Zarządzenie Rektora Politechniki Gdańskiej nr 24/2011 z 30 września 2011 r.

Transkrypt

1 Zarządzenie Rektora Politechniki Gdańskiej nr 24/2011 z 30 września 2011 r. w sprawie: ochrony danych osobowych przetwarzanych w Politechnice Gdańskiej. Na podstawie art. 66 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym /Dz. U. nr 164 z 2005 r., poz ze zm./ oraz art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.) i 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024), zarządza się co następuje: 1 Przetwarzanie danych osobowych w Politechnice Gdańskiej służy realizacji zadań wynikających z ustawy prawo o szkolnictwie wyższym. 2 Zarządzenie stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz na dokumentach źródłowych takich, jak kartoteki, skorowidze, księgi, wykazy i w innych zbiorach ewidencyjnych jednostek organizacyjnych uczelni Administratorem danych osobowych (ADO) w rozumieniu ustawy o ochronie danych osobowych, przetwarzanych w Politechnice Gdańskiej jest rektor. 2. Obowiązki wynikające z ustawy o ochronie danych osobowych rektor powierza lokalnym administratorom danych osobowych (LADO), którymi są: 1) dziekani w zakresie dotyczącym pracowników, studentów i doktorantów poszczególnych wydziałów, 2) kanclerz w zakresie pozostałych jednostek organizacyjnych. 3. W jednostkach niewchodzących w skład wydziałów LADO powołuje i nadzoruje Głównych Użytkowników Systemów (GUS) 4. Na wydziałach LADO jednocześnie wykonuje zadania GUS dla wszystkich systemów wydziałowych. 4 Sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych reguluje: 1) dokument Polityka Bezpieczeństwa Danych Osobowych stanowiący załącznik nr 1 do niniejszego zarządzenia, wraz z załącznikami ) dokument Instrukcja Zarządzania Systemem Informatycznym stanowiąca załącznik nr 2 do niniejszego zarządzenia. 1

2 5 Rektor wyznacza administratora bezpieczeństwa informacji (ABI), odpowiedzialnego za bezpieczeństwo danych osobowych w Politechnice Gdańskiej. 6 W przypadku przetwarzania zbiorów danych osobowych nie objętych zwolnieniem z rejestracji (art. 43 ust. 1 Ustawy o ochronie danych osobowych), należy taki zbiór zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w trybie określonym w art. 40 i 41 wyżej wymienionej ustawy oraz poinformować o tym fakcie ABI. 7 Udostępnianie danych osobowych instytucjom lub osobom spoza uczelni odbywa się wyłącznie na zasadach określonych w załączniku nr 1 do niniejszego zarządzenia. 8 Osoby nie przestrzegające przepisów o ochronie danych osobowych podlegają odpowiedzialności porządkowej, dyscyplinarnej lub karnej, przewidzianej w rozdziale 8 ustawy o ochronie danych osobowych. 9 Lokalni administratorzy danych osobowych oraz kierownicy jednostek organizacyjnych, w których przetwarzane są dane osobowe mają obowiązek bieżącego aktualizowania dokumentacji dotyczącej ochrony danych osobowych zgodnie z wymogami niniejszego zarządzenia. 10 Sprawy sporne związane z ochroną danych osobowych rozstrzyga rektor. 11 Traci moc: zarządzenie rektora Politechniki Gdańskiej nr 26/2010 z 6 października 2010 r. w sprawie ochrony danych osobowych przetwarzanych w Politechnice Gdańskiej. 12 Zarządzenie wchodzi w życie z dniem wydania. Rektor prof. dr hab. inż. Henryk Krawczyk prof. zw. PG 2

3 załącznik nr 1 do zarządzenia rektora PG nr 24/2011 z 30 września 2011 r. P O L I T Y K A B E Z P I E C Z E Ń S T W A D A N Y C H O S O B O W Y C H I. PODSTAWA PRAWNA 1. Dane osobowe w Politechnice Gdańskiej przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: 1) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (jednolity tekst Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz przepisów wykonawczych wydanych z upoważnienia tej ustawy, 2) innych przepisów prawnych normujących przetwarzanie danych osobowych określonych kategorii. 2. Dane osobowe w PG przetwarzane są w celu realizacji statutowych celów szkoły wyższej. W szczególności dane osobowe przetwarza się: 1) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych i organizacyjnych Uczelni wynikających z przepisów ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. z 2005 r. Nr 164, poz wraz z późn. zmianami), 2) dla zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni polityki personalnej oraz bieżącej obsługi stosunków pracy nawiązywanych przez Uczelnię, 3) dla realizacji innych celów i zadań PG - z poszanowaniem praw i wolności osób powierzających PG swoje dane. II. PODSTAWOWE DEFINICJE Przez użyte w dokumencie określenia rozumie się: 1. dane osobowe - to w rozumieniu Ustawy o ochronie danych osobowych wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej 2. odbiorca danych - każdy, komu udostępnia się dane osobowe z wyłączeniem osoby, której dane dotyczą 3. Administrator Danych Osobowych (ADO) - rektor 4. Lokalny Administrator Danych Osobowych (LADO) - zgodnie z zarządzeniem rektora, dziekani i kanclerz 5. Administrator Bezpieczeństwa Informacji (ABI) - osoba nadzorująca przestrzeganie zasad ochrony przetwarzania danych osobowych w Uczelni Strona 1 z 26

