Uniwersytecie urządzenia umożliwiające tworzenie i przenoszenie dużych ilości danych, w tym nagrywarki DVD oraz nośniki typu pendrive, a także nośniki komputerowe zawierające dane osobowe. Do ich ochrony i zabezpieczenia zobowiązani są wszyscy ich użytkownicy. 21) W przypadku uszkodzenia nośników komputerowych, o których mowa w pkt 20), użytkownicy zobowiązani są do ich zniszczenia lub przekazania do właściwych służb informatycznych w celu zniszczenia. 22) Uszkodzone nośniki komputerowe (w tym dyski twarde), zawierające dane osobowe, powinny być fizycznie niszczone w sposób uniemożliwiający dostęp do danych osób niepowołanych. Do czasu zniszczenia nośniki komputerowe powinny być zabezpieczone przed dostępem osób nieupoważnionych. 23) Dopuszcza się ponowne wykorzystanie urządzeń i nośników komputerowych zawierających dane osobowe. 24) Urządzenia i nośniki komputerowe zawierające dane osobowe, przeznaczone do ponownego wykorzystania lub przekazania innemu podmiotowi należy - przed ich wykorzystaniem lub przekazaniem - pozbawić zapisu w sposób gwarantujący trwałe usunięcie danych (za pomocą specjalistycznego oprogramowania). 25) Unormowania dotyczące obszaru szczególnie chronionego oraz zasad zabezpieczenia danych osobowych przed osobami nieupoważnionymi stosuje się analogicznie w odniesieniu do informacji podlegających ochronie, za wyjątkiem informacji niejawnych, których zasady ochrony normowane są odrębnie. 2. Kontrola dostępu do danych 1) System informatyczny przetwarzający dane powinien być wyposażony w mechanizmy uwierzytelniania użytkowników oraz kontroli dostępu do danych. 2) Wszystkie mechanizmy, o których mowa w pkt 1), winny być uaktywnione. 3) Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, a także do obsługi kartotek i dokumentów zawierających dane osobowe przetwarzanych w formie papierowej mogą zostać dopuszczone wyłącznie Polityka bezpieczeństwa danych osobowych 10

11 osoby posiadające upoważnienie ADO. Dopuszczalny sposób i zakres przetwarzania danych osobowych regulują zapisy ustaw szczegółowych właściwych dla funkcjonowania Uniwersytetu i jego jednostek organizacyjnych. 4) Dostęp do danych przyznaje się w oparciu o rolę jaką dana osoba pełni w związku z realizacją czynności wykonywanych w ramach zakresu obowiązków oraz poleceń przełożonego. 5) Dopuszcza się możliwość dostępu do danych przez podmioty zewnętrzne w przypadku zaistnienia okoliczności wynikających z obowiązujących przepisów prawa oraz zawartych umów. W odniesieniu do osób nie będących pracownikami Uniwersytetu zasady ochrony i dostępu do danych są określone w odrębnych umowach, zaś nadzór nad przestrzeganiem wszelkich przepisów prawnych i uregulowań z zakresu ochrony danych spoczywa na właścicielu lub organie decyzyjnym podmiotu współpracującego. 6) Czas dostępu użytkownika do poszczególnych danych określony jest czasem wykonania zadania wynikającego z pełnionej roli. 7) Szczegółowy opis procesu zarządzania uprawnieniami do dostępu do danych osobowych i obsługi systemu informatycznego oraz nadawania, modyfikacji i anulowania uprawnień użytkowników realizowane są według zasad określonych w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. 8) Uniwersytet jako ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych podlegającą aktualizacji w związku z nadawaniem, modyfikowaniem i anulowaniem uprawnień użytkowników. Sposób prowadzenia ewidencji określa Instrukcja, o której mowa w pkt 7). 9) Osoby, które zostały upoważnione do przetwarzania danych osobowych obowiązane są do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia. 10) System informatyczny musi zapewniać autoryzację i rozliczalność operacji. Każde działanie w systemie informatycznym powinno być jednoznacznie przypisane do unikalnego identyfikatora. 11) Dostęp do danych w systemie informatycznym powinien być kontrolowany. Jest on możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Identyfikator przydzielany jest użytkownikowi na stałe. Uwierzytelnienie użytkownika następuje za pomocą indywidualnego hasła. Szczegółowe zasady w zakresie metod i środków uwierzytelniania oraz sposobu zarządzania hasłami do systemów informatycznych i wymagań dotyczących haseł określone są w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. 12) System informatyczny powinien posiadać możliwość kontroli złożoności i długości haseł. 13) Przed uruchomieniem komputera na stanowisku pracy każdy użytkownik powinien dokonać przeglądu i sprawdzenia urządzeń komputerowych pod kątem ujawnienia okoliczności wskazujących na naruszenie dostępu do tych urządzeń lub danych zawartych na nich. 14) Praca w systemie informatycznym powinna być inicjowana właściwą dla danego systemu procedurą login, która wymaga podania identyfikatora i hasła. 15) Jeśli istnieją możliwości techniczne, system informatyczny powinien wymuszać skończoną liczbę prób logowania, nie większą niż trzy. 16) Użytkownik opuszczając stanowisko pracy winien zwrócić szczególną uwagę na uniemożliwienie wykorzystywania systemu komputerowego przez osoby nieupoważnione, w szczególności na włączenie opcji wygaszacza ekranu po upływie ustalonego czasu nieaktywności użytkownika. Zaleca się ręczne blokowanie komputera przez użytkownika. 17) W przypadku zakończenia pracy, każdy użytkownik zobowiązany jest do: a) wykonania właściwej funkcji logout, b) wyłączenia sprzętu komputerowego, c) zabezpieczenia stanowiska pracy, w szczególności dokumentacji i wymiennych nośników danych. 3. Archiwizacja danych osobowych 1) Wszystkie bazy danych osobowych w jednostkach organizacyjnych Uniwersytetu podlegają zabezpieczeniu i archiwizowaniu. Polityka bezpieczeństwa danych osobowych 11

12 2) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych baz danych oraz programów służących do przetwarzania danych. 3) Dostęp do kopii powinien być kontrolowany, przetwarzanie kopii archiwalnych powinno zapewniać ich poufność, integralność (stopień w zależności od krytyczności danych) oraz dostępność (w stopniu zdefiniowanym przez właściciela). 4) Szczegółowe unormowania dotyczące tworzenia, przechowywania i usuwania kopii określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych. 4. Zabezpieczenie danych osobowych zapisanych w formie papierowej 1) Za bezpieczeństwo danych osobowych zapisanych w formie papierowej odpowiedzialne są osoby je przetwarzające oraz kierownicy poszczególnych jednostek organizacyjnych Uniwersytetu. 2) Wszystkie dane osobowe, o których mowa w pkt 1, powinny być zabezpieczone przed osobami nieupoważnionymi oraz przechowywane w urządzeniach gwarantujących dostęp do nich wyłącznie uprawnionych pracowników, tj. przynajmniej w pomieszczeniach zamykanych na klucz zabezpieczonych monitorowanym systemem alarmowym, z zastosowaniem dodatkowego zabezpieczenia w postaci szafy drewnianej zamykanej na klucz lub szafy metalowej w odniesieniu do szczególnie istotnych dla działalności Uniwersytetu danych. 3) Analogicznej ochronie jak dokumenty zawierające dane osobowe podlegają dokumenty zawierające informacje podlegające ochronie w Uniwersytecie oraz poszczególnych jego jednostkach organizacyjnych, z zastrzeżeniem odrębności postępowania w przedmiotowym obszarze w odniesieniu do informacji niejawnych. 4) Wszelkie dokumenty i wydruki zawierające dane osobowe przeznaczone do usunięcia należy niszczyć w stopniu uniemożliwiającym ich odczytanie (przy użyciu niszczarki). Dopuszcza się możliwość niszczenia dokumentów zawierających dane osobowe przez specjalistyczne firmy zewnętrzne. Warunkiem skorzystania z usług tego typu firm jest zawarcie umowy cywilnoprawnej, w której należy zawrzeć klauzule zobowiązujące firmę do zapewnienia stanu poufności informacji uzyskanych w toku realizacji umowy oraz określić kwestie związane z przekazaniem dokumentów do zniszczenia, sposobem zniszczenia oraz potwierdzenia tego faktu w postaci protokołów i certyfikatów. 5. Ochrona systemu przed wirusami 1) W celu ochrony danych osobowych przetwarzanych w systemach informatycznych przed szkodliwym oprogramowaniem należy stosować zabezpieczenia techniczne minimalizujące ryzyko utraty lub uszkodzenia danych. 2) Sposób postępowania i ochrony zasobów informatycznych przed wirusami normuje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych. 7 KONTROLA WEWNĘTRZNA 1. Do kontroli stanu ochrony danych osobowych w jednostkach organizacyjnych Uniwersytetu uprawnieni są: 1) Rektor i Członkowie władz Uniwersytetu, 2) Administrator Bezpieczeństwa Informacji, 3) Kierownicy jednostek organizacyjnych w podległych im jednostkach, 4) Pracownicy upoważnieni przez osoby wymienione w pkt W przypadku przeprowadzenia kontroli przez kierownika jednostki organizacyjnej Uniwersytetu lub pracownika przez niego upoważnionego oraz stwierdzenia w czasie kontroli odstępstw od obowiązujących - na podstawie przepisów prawa i aktów prawnych wewnętrznych - zasad przetwarzania danych osobowych kontrolujący zobowiązany jest do poinformowania Administratora Bezpieczeństwa Informacji o wynikach kontroli i stwierdzonych faktach oraz uzgodnienia z nim dalszego toku postępowania. 3. Czynności kontrolne prowadzone przez ABI stanowiące sprawdzenia stanu ochrony danych osobowych realizowane są zgodnie z unormowaniami Regulaminu ochrony danych osobowych. Polityka bezpieczeństwa danych osobowych 12

13 8 ZASADY POSTĘPWANIA W PRZYPADKACH NARUSZEŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH 1. Do zdarzeń zagrażających bezpieczeństwu danych osobowych należą: 1) próby naruszenia ochrony danych: a) z zewnątrz włamania do systemu, podsłuch, kradzież danych, b) z wewnątrz nieumyślna lub celowa modyfikacja danych, kradzież danych, 2) programy destrukcyjne: a) wirusy, b) konie trojańskie, c) makra, d) bomby logiczne, 3) awarie sprzętu lub uszkodzenie oprogramowania, 4) utrata zasilania powodująca przerwę w pracy systemów, 5) zabór sprzętu lub nośników z ważnymi danymi, 6) inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych (zjawiska fizyczne, takie jak powódź, pożar, huragan, działania silnych pół elektromagnetycznych, przechwycenie transmisji danych, odczyt danych z monitora komputera przez osoby nieuprawnione itp.). 2. W przypadku pozyskania informacji o fakcie nieprawnego przetwarzania, ujawnienia lub nienależytego zabezpieczenia przed osobami nieuprawnionymi danych osobowych, jak również stwierdzenia istnienia przesłanek wskazujących na prawdopodobieństwo naruszenia zasad ochrony danych osobowych, każdy pracownik Uniwersytetu zobowiązany jest poinformować bezpośredniego przełożonego, który powiadamia o zdarzeniu przełożonego wyższego szczebla oraz Administratora Bezpieczeństwa Informacji, w celu umożliwienia mu przeprowadzenia lub koordynacji działań związanych z postępowaniem wyjaśniającym okoliczności danego zdarzenia. 3. Dopuszcza się możliwość przeprowadzenia postępowania wyjaśniającego przez ABI lub przez pracownika wskazanego przez kierownika jednostki organizacyjnej, w której zaistniało podejrzenie wystąpienia sytuacji, o której mowa w ust. 2. Wyboru pracownika mającego przeprowadzić postępowanie wyjaśniające dokonuje się z uwzględnieniem rodzaju zdarzenia oraz indywidualnych predyspozycji pracownika. 4. W przypadku prowadzenia postępowania wyjaśniającego przez pracownika upoważnionego przez kierownika jednostki organizacyjnej, w której zaistniało podejrzenie wystąpienia sytuacji, o której mowa w ust. 2, informację zawierającą opis i wyniki przeprowadzonego postępowania należy przekazać do Administratora Bezpieczeństwa Informacji. 5. Administrator Bezpieczeństwa Informacji powiadamia o wynikach postępowania wyjaśniającego władze Uniwersytetu. 6. W ramach postępowania wyjaśniającego podejmowane są czynności mające na celu wyjaśnienie okoliczności danego zdarzenia, w szczególności: 1) ustalenie czasu wystąpienia naruszenia, jego zakresu, przyczyn, skutków oraz wielkości szkód, które zaistniały, 2) ustalenie osoby odpowiedzialnej za naruszenie, 3) podjęcie działań w kierunku ograniczenia szkód oraz przeciwdziałania podobnym przypadkom w przyszłości, 4) wyciągnięcie konsekwencji w stosunku do osoby ponoszącej odpowiedzialność za zdarzenie, przy czym z tytułu przedmiotowych naruszeń możliwa jest m.in. odpowiedzialność: dyscyplinarna na podstawie obowiązujących unormowań wewnętrznych, cywilna w oparciu o przepisy KC, w związku z wystąpieniem przez Administratora Danych Osobowych na drogę sądową, karna na podstawie UODO, 5) podjęcie decyzji czy zdarzenie spełnia przesłanki przestępstwa określonego w UODO oraz czy ADO zobowiązany jest zgłosić sprawę do organów ścigania. 7. W trakcie prowadzenia postępowania wyjaśniającego osoba je prowadząca ma prawo do pełnej swobody działania, dostępu do dokumentów, wglądu do operacji wykonywanych w systemach Polityka bezpieczeństwa danych osobowych 13

14 informatycznych, pobierania wyjaśnień od pracowników i osób mogących mieć wpływ na wyniki postępowania oraz podejmowania wszelkich czynności mających na celu wyjaśnienie przyczyn, okoliczności i skutków zdarzenia oraz wskazania osób z nim powiązanych. O wynikach postępowania informowane są władze Uniwersytetu. 9 POSTĘPWANIE W PRZYPADKACH ZAGROŻEŃ BEZPIECZEŃSTWA DANYCH 1. W przypadku nieprawidłowości w działaniu systemu, uszkodzenia lub podejrzenia o uszkodzenie sprzętu, oprogramowania, sieci telekomunikacyjnej lub danych należy bezzwłocznie powiadomić bezpośredniego przełożonego oraz zgłosić incydent do Administratora Systemu Informatycznego. Przełożony informuje o zaistniałym zdarzeniu Administratora Bezpieczeństwa Informacji. 2. W przypadku włamania lub podejrzenia o włamanie do systemu Administrator Systemu, do którego zostało skierowane zgłoszenie podejmuje działania w celu zabezpieczenia systemu i danych: 1) zmienia hasła administracyjne, 2) określa rodzaj i sposób włamania, 3) podejmuje działania w celu uniemożliwienia ponownego włamania tego samego typu, 4) szacuje straty, 5) przywraca stan systemu sprzed włamania. 3. W przypadku uszkodzenia sprzętu lub programów z danymi Administrator Systemu podejmuje działania w celu: 1) określenia przyczyny uszkodzenia, 2) oszacowania strat wynikających z ww. uszkodzenia, 3) naprawy uszkodzeń, a w szczególności naprawy sprzętu, ponownego zainstalowania danego programu, odtworzenie jego pełnej konfiguracji oraz wczytania danych z ostatniej kopii zapasowej. 4. W przypadku uszkodzenia danych Administrator Systemu podejmuje następujące działania: 1) ustala przyczynę uszkodzenia danych, 2) określa wielkość i jakość uszkodzonych danych, 3) podejmuje działania w celu odtworzenia danych z ostatniej kopii zapasowej. 5. W przypadku zidentyfikowania osób odpowiedzialnych za wystąpienie któregoś ze zdarzeń zagrażających bezpieczeństwu danych informacje o powyższym należy przekazać do bezpośredniego przełożonego winnej osoby, który zawiadamia o danym fakcie Administratora Bezpieczeństwa Informacji oraz uzgadnia z nim dalszy tryb postępowania. 10 ŚRODKI ORGANIZACYJNE 1. Administrator Danych Osobowych w celu spełnienia wymogów wynikających z UODO: 1) opracowuje i wdraża dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zgodnie z 3 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych na ww. dokumentację składa się Polityka Bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych stanowiące integralne elementy niniejszego Regulaminu ochrony danych osobowych, 2) powołuje w oparciu o art. 36 a ust. 1 UODO - Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, 3) dopuszcza do przetwarzania danych wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych, 4) prowadzi ewidencję osób upoważnionych do przetwarzania danych. Polityka bezpieczeństwa danych osobowych 14

15 2. Wszelkie niezbędne informacje o zastosowanych przez ADO środkach zawarte są w Regulaminie ochrony danych osobowych oraz załącznikach do niej. 11 POZOSTAŁE INFORMACJE DOTYCZĄCE SYSTEMÓW INFORMATYCZANYCH I BAZ DANYCH Pozostałe informacje dotyczące systemów informatycznych i baz danych zawarte są - zgodnie z 5 rozporządzenia - w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. ZAŁĄCZNIKI: Załącznik nr 1 - Wzór zgody osoby, której dane dotyczą. Załącznik nr 2 - Wzór informacji dla osoby, której dane dotyczą. Polityka bezpieczeństwa danych osobowych 15