POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

2 Wykaz osób upoważnionych do PRZETWARZANIA DANYCH OSOBOWYCH zawiera załącznik nr 1 do niniejszej Polityki bezpieczeństwa.

3 Instrukcja określająca sposób postępowania z dokumentami zawierającymi dane osobowe oraz użytkowania systemu informatycznego, służącego do przetwarzania dokumentacji ZCDN-u zawierającej dane osobowe, ze szczególnym uwzględnieniem zasad bezpieczeństwa informacji (Opracowano w oparciu o wytyczne zawarte w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) 1. Administratorem danych osobowych jest Województwo Zachodniopomorskie, Zachodniopomorskie Centrum Doskonalenia Nauczycieli 2. W imieniu administratora działa Urszula Pańka, dyrektor Zachodniopomorskiego Centrum Doskonalenia Nauczycieli 3. Niniejsza instrukcja stanowi wiążący dokument i wchodzi w życie z dniem jej przyjęcia. 4. Dane osobowe przetwarzane przez administratora danych wykorzystywane są wyłącznie w celu prowadzenia działalności szkoleniowej, doradczej, udostępniania zbiorów bibliotecznych, wystawienia faktur, sprawozdawczości wynikającej z zapisów programu, rachunku prowadzenia sprawozdawczości finansowej oraz rozliczeń wymaganych przepisami prawa. 5. Dane osobowe wykorzystywane przez administratora danych nie są wykorzystywane w celu prowadzenia działalności marketingowej. 6. Administrator nie przetwarza danych szczególnie wrażliwych w rozumieniu przepisu artykułu 27 ustawy o ochronie danych osobowych. 7. Administrator może wykorzystać dane osobowe do realizacji prawnie umotywowanych celów administratora, w tym dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej. 8. Dane osobowe wykorzystywane przez administratora danych, poza przypadkami określonymi w przepisach prawa, nie podlegają dalszemu udostępnieniu.

4 9. Wszelkie materiały i dokumenty zawierające dane osobowe mogą być wykorzystywane jedynie na obszarze określonym przez administratora danych osobowych. Wyjątki od tej zasady są ściśle określone w niniejszej instrukcji. 10. Obszarem, na którym dopuszcza się przetwarzanie dokumentacji są pomieszczenia siedziby administratora położone w budynku przy ulicy Generała Józefa Sowińskiego 68, Szczecin oraz w Oddziałach Zamiejscowych. 11. Obszar, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieupoważnionych w obszarze, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 12. Każdy pracownik administratora danych potwierdza zapoznanie się z treścią niniejszej instrukcji własnoręcznym podpisem. 13. Ewidencję przyjęcie i zapoznania poszczególnych pracowników z instrukcją prowadzi się w oddzielnym wykazie. 14. Każdy pracownik administratora danych jest zobowiązany do zachowania w tajemnicy danych osobowych wykorzystywanych przez administratora w ramach działalności statutowej. Obowiązek ten rozciąga się także po ustaniu zatrudnienia u administratora danych. 15. Stosowane zobowiązania (klauzule) są podpisywane przez poszczególnych pracowników i stanowią dodatkową kategorię obowiązków pracowniczych. 16. Administrator danych osobowych udziela poszczególnym pracownikom, w formie pisemnej pełnomocnictwa do pracy z danymi osobowymi. 17. Ewidencję udzielonych pełnomocnictw administrator prowadzi w formie oddzielnego wykazu. 18. Administrator w formie pisemnej wyznacza osobę odpowiedzialną za wdrożenie zasad przetwarzania danych osobowych oraz udziela tej osobie pełnomocnictwa, o którym mowa w pkt. 16. Pełnomocnictwo to obejmuje dodatkowo prowadzenie wymaganych przepisami prawa ewidencji i wykazów związanych z przetwarzaniem danych osobowych. 19. Osobą tą jest Roman Szymański Kierownik Działu Administracji i Obsługi wyznaczony jako administrator bezpieczeństwa informacji.

5 20. Osoba odpowiedzialna prowadzi nadzór nad przestrzeganiem zasad przetwarzania danych. 21. Poszczególni pracownicy administratora także są odpowiedzialni za stosowanie zasad określonych w niniejszej instrukcji.

6 Sposób postępowania z dokumentacją nieelektroniczną zawierającą chronione dane osobowe 22. Umocowany pracownik wykorzystujący dokumentację zawierającą dane osobowe dokłada szczególnej staranności w zakresie zabezpieczenia jej przed dostępem osób niepowołanych ich utraty lub zniszczenia. 23. Zabrania się: a. pozostawiania bez nadzoru dokumentacji zawierającej dane osobowe w tym w szczególności w miejscach i pomieszczeniach przeznaczonych do obsługi interesantów; b. udzielania telefonicznych informacji co do poszczególnych osób których dane są przez administratora wykorzystywane; c. umożliwienia wglądu osobom postronnym w dokumentację zawierającą dane osobowe; d. wynoszenia bez zgody administratora dokumentacji zawierającej dane osobowe poza obszar określony przez administratora danych; e. wykorzystywania danych osobowych do celów innych niż określone w pkt. 4; f. podejmowania innych działań mogących mieć wpływ na bezpieczeństwo danych osobowych. 24. Przetwarzanie i praca z dokumentacją zawierającą dane osobowe poza obszarem określonym przez administratora może mieć miejsce tylko w wypadku uzyskania zgody administratora danych oraz w związku z wykonywaniem obowiązków służbowych. Zgoda powyższa może być udzielona w formie pisemnej. 25. Umocowany pracownik powinien dołożyć szczególnej staranności w zakresie zabezpieczenia danych w tym: a. sprawować stały nadzór nad dokumentacją zawierającą dane osobowe; b. przenosić dokumentację zawierającą dane osobowe w oddzielnie zamykanej teczce lub aktówce; c. nie pozostawiać dokumentacji zawierającej dane osobowe w niezabezpieczonych pojazdach mechanicznych lub na widoku;

7 d. dbać aby organizacja pracy poza obszarem określonym przez administratora uniemożliwiała osobom postronnym wgląd w dane osobowe oraz zapewniała ich zabezpieczenia przed utratą i zniszczeniem. 26. Dokumentacja zawierająca dane osobowe jest przechowywana w zamykanych na klucz szafach i sejfach. 27. Klucze do poszczególnych szaf lub sejfów, w których przechowywana jest dokumentacja zawierająca dane osobowe mogą posiadać jedynie umocowani do pracy z danymi osobowymi pracownicy administratora. 28. Kopie zapasowe kluczy przechowuje administrator danych. 29. Po zakończonej pracy dokumentację należy umieścić we właściwych szafach lub sejfach zamykanych na klucz. 30. W przypadkach szczególnych administrator może wprowadzić obowiązek dodatkowego plombowania szaf lub sejfów. 31. W przypadku utraty lub zniszczenia dokumentacji danych osobowych pracownik, który miał nad nimi pieczę niezwłocznie zawiadamia administratora, przedstawiając okoliczności zdarzenia, zakres utraconej lub zniszczonej dokumentacji oraz inne mogące mieć znaczenie dla odzyskania dokumentacji. 32. Z powyższych sporządza się pisemny protokół zawierający oświadczenie pracownika oraz podpis administratora. 33. Jeśli utrata lub zniszczenie danych nastąpiło w wyniku lub pozostaje w związku z popełnieniem czynu stanowiącego przestępstwo administrator zawiadamia stosowne organy Policji. 34. Administrator bada, czy w związku z utratą lub zniszczeniem dokumentacji zawierającej dane osobowe nie doszło do naruszenia obowiązków pracowniczych.

8 Sposób postępowania z dokumentacją mającą formę elektroniczną zawierającą chronione dane osobowe 35. Dokumentacja zawierająca dane osobowe jest przetwarzana przy użyciu systemów komputerowych. 36. Na system komputerowy służący do przetwarzania dokumentacji zawierającej dane osobowe składają się: a. 1 stanowisk1 komputerowe (komputer przenośny) niepołączony siecią lokalną, znajdujący się w pokoju Biura Projektu w siedzibie Zachodniopomorskiego Centrum Doskonalenia Nauczycieli, przy ul. Gen. J. Sowińskiego 68, Szczecin. 37. Umocowani pracownicy administratora mogą przetwarzać elektroniczne dokumentację zawierająca dane osobowe jedynie z zachowaniem zasad określonych w niniejszej instrukcji. 38. Umocowany pracownik użytkujący komputer przenośny zawierający dokumentację o charakterze danych osobowych zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem. Komputery przenośne korzystają z systemów plików zawierających możliwość szyfrowania danych. 39. Zakazuje się przesyłania dokumentacji zawierającej dane osobowe do sieci publicznej. 40. Monitory komputerowe powinny być usytuowane w sposób uniemożliwiający wgląd osób postronnych. 41. W razie przerwy w pracy lub odejścia od stanowiska umocowany pracownik jest zobowiązany do zapisania pracy i wylogowania się z systemu komputerowego. 42. Wprowadza się obowiązek zastosowania wygaszaczy ekranu zabezpieczonych hasłem. Czas po jakim wygaszasz taki się uaktywni wynosi maksymalnie 4 minuty. 43. W sytuacji podejrzenia naruszenia bezpieczeństwa systemu np. w przypadku braku możliwości zalogowania się użytkownika na jego konto czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane lub użytkowane narzędzia programowe lub sprzętowe umocowany pracownik postępuje odpowiednio do pkt Osoba odpowiedzialna prowadzi kontrolę stosowania przez pracowników zasad postępowania z dokumentacją elektroniczną zawierającą dane osobowe.

9 45. Osoba odpowiedzialna wykonuje czynności związane z przyznawaniem identyfikatorów i haseł służących do pracy w systemie komputerowym, oraz związane z konserwacją systemu komputerowego z zachowaniem poniższych zasad: a. Do oprogramowania powyższych stanowisk komputerowych dopuszcza się jedynie licencjonowane oprogramowanie zapewniające rozliczalność i audytowalność procedur i czynności dokonywanych przez umocowanych pracowników. b. Zakazane jest stosowanie oprogramowania systemowego i użytkowego niespełniającego powyższych wymogów. c. W ramach poszczególnych stanowisk komputerowych zabrania się instalowania oprogramowania niezatwierdzonego przez osobę wyznaczoną przez administratora. d. Osoba odpowiedzialna prowadzi ewidencje związane z przetwarzaniem elektronicznym dokumentacji zawierającej dane osobowe. e. W ramach obowiązków osoby odpowiedzialnej znajduje się także nadzorowanie wykonania kopii bezpieczeństwa. f. Kopie bezpieczeństwa obejmują dokumentację elektroniczną zawierającą dane osobowe. g. Kopie bezpieczeństwa wykonuje się nie rzadziej jak raz na trzy tygodnie a w wypadku stanowisk podłączonych do sieci publicznej nie rzadziej niż raz na tydzień. h. Kopie bezpieczeństwa wykonuje się na nośnikach CD-R lub DVD-R oraz ewentualnie nośnikach magnetycznych lub magneto-optycznych. Dopuszcza się wykonanie kopii różnicowych lub wykonanie kopii bezpieczeństwa z wykorzystaniem mechanizmu wielosesyjności płyt CD-R lub DVD-R jednak w takim przypadku dane powinny być nagrywane w oddzielnych katalogach opatrzonych datą wykonania kopii. i. W przypadku wykonania kopii bezpieczeństwa za pomocą zewnętrznych napędów magnetycznych (dyski twarde) osoba odpowiedzialna dodatkowo zabezpiecza nośnik przed uszkodzeniem. j. Wykonane kopie bezpieczeństwa przechowuje się w zamykanej na klucz szafie lub sejfie. k. Administrator może wyznaczyć umocowanych pracowników do wykonywania kopii bezpieczeństwa jednak zebranie i zabezpieczenie kopii jest dokonywane przez osobę odpowiedzialną.

10 l. Kopie bezpieczeństwa, które utraciły przydatność i nie podlegają dalszemu wykorzystaniu w oparciu o odrębne przepisy prawa powinny być zniszczone w sposób całkowicie uniemożliwiający ich odczytanie. m. Z procedury zniszczenia sporządza się protokół, który podpisują osoba odpowiedzialna i administrator. 46. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dokumentację o charakterze osobowym przeznaczone do: a. likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; b. przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; c. naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 47. Osoba odpowiedzialna przydziela umocowanym pracownikom unikalne identyfikatory i hasła służące do pracy w systemie komputerowym. 48. Przyznanie powyższych następuje w formie pisemnej i podlega odnotowaniu. 49. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 50. Przyznawane hasło składa się co najmniej z 8 znaków, zwiera małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło podlega zmianie przynajmniej raz na miesiąc. 51. Zakazane jest przechowywanie danych służących do rozpoczęcia pracy w systemie informatycznym w sposób umożliwiający dostęp osobom postronnym. 52. Dokumentację zmiany haseł i przyznawania identyfikatorów prowadzi osoba odpowiedzialna. Dokumentacja przechowywana jest w wyznaczonej szafie lub sejfie zamykanych na klucz. Obowiązuje zakaz przechowywania dokumentacji zmian haseł i identyfikatorów w formie elektronicznej. 53. Identyfikatory i hasła na poziomie administratora systemu przechowywane są oddzielnie. 54. System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

11 a. działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, każde stanowisko komputerowe wyposażone zostaje w stosowne oprogramowanie typu firewall i aktualizowane oprogramowanie antywirusowe. b. utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Stanowiska komputerowe wyposażone zostają w awaryjny system zasilania zabezpieczający przed utratą danych. 55. Wszelkie nośniki elektroniczne zawierające dokumentację o charakterze osobowym przechowuje się stosownie do postanowień pkt. 26 i nast Urszula Pańka data i podpis Dyrektora ZCDN-u