4 6. Główny Użytkownik Systemu (GUS) kierownik jednostki organizacyjnej uczelni odpowiedzialnej za całokształt przetwarzania i utrzymywania systemu informatycznego eksploatowanego w zakresie swojego działania 7. Administrator Systemu Informatycznego (ASI) osoba odpowiedzialna za przetwarzanie danych osobowych w systemie informatycznym, opiniowanie wniosków o nadawanie/cofanie zakresu uprawnień dostępu do systemu i sposobu zabezpieczenia tego dostępu, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tym systemie 8. zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie 9. przetwarzanie danych osobowych wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie 10. system informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych 11. zabezpieczenie danych osobowych wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem 12. użytkownik systemu osoba posiadająca upoważnienie do przetwarzania danych osobowych w systemie informatycznym w zakresie wskazanym w upoważnieniu wydanym przez GUS zgodnie z opiniami ASI i ABI 13. identyfikator użytkownika/login ciąg znaków literowych, cyfrowych lub innych specjalnych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych w systemie informatycznym 14. hasło ciąg znaków literowych, cyfrowych lub innych specjalnych znany jedynie osobie uprawnionej do pracy w systemie informatycznym 15. dostępność cecha zapewniająca, że zasoby informacyjne są dostępne użytkownikowi w wymaganym miejscu, czasie i w wymaganej formie 16. poufność (danych) rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom 17. integralność (danych) rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany 18. rozliczalność cecha zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Strona 2 z 26

5 III. CEL I ZAKRES STOSOWANIA DOKUMENTU POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH 1. Celem Polityki Bezpieczeństwa Danych Osobowych zwanej dalej Polityką Bezpieczeństwa jest: 1) zapewnienie właściwego poziomu bezpieczeństwa danych osobowych w PG poprzez wdrożenie odpowiedniego systemu ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi, 2) podniesienie poziomu świadomości pracowników PG co do istoty problemu bezpieczeństwa danych osobowych. 2. Polityka Bezpieczeństwa ma zastosowanie w stosunku do wszystkich postaci informacji zawierających dane osobowe: dokumentów papierowych, zapisów elektronicznych i innych będących własnością PG lub administrowanych przez PG i przetwarzanych w systemach informatycznych, tradycyjnych (papierowych) i komunikacyjnych PG. 3. Polityka bezpieczeństwa ma zastosowanie w stosunku do wszystkich pracowników, studentów i doktorantów PG jak również osób trzecich mających dostęp do danych osobowych w PG. 4. Ochrona danych osobowych wynikająca z Polityki Bezpieczeństwa jest realizowana na każdym etapie przetwarzania informacji. IV. ZBIORY DANYCH OSOBOWYCH 1. Wykaz zbiorów danych osobowych jest prowadzony przez Dyrektora CUI pod nadzorem ABI. 2. Wykaz obejmuje następujący zakres informacji o zbiorach danych: 1) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych, 2) programy komputerowe zastosowane do przetwarzania tych danych, 3) powiązania między polami informacyjnymi, 4) przepływ danych pomiędzy poszczególnymi systemami. 3. GUS jest zobowiązany do przekazywania i aktualizacji informacji dotyczących zbioru danych do Dyrektora CUI. 4. Sposób przekazywania informacji ustala ABI i informuje o tym GUS i Dyrektora CUI. Strona 3 z 26

6 V. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I DOSTĘPNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH 1. Zarządzanie danymi osobowymi 1) Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym przy współdziałaniu wszystkich uczestników tego procesu, którymi są: LADO, GUS, ABI, ASI i użytkownicy systemów. 2) Zadania Głównego Użytkownika Systemu określa załącznik nr ) Główni Użytkownicy Systemu powołują Administratora Systemu Informatycznego. Wzór dokumentu powołania ASI określa załącznik nr 1.2. Oryginał dokumentu powołania ASI ewidencjonuje i przechowuje Główny Użytkownik Systemu. 4) W celu organizacji zasad ochrony, zabezpieczenia i kontroli przetwarzania danych osobowych w PG, rektor wyznacza Administratora Bezpieczeństwa Informacji (ABI), którego zadania określa załącznik nr Obszary przetwarzania danych osobowych 1) Politykę bezpieczeństwa w zakresie ochrony danych osobowych realizuje się w wyznaczonych budynkach, pomieszczeniach, tworzących obszar uczelni, w którym przetwarzane są dane osobowe. 2) Za obszar przetwarzania danych uznaje się obszar, w którym wykonywana jest choćby jedna z czynności wymienionych w rozdz. II pkt 9. 3) Dział Spraw Pracowniczych prowadzi wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe w uczelni. Wzór wykazu określa załącznik nr Dostęp do pomieszczeń, w których przetwarzane są dane osobowe 1) Dostęp do budynków i pomieszczeń PG, w których przetwarzane są dane osobowe podlega całodobowej kontroli. 2) Kontrola dostępu polega na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia lub budynku oraz godzinę pobrania lub zdania klucza. Funkcję kontrolną w tym zakresie wypełnia LADO. 3) Klucze lub kody dostępu do budynków lub pomieszczeń, w których przetwarzane są dane osobowe wydawane mogą być wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom upoważnionym do dostępu do tych budynków, lub pomieszczeń na innych zasadach. 4) Kierownicy jednostek organizacyjnych, w których przetwarzane są dane osobowe są Strona 4 z 26

7 zobowiązani do niezwłocznego przekazywania do Działu Spraw Pracowniczych informacji o zmianie lub powstaniu nowej lokalizacji miejsc przetwarzania danych osobowych, jednocześnie informując o tym służby dozoru w odpowiednich budynkach. 5) Uczelnia na potrzeby polityki bezpieczeństwa w zakresie ochrony danych osobowych może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych. 6) W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe część, w której są przetwarzane dane osobowe powinna być wyraźnie oddzielona od ogólnodostępnej. 7) Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe może być w szczególności realizowane poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych, uniemożliwiające lub co najmniej ograniczające niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu. 8) W budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe mają prawo przebywać wyłącznie osoby upoważnione do dostępu, przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem przetwarzania tych danych, za wyjątkiem przypadków, o których mowa w p. 9. 9) Osoby nieupoważnione do przetwarzania danych osobowych mogą przebywać w budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar uczelni, w którym przetwarzane są dane osobowe - wyłącznie w obecności upoważnionego pracownika lub w razie jego nieobecności, na podstawie upoważnienia wydanego przez LADO lub inną upoważnioną osobę. 10) Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych, obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym. 11) Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako naruszenie podstawowych obowiązków pracowniczych. 4. Dostęp do danych osobowych 1) Przyznanie / anulowanie, upoważnienia do przetwarzania danych osobowych odbywa się zgodnie z procedurą określoną w załączniku nr 1.5. Wzór upoważnienia określony jest w załączniku Strona 5 z 26

8 2) Ewidencję osób upoważnionych do przetwarzania danych osobowych prowadzi Dział Spraw Pracowniczych zgodnie ze wzorem określonym w załączniku nr ) Z chwilą ustania stosunku pracy wygasa upoważnienie do przetwarzania danych osobowych. 5. Dostęp do danych przetwarzanych tradycyjnie lub w systemach informatycznych 1) Każdy użytkownik posiadający upoważnienie do przetwarzania danych osobowych w systemie informatycznym otrzymuje od ASI jednoznaczny i niepowtarzalny identyfikator do systemu oraz ustala hasło o złożoności zgodnej z obowiązującym poziomem bezpieczeństwa. 2) Sposób uwierzytelnienia użytkownika w systemie informatycznym określa procedura do Instrukcji Zarządzania Systemem Informatycznym. 3) Użytkownicy zobowiązani są do: a) ścisłego przestrzegania zakresu nadanego upoważnienia; b) przetwarzania i ochrony danych osobowych zgodnie z przepisami; c) zachowania w tajemnicy loginów i haseł uwierzytelniających użytkownika w systemie do przetwarzania danych osobowych; d) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia; e) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa ochrony danych osobowych oraz niewłaściwym funkcjonowaniem systemu przetwarzania danych. 4) Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego PG. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego systemu, winny być umiejscawiane w sposób uniemożliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń służących do przetwarzania, a zwłaszcza kopiowania danych. 5) Dane w rejestrach papierowych przetwarzane tradycyjnie przechowuje się w sposób uniemożliwiający dostęp do nich osób nieupoważnionych. 6. Warunki dostępu osób trzecich do danych osobowych przetwarzanych w PG określa załącznik nr Przetwarzanie danych osobowych z wykorzystaniem systemów informatycznych 1) Dane osobowe w PG są przetwarzane przy zastosowaniu systemów informatycznych, w zbiorach ewidencyjnych oraz poza zbiorami. 2) ABI zatwierdza poziom bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych zgodnie ze wzorem określonym w załączniku nr ) Za zabezpieczenie systemu informatycznego zgodnie z zatwierdzonym poziomem bezpieczeństwa odpowiada ASI. 4) ASI stosuje wszelkie dostępne mu mechanizmy ochrony celem właściwego zabezpieczenia systemu do przetwarzania danych. Strona 6 z 26

9 5) Dla każdego systemu przetwarzania danych osobowych ASI przygotowują procedury zawarte w Instrukcji Zarządzania Systemem Informatycznym i przekazują je do ABI. 6) Systemy informatyczne służące do przetwarzania danych osobowych zabezpieczone są przed działaniami niepożądanymi na bieżąco aktualizowanymi systemami antywirusowymi. 7) Zbiory danych osobowych zlokalizowane są w przedmiotowych bazach danych umieszczonych na serwerach bazodanowych. 8) Dane osobowe w zbiorach są przetwarzane tylko w aplikacjach (programach) dostosowanych do merytorycznych potrzeb jednostek organizacyjnych PG. 9) Zawartość pól informacyjnych, występujących w aplikacjach (programach) zastosowanych do przetwarzania danych, musi być zgodna z przepisami prawa..opisy wykonywane są w postaci wydruków zrzutów ekranowych lub struktur tablic bazy prezentujących zawartość pól informacyjnych i powiązań pomiędzy nimi. W przypadku braku możliwości uzyskania wydruku zrzutu ekranowego ASI sporządza inne dostępne opisy struktury zbioru. 10) Opisy struktur zbiorów danych wskazujące zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi wykonują ASI na podstawie aplikacji zastosowanych do przetwarzania tych danych, jeżeli opisów nie uzyskano od dostawców oprogramowania. 11) ASI zobowiązani są do przekazywania opisów do GUS oraz niezwłocznego informowania o wszelkich zmianach w strukturze zbiorów danych. 12) Schematy przepływu danych pomiędzy systemami informatycznymi przetwarzającymi dane osobowe wykonują poszczególni ASI, w uzgodnieniu z Głównymi Użytkownikami tych systemów i integratorem systemów w uczelni - Centrum Usług Informatycznych. 13) Przesyłanie danych pomiędzy systemami może odbywać się w sposób manualny, przy wykorzystaniu nośników zewnętrznych (w szczególności płyty CD i DVD, taśmy streamera, dysku wymiennego, pamięci flash) lub w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu (importu) danych za pomocą teletransmisji (w szczególności poprzez wewnętrzną sieć komputerową). 8. Archiwizowanie danych osobowych, niszczenie wydruków i zapisów na nośnikach magnetycznych 1) Kopie bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych wykonywane są zgodnie z procedurą do Instrukcji Zarządzania Systemem Informatycznym dla każdego z systemów przetwarzania danych. 2) Harmonogram archiwizacji danych osobowych zawierają procedury do Instrukcji Zarządzania Systemem Informatycznym dla każdego z systemów przetwarzania danych. 3) Za prawidłowe wykonanie kopii bezpieczeństwa odpowiada właściwy ASI. 4) Sposoby przechowywania, oznaczania i niszczenia nośników kopii bezpieczeństwa zawiera Instrukcja Zarządzania Systemem Informatycznym dla danego systemu prze- Strona 7 z 26

10 twarzania. 5) Uszkodzone nośniki magnetyczne przed ich wyrzuceniem są fizycznie niszczone w sposób uniemożliwiający ich odczytanie. Skuteczność zniszczenia jest potwierdzana przez LADO. 6) Nośniki magnetyczne przekazywane na zewnątrz nie mogą zawierać zapisów z danymi osobowymi. Niszczenie poprzednich zapisów odbywa się poprzez nadpisanie. 7) Sposób postępowania z nośnikami magnetycznymi określa Instrukcja Zarządzania Systemem Informatycznym. 8) Po wykorzystaniu dokumenty papierowe zawierające dane osobowe są niszczone w sposób uniemożliwiający ich odczytanie. 9. Szkolenia 1) PG realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w PG, a także odpowiednio, z ich zmianami. 2) Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w PG może odbywać się w szczególności poprzez: 1) instruktaż na stanowisku pracy, 2) szkolenie wewnętrzne realizowane na terenie Uczelni (także e-learning), 3) szkolenie zewnętrzne. 4) W przypadku dostępu do danych osobowych przetwarzanych w systemie informatycznym, podstawowe szkolenie w zakresie procedur rozpoczęcia, zawieszenia i zakończenia pracy w systemie oraz mechanizmów zabezpieczenia stanowiska roboczego przeprowadza ASI. 10. Zapewnienie ciągłości działania systemów 1) Pomieszczenia, w których znajdują się kluczowe dla PG elementy systemów informatycznych posiadają dwa źródła zasilania. 2) Kluczowe urządzenia są podłączone do urządzeń podtrzymujących napięcie (UPS), w celu umożliwienia bezpiecznego wyłączenia systemu w przypadku awarii zasilania, oraz przełączenia źródła zasilania, np. na agregat prądotwórczy. 3) W czasie, gdy kluczowy dla funkcjonowania PG sprzęt informatyczny uległ awarii Centrum Usług Informatycznych zapewnia sprzęt o właściwościach identycznych lub przewyższających go funkcjonalnością. 4) Serwisowanie urządzeń i sprzętu związanego z bezpieczeństwem przetwarzania informacji powinno następować w możliwie krótkim czasie od wykrycia jego awarii. Strona 8 z 26

11 Szybkie przywrócenie właściwego stanu technicznego urządzeń ma na celu wyeliminowanie z użycia sprzętu, który nie spełnia parametrów określonych przez szczegółowe instrukcje dotyczące elementów systemu przetwarzania danych osobowych. W szczególności oznacza to, iż nie jest dopuszczalne rezygnowanie z zabezpieczeń z powodu ich wadliwego działania spowodowanego awarią. 5) Dla każdego systemu przetwarzania danych osobowych ASI opracowuje procedury związane z ciągłością działania zawarte w Instrukcji Zarządzania Systemem Informatycznym. 6) ABI inicjuje, nadzoruje i przekazuje do zatwierdzenia przez rektora dokumenty uzupełniające proces zarządzania ciągłością działania PG, w zakresie przetwarzania zbiorów danych osobowych. VI. NARUSZENIE ZASAD OCHRONY DANYCH OSOBOWYCH Opis zdarzeń naruszających ochronę danych osobowych zawiera załącznik nr W przypadku podejrzenia lub zaistnienia incydentu związanego z naruszeniem zasad ochrony danych osobowych, ABI podejmuje działania zgodnie z tym załącznikiem. Strona 9 z 26

12 ZAŁĄCZNIK NR 1.1 ZADANIA GŁÓWNEGO UŻYTKOWNIKA SYSTEMU 1. Główny Użytkownik Systemu przetwarzania danych osobowych zobowiązany jest do: 1) zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, 2) powołania ASI dla poszczególnych systemów informatycznych, wzór powołania stanowi załącznik nr 1.2, 3) opracowywania zakresu czynności dla osób zatrudnionych przy przetwarzaniu danych, 4) akceptowania upoważnienia/anulowania upoważnienia do przetwarzania danych osobowych, 5) przekazania do ABI procedur, o których mowa w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych, 6) zgłaszania do Dyrektora CUI informacji określonych w rozdz. IV. 2. Główny Użytkownik Systemu odpowiedzialny jest za: 1) nadzór i kontrolę nad przestrzeganiem zasad przetwarzania danych osobowych, 2) dopuszczanie do przetwarzania danych wyłącznie osób przeszkolonych i posiadających stosowne upoważnienia, 3) przekazywanie do Działu Spraw Pracowniczych informacji o zmianie lub powstaniu nowej lokalizacji miejsc przetwarzania danych osobowych, 4) przygotowywanie i aktualizację przy pomocy ASI oraz we współpracy z ABI zasad zapewniających ciągłość procesów związanych z przetwarzaniem zbiorów danych osobowych, których jest głównym użytkownikiem. Strona 10 z 26

13 ZAŁĄCZNIK NR WZÓR POWOŁANIA ASI Gdańsk, (pieczęć jednostki) Powołanie Administratora Systemu Informatycznego (ASI) Nr... * Celem spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zmianami) Powołuję Panią / Pana... (imię i nazwisko ) zatrudnioną /nego na stanowisku... w... (nazwa jednostki / komórki organizacyjnej) do pełnienia funkcji Administratora Systemu Informatycznego na okres od... do (podpis Administratora Bezpieczeństwa Informacji) Otrzymują: 1. oryginał ASI 2. kopie: Dział Spraw Pracowniczych, GUS, ABI... (podpis Głównego Użytkownika Systemu) * numer nadaje Główny Użytkownik Systemu Strona 11 z 26

14 ZAŁĄCZNIK NR ZADANIA ABI 1. ABI wykonuje swoje zadania przy pomocy: 1) lokalnych administratorów danych osobowych 2) lokalnych administratorów bezpieczeństwa informacji, powoływanych na wydziałach w uzgodnieniu z LADO, 3) kierownika Działu Spraw Pracowniczych, zobowiązanego do: a) prowadzenia ewidencji osób przetwarzających dane osobowe, b) prowadzenia ewidencji miejsc przetwarzania danych osobowych, c) prowadzenia ewidencji udostępniania danych osobowych osobom trzecim, d) uzupełniania akt osobowych pracowników zatrudnionych przy przetwarzaniu danych osobowych o upoważnienia i oświadczenia wynikające z niniejszego zarządzenia. 4) dyrektora Centrum Usług Informatycznych. 2. ABI w zakresie bezpieczeństwa danych osobowych podlega bezpośrednio rektorowi jako Administratorowi Danych Osobowych. 3. ABI jest odpowiedzialny za: 1) zapewnienie przetwarzania danych osobowych zgodnie z ustawą, 2) ochronę danych osobowych przetwarzanych w PG, w szczególności poprzez: a) nadzór nad przestrzeganiem przez pracowników zasad ochrony danych osobowych obowiązujących w PG, b) nadzór nad poprawnością pracy mechanizmów zabezpieczających dane osobowe w systemach informatycznych, c) nadzór nad zabezpieczeniem danych osobowych poprzez tworzenie i właściwe zabezpieczenie kopii zapasowych, d) nadzór nad przeprowadzaniem w bezpieczny sposób napraw i konserwacji sprzętu i oprogramowania służącego do przetwarzania lub będącego nośnikiem danych osobowych, e) nadzór nad nadawaniem, odbieraniem upoważnień, na wniosek osób upoważnionych, do korzystania z danych osobowych oraz prowadzeniem ewidencji wydanych upoważnień, f) koordynację procesu reagowania na naruszenia lub próby naruszenia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, g) podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń danego systemu przetwarzania danych, 3) stworzenie systemu instruktaży i szkoleń dla osób upoważnionych do przetwarzania danych osobowych, Strona 12 z 26

15 4) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych osobowych i konsultowanie tych zmian z osobami świadczącymi obsługę prawną w PG, 5) monitorowanie zaleceń i interpretacji Generalnego Inspektora Ochrony Danych Osobowych w zakresie ochrony danych osobowych i implementowanie ich w PG. 4. ABI sprawuje nadzór nad realizacją zadań nałożonych na LADO, GUS oraz ASI. 5. Administrator Bezpieczeństwa Informacji ma wgląd do dokumentacji związanej z przetwarzaniem danych osobowych gromadzonej i przechowywanej w Dziale Spraw Pracowniczych. Strona 13 z 26

16 ZAŁĄCZNIK NR WZÓR WYKAZU MIEJSC PRZETWARZANIA DANYCH OSOBOWYCH W PG Lp. Budynek /część Nr pokoju /piętro Rodzaj 1) Nazwa systemu /zbioru Funkcja lokalizacji 2) Zabezpieczenie techniczne 3) 1) rodzaj systemu do przetwarzania - tradycyjny (papierowy), informatyczny (nazwa systemu) 2) (S) - serwer, (K) - miejsce przechowywania kopii bezpieczeństwa, (P) pomieszczenie, w którym przetwarza się dane osobowe, (AP) - archiwum zbiorów papierowych 3) (KR) - kraty w oknach, (A) - alarm, (W) - wzmocnione drzwi, (B) - brak Data i podpis kierownika jednostki.... Strona 14 z 26

17 ZAŁĄCZNIK NR PROCEDURA PRZYZNANIA/ANULOWANIA UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH 1. O przyznanie /anulowanie upoważnienia do przetwarzania danych osobowych wnioskuje osoba kierująca zespołem / jednostką organizacyjną, w której przetwarzane są dane osobowe zgodnie ze wzorem upoważniania z załącznika nr W przypadku, kiedy odrębne przepisy (np. wytyczne dla programów europejskich) wymagają określonego wzoru upoważnienia do przetwarzania danych osobowych, kierownik zespołu realizującego zadania objęte tymi przepisami jest zobowiązany do przygotowania dodatkowego upoważnienia. 3. Upoważnienie otrzymują: a) oryginał Dział Spraw Pracowniczych, b) kopia wnioskodawca. 4. Z dniem ustania stosunku pracy upoważnienie wygasa. 5. W przypadku osób trzecich tryb upoważniania do przetwarzania danych realizowany jest zgodnie z zał. nr 1.8. Strona 15 z 26

18 ZAŁĄCZNIK NR WZÓR UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH UPOWAŻNIENIE/ANULOWANIE UPOWAŻNIENIA 1) nr... do przetwarzania danych osobowych w systemie informatycznym / w zbiorze w wersji papierowej Z dniem... upoważniam/anuluję upoważnienie nr... 1) (data) Panią/Pani/Pana 1)..., (nazwisko i imię) pracownika..., (nazwa jednostki i komórki organizacyjnej) 1. do przetwarzania danych osobowych w systemie informatycznym... (nazwa systemu lub programu) w zakresie:... danych osobowych. (wglądu, wprowadzania, przechowywania, modyfikacji, usuwania itp.) 2. do obsługi zbioru w wersji papierowej:... (nazwa zbioru) w zakresie:... danych osobowych. (wglądu, wprowadzania, przechowywania, modyfikacji, usuwania itp.) Zobowiązuję Panią/Pana 1) do przestrzegania przepisów prawa dotyczących ochrony danych osobowych, ze szczególnym uwzględnieniem przepisów wewnętrznych obowiązujących w Politechnice Gdaoskiej. A.... B..... (podpis wnioskującego) (podpis GUS) Wypełnia Administrator danego systemu (ASI): Identyfikator użytkownika:... Data zarejestrowania w systemie:... 2) Data wyrejestrowania użytkownika (zablokowania dostępu) z systemu:... 3) Strona 16 z 26 C.... (podpis ASI)

19 Zobowiązuję się nie ujawniad nikomu w żadnej postaci i treści, informacji dotyczących danych osobowych przetwarzanych w zbiorach PG, oraz zachowad w tajemnicy sposoby ich zabezpieczenia, także po cofnięciu upoważnienia i/lub ustaniu stosunku pracy/zakooczenia studiów. Przyjmuję do wiadomości, że nieprzestrzeganie powyższego obowiązku może powodowad moją odpowiedzialnośd zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.) Potwierdzam, że zapoznałam/em się z przepisami ustawy o ochronie danych osobowych, wydanych na jej podstawie aktów wykonawczych oraz wewnętrznych przepisów PG dotyczących zasad przetwarzania danych osobowych. UWAGI / ADNOTACJE: D.... (data i podpis upoważnianego) E.... ( podpis i pieczęd ABI ) 1) niepotrzebne skreślid 2) wypełnid w przypadku wydania upoważnienia 3) wypełnid w przypadku anulowania upoważnienia Strona 17 z 26

20 ZAŁĄCZNIK NR WZÓR EWIDENCJI OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Lp. imię i nazwisko numer upoważnienia identyfikator osoby data nadania upoważnienia data ustania upoważnienia nazwa systemu informatycznego zbioru danych osobowych pomieszczenie obiekt/budynek/nr Stan na dzień.. (podpis kierownika jednostki organizacyjnej) Strona 18 z 26

21 ZAŁĄCZNIK NR OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH 1. Podział zagrożeń: 1) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych, 2) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych, 3) zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp., 2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych, 3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru, 4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu, 5) niewłaściwa/zła jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie, 6) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, 7) stwierdzona próba lub modyfikacja danych lub zmiana w strukturze danych bez Strona 19 z 26

22 odpowiedniego upoważnienia (autoryzacji), 8) niedopuszczalna manipulacja danymi osobowymi w systemie, 9) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedur ochrony przetwarzania oraz innych strzeżonych elementów systemu zabezpieczeń, 10) sytuacje, gdy praca w systemie lub w wykorzystywanej sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., 11) ujawnienie istnienie nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki, itp., 12) zamiana lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia albo skasowanie/skopiowanie danych osobowych w sposób niedozwolony, 13) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, dyskietkach w formie niezabezpieczonej, itp. Strona 20 z 26

23 ZAŁĄCZNIK NR DOSTĘP OSÓB TRZECICH DO DANYCH OSOBOWYCH PRZETWARZANYCH W POLITECHNICE GDAŃSKIEJ 1. Dane osobowe mogą być udostępnione na pisemny, umotywowany wniosek, który zawiera informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazuje zakres i sposób wykorzystania danych osobowych. 2. Umowy o współpracy Politechniki Gdańskiej z instytucjami i podmiotami gospodarczymi powinny zawierać zapisy dotyczące ochrony danych osobowych. 3. Podstawą udzielania dostępu osobom trzecim do danych osobowych przetwarzanych w uczelni są: a) obowiązek udzielania dostępu wynikający z przepisów prawa, b) postanowienia umowy między PG, a osobami trzecimi. 4. Udostępnianie danych osobowych instytucjom i osobom spoza Uczelni odbywa się według procedury: a) wniosek opiniuje odpowiedni LADO, b) LADO przekazuje wniosek do ABI, który rejestruje zdarzenie i wydaje decyzję, c) na wniosek odpowiada LADO zgodnie z decyzją ABI. 5. Umowy zawierane przez uczelnię z osobami trzecimi związane z dostępem tych osób do danych osobowych przetwarzanych w PG, musza zawierać klauzule określające bezpieczeństwa danych osobowych zgodne z Polityką Bezpieczeństwa Danych Osobowych oraz zobowiązanie do zachowania poufności. 6. Umowy z osobami trzecimi, związane z dostępem tych osób do danych osobowych przetwarzanych w PG zawierają w szczególności: l) cel i zakres udzielonych praw dostępu do danych osobowych przetwarzanych w PG, 2) prawa i obowiązki związane z udzielonym dostępem oraz okres ich obowiązywania, 3) oświadczenie o znajomości: a) ustawy z dnia 6 czerwca 1997 r. Kodeks Karny rozdział XXXIII (Dz.U. Nr 88, poz. 553 z późn. zm.), b) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (jednolity tekst Dz. U. z 2002 r. Nr 101, poz. 926 z późno zm.), c) Polityki Bezpieczeństwa Danych Osobowych w PG, 4) zasady związane ze zmianą składu personelu świadczącego usługi, 5) tryb rozwiązywania kwestii spornych dotyczących bezpieczeństwa danych osobowych przetwarzanych w PG. 6. Przed zawarciem umowy, oraz okresowo w trakcie jej realizacji ABI może przeprowadzić analizę następujących elementów związanych z dostępem osoby trzeciej do danych Strona 21 z 26

24 osobowych przetwarzanych w PG: 1) aktualnego stanu zasadności (powodów, konieczności) udzielenia dostępu, 2) rodzaju wymaganego dostępu (np. fizyczny, logiczny), 3) aktualnego stanu wymagań bezpieczeństwa związanego z dostępem osób trzecich, 4) ryzyka związanego z faktem przebywania osób trzecich na terenie PG oraz z ich dostępem do danych osobowych przetwarzanych w PG. 7. W przypadku stwierdzenia braku odpowiedniego poziomu ochrony ADO może rozwiązać umowę. 8. Przed wyborem dostawcy systemów i usług związanych z przetwarzaniem danych ABI zobowiązany jest do określenia wymagań bezpieczeństwa wobec: 1) dostawcy, 2) elementów systemu przetwarzania związanych z przedmiotem umowy. Strona 22 z 26

25 ZAŁĄCZNIK NR 1.9 WZÓR ZATWIERDZENIA POZIOMU BEZPIECZEŃSTWA SYSTEMU Gdańsk, dnia.... Poziom bezpieczeństwa systemu przetwarzania danych osobowych Dla systemu przetwarzania danych osobowych.. 1) w Politechnice Gdańskiej obowiązuje. 2) poziom bezpieczeństwa zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, jakim powinny odpowiadać urządzenia i systemy przetwarzania danych osobowych. ZATWIERDZAM... (ABI) 1) - nazwa systemu informatycznego 2) - poziom bezpieczeństwa: podstawowy, podwyższony, wysoki Strona 23 z 26

26 ZAŁĄCZNIK NR INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH W PG 1. Instrukcja niniejsza ma zastosowanie w sytuacjach: 1) stwierdzonego naruszenia zabezpieczenia (ew. ochrony) danych osobowych w systemie informatycznym lub innym zbiorze danych, 2) podejrzenia naruszenia zabezpieczenia (ew. ochrony) danych osobowych w systemie informatycznym lub innym zbiorze danych. 2. Naruszenie zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych stwierdza się, gdy wystąpiły między innymi: 1) nieuprawniony dostęp do danych osobowych, 2) udostępnienie danych osobowych osobom nieupoważnionym, 3) zmiany, kopiowanie lub uszkodzenie danych osobowych dokonane przez osoby nieuprawnione, 4) kradzież lub zgubienie nośników informacji zawierających dane osobowe (w szczególności dysków, pamięci flash, płyt CD, płyt DVD, wydruków komputerowych). 3. Za okoliczności, które wskazują na naruszenie zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych, uważa się między innymi: 1) nieuzasadnione korzystanie z zasobów systemu informatycznego lub innego zbioru danych, 2) nieuzasadnione ujawnienie danych osobowych, 3) ujawnienie wirusów komputerowych lub innych programów, które mogą mieć negatywny wpływ na funkcjonowanie systemu informatycznego, 4) wydarzenia obniżające stan bezpieczeństwa systemu informatycznego lub innego zbioru danych (np. awaria zasilania). 4. Osoba upoważniona do przetwarzania danych osobowych w systemie informatycznym lub innym zbiorze danych, która stwierdzi lub podejrzewa naruszenie zabezpieczenia danych zobowiązana jest do: 1) niezwłocznego poinformowania o tym fakcie swojego bezpośredniego przełożonego, a ten informuje ASI w przypadku systemu informatycznego a także ABI, 2) zaprzestania pracy w systemie informatycznym lub innym zbiorze danych do momentu otrzymania od ASI decyzji o możliwości wznowienia pracy. 5. ABI po uzyskaniu informacji, o której mowa w ust. 4 podejmuje działania (jeśli dotyczy to systemu informatycznego - wraz z ASI ) w celu rozpoznania naruszenia zabezpieczenia danych, a w szczególności ustala, czy miało miejsce naruszenie ochrony danych osobowych. 6. ABI w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie Strona 24 z 26

27 informatycznym lub innym zbiorze danych: l) podejmuje działania służące ograniczeniu szkód wywołanych naruszeniem ochrony danych osobowych, 2) zabezpiecza dane wskazujące na naruszenie zabezpieczenia danych osobowych, 3) ustala okoliczności naruszenia ochrony danych osobowych, 4) analizuje rodzaj, zakres i źródło naruszenia ochrony danych osobowych, 5) podejmuje działania naprawcze, 6) bada przyczyny naruszenia ochrony danych osobowych i podