Zarządzenie nr 25 / 99 Starosty Powiatu Malborskiego. z dnia r.

Transkrypt

1 Zarządzenie nr 25 / 99 Starosty Powiatu Malborskiego z dnia r. W sprawie wprowadzenia instrukcji określających sposób ochrony danych osobowych i sposób postępowania w przypadkach jej poruszenia przez pracowników Powiatowego Centrum Pomocy Rodzinie w Malborku. Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883) w związku z 6 i 11 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521) zarządzam co następuje: 1 Wprowadzam w Powiatowym Centrum Pomocy Rodzinie instrukcję w sprawie ochrony danych osobowych i sposoby postępowania w przypadku jej naruszenia stanowiąca załącznik Nr 1. 2 Odpowiedzialnymi za wykonanie i przestrzegania wprowadzonej instrukcji czyni się wszystkich pracowników Powiatowego Centrum Pomocy Rodzinie oraz pracowników wykonujących zadania Powiatowego Funduszu Rehabilitacji Osób Niepełnosprawnych i pracowników Powiatowego Zespołu Orzekającego o Stopniu Niepełnosprawności. 3 Nadzór nad wykonaniem zarządzenia powierza się Dyrektorowi Powiatowego Centrum Pomocy Rodzinie w Malborku. 4 Zarządzenie wchodzi w Ŝycie z dniem podpisania. S T A R O S T A Julian Grzanko

2 Załącznik Nr 1 INSTRUKCJA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH PRZY ICH PRZETWARZANIU ŚRODKAMI INFORMATYCZNYMI W POWIATOWYM CENTRUM POMOCY RODZINIE W MALBORKU 1. KaŜdy obywatel ma prawo do ochrony danych osobowych. 2. Celem instrukcji jest ochrona danych osobowych przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a takŝe ich utrata. 3. Pracownicy zatrudnieni przy przetwarzaniu danych osobowych zobowiązani są do zapoznania się i stosowaniem w praktyce ustawy z dnia r. oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. o ochronie danych osobowych. 4. Administratorem bezpieczeństwa informacji wyznaczam Panią Annę Sawirską, którą teŝ czynię odpowiedzialną za zarządzanie systemem informacyjnym. 5. Przetwarzanie danych osobowych z uŝyciem stacjonarnego sprzętu komputerowego odbywa się w budynku Starostwa Powiatowego (Malbork, Pl. Słowiański 17) w pomieszczeniach Powiatowego Centrum Pomocy Rodzinie oraz Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych i Powiatowego Zespołu Orzekającego o Stopniu Niepełnosprawności. D L A U ś Y T K O N I K A 1. Do obsługi programu komputerowego oraz urządzeń wchodzących w jego skład, słuŝących do przetwarzania danych, uŝytkownik moŝe być dopuszczony wyłącznie posiadając upowaŝnienie Starosty Powiatu Malborskiego lub Dyrektora Powiatowego Centrum Pomocy Rodzinie w Malborku. 2. UŜytkownik ma obowiązek zmieniać hasła z częstotliwością nie mniejszą niŝ 30 dni, hasło nie moŝe być zapisane w miejscu dostępnym dla osób nieupowaŝnionych. 3. Bezpośredni dostęp do danych uŝytkownik ma dopiero po podaniu identyfikatora i właściwego hasła. UŜytkownik nie moŝe udostępnić identyfikatora, hasła i stanowiska roboczego osobom nieupowaŝnionym. 4. UŜytkownik ma obowiązek zamykania systemu lub programu po zakończeniu pracy, stanowisko komputerowe z uruchomionym systemem, programem nie moŝe pozostawać bez kontroli pracującego na nim uŝytkownika.

3 5. Osoby dopuszczone do obsługi programu komputerowego obowiązane są do zachowania tajemnicy (dostępu do danych i ich merytorycznych treści), obowiązek ten istnieje równieŝ po ustaniu zatrudnienia 6. Wszystkie wydruki zawierające dane osobowe powinny być przechowywane w miejscu uniemoŝliwiającym ich odczyt przez osoby nieuprawnione, zaś po upływie czasu ich przydatności powinny być niszczone (cięte na strzępy w niszczarkach). 7. ZABRANIA SIĘ: 7.1 Udostępniania stanowisk roboczych oraz istniejących na nich danych (w postaci pisanej jak i elektronicznej)osobom nieupowaŝnionym. 7.2 Wykorzystywania sieci komputerowej w celach innych niŝ wyznaczone przez administratora danych osobowych. 7.3 Samodzielnego instalowania programów komputerowych posiadających lub nie posiadających licencji. 7.4 Trwałego lub czasowego kopiowania programów komputerowych w całości lub części jakimikolwiek środkami i w jakiejkolwiek formie. 7.5 Publicznego rozpowszechniania programów komputerowych lub ich kopii dla osób postronnych. 7.6 Przenoszenia programów komputerowych z własnego stanowiska roboczego na inne stanowisko. 7.7 Tłumaczenia, przystosowywania, zmiany zakładu lub jakichkolwiek innych zmian w programie komputerowym. 7.8 UŜywania oprogramowania, które posiada sfałszowane znaki firmowe lub nie posiada w ogóle znaków firmowych, etykiet, oryginalnych nośników, dokumentacji łącznie z elektroniczną. 7.9 Udostępniania osobom postronnym programów komputerowych przez moŝliwość dostępu do zasobów sieci wewnętrznej lub internetu Wykorzystywania oprogramowania lub materiałów ściągniętych z internetu do masowego rozprowadzania bez licencji lub wyraźnego upowaŝnienia autora UŜywania nośników udostępnionych przez osoby postronne i podejrzanych o zainfekowanie wirusem nośnika danych / FDD lub HDD/. W przypadku podejrzenia o zainfekowanie wirusem uŝytkownik ma obowiązek niezwłocznie poinformować o tym administratora danych lub pełnomocnika ds. ochrony informacji niejawnych oraz administratora bezpieczeństwa informacji UŜywania oprogramowania w większym zakresie niŝ pozwala na to umowa licencyjna.

4 8. W przypadku osób uŝytkujących przenośny komputer słuŝący do przetwarzania danych osobowych powinny one zachować szczególną ostroŝność podczas transportu i przechowywania komputera poza obszarem, w którym przetwarzane są dane osobowe. Komputer taki powinien być w ten sposób zabezpieczony, aby zapobiec dostępowi osoby nieupowaŝnionej do danych osobowych. W szczególności komputer powinien zostać zabezpieczony poprzez wprowadzenie hasła systemowego, a osoba uŝytkujące komputer nie moŝe zezwolić na uŝywanie komputera osobom nieupowaŝnionym do dostępu do danych osobowych. 9. UŜytkownik ma obowiązek powiadamiać administratora danych osobowych lub pełnomocnika d/s ochrony informacji oraz administratora bezpieczeństwa informacji o sytuacjach nadzwyczajnych, o wszelkiego rodzaju róŝnicach w funkcjonowaniu programu, systemu i tylko w porozumieniu z wymienionymi osobami moŝe zostać wezwany do konsultacji autor programu lub przedstawiciel autora / firmy, od której zostało oprogramowanie zakupione/. D L A A D M I N I S T R A T O R A 1. UŜytkownicy systemu, programu są niezwłocznie rejestrowani i wyrejestrowani, gdy uzyskują lub tracą prawo do dostępu do systemu, programu przez administratora bezpieczeństwa danych osobowych. Identyfikator po wyrejestrowaniu nie powinien być przydzielany innej osobie. 2. Identyfikator oraz pierwsze hasło przydzielane jest uŝytkownikowi przez administratora bezpieczeństwa danych. 3. Administrator bezpieczeństwa danych osobowych prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych / odnotowywane jest imię i nazwisko uŝytkownika, identyfikator oraz pierwsze hasło /. 4. Kopie awaryjne są tworzone codziennie na odpowiednich nośnikach na dyskietki, tasiemki streamera; co kwartał tworzy się kopie na CD romach. 5. Nośniki informacji przechowywane są w pomieszczenia Naczelników Wydziałów o ile sytuacja nie wymaga inaczej. Po upływie tego okresu są wykorzystywane do ponownej kopii albo ulegają zniszczeniu; kopie awaryjne są okresowo sprawdzane pod kątem ich dalszej przydatności. 6. Monitory ekranowe albo posiadają filtry typu PRIVACE albo są usytuowane w taki sposób, Ŝe uniemoŝliwiają odczyt danych przez osoby postronne. 7. Systemy komputerowe i terminale są tak skonfigurowane, Ŝe po czasie bezczynności wyłączają się lub zostają uaktywnione wygaszacie. 8. Systemy komputerowe, programy oraz nośniki sprawdzane są na obecność wirusa z częstotliwością 1 miesiąca / o ile nie zajdzie inna potrzeba /. 9. Przeglądy i konserwacja systemów i zbiorów danych przeprowadzane są co miesiąc przez uprawnione do tego osoby pod nadzorem administratora bezpieczeństwa danych.

5 10. Urządzenia, dyski i inne informatyczne nośniki danych zawierające dane osobowe przed ich przekazaniem innemu przedmiotowi, naleŝy pozbawić ich zawartości. W przypadku ich likwidacji uszkodzić w sposób uniemoŝliwiający odczytanie danych, naprawę wymienionych urządzeń zawierających dane osobowe, o ile danych nie moŝna usunąć, naleŝy wykonywać pod nadzorem administratora bezpieczeństwa danych osobowych. 11. Dane osobowe udostępnić moŝe wyłącznie administrator danych osobowych. 12. Dane osobowe udostępniać moŝna wyłącznie na pisemny, umotywowany wniosek / powinien zawierać informacje umoŝliwiające wyszukanie w zbiorze Ŝądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie / osobom lub podmiotom uprawnionym do ich otrzymywania na mocy przepisów prawa. 13. Innym osobom lub podmiotom niŝ wymienione w pkt 12 dane osobowe mogą być udostępnione, jeŝeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. 14. Udostępnione dane osobowe moŝna wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 15. Administrator danych osobowych moŝe odmówić udostępnienia danych, jeŝeli zachodzi jakakolwiek sprzeczność z ustawą o ochronie danych osobowych / art. 30 ustawy o ochronie danych osobowych/. 16. Wszystkie wydawane druki są ewidencjonowane przez administratora bezpieczeństwa danych osobowych. UŜywanie nielegalnych programów komputerowych bez zezwolenia właściciela praw autorskich jest zabronione i podlega sankcjom cywilnym i karnym / odpowiedzialność cywilną i karną ponosi zarówno pracownik korzystający z nielegalnego oprogramowania jak i jego przełoŝeni /. Przetwarzanie i udostępnianie danych osobowych przez osoby nieuprawnione oraz modyfikacja, uszkodzenie lub zniszczenie podlega sankcjom cywilnym i karnym / takŝe wtedy, gdy sprawca działa nieumyślnie /.

6 I N S T R U K C J A postępowania w sytuacjach naruszenia ochrony danych osobowych Na fakt naruszenia zabezpieczeń systemu informatycznego mogą wskazywać: - stan stacji roboczej / np. brak zasilania, problemy z uruchomieniem/, - wszelkiego rodzaju róŝnice w funkcjonowaniu systemu, programu / np. komunikaty informujące o błędach, brak dostępu do funkcji programu, nieprawidłowości w wykonywanych operacjach/, - róŝnice w zawartości zbioru / np. brak lub nadmiar danych/, - jakości komunikacji w sieci telekomunikacyjnej / gwałtowne opóźnienia lub przyspieszenia wykonywanych czynności/, - inne sytuacje nadzwyczajne. W przypadku, gdy stwierdzono naruszenie zabezpieczenia systemu informatycznego, naleŝy niezwłocznie powiadomić pełnomocnika ds. ochrony informacji niejawnych oraz administratora bezpieczeństwa informacji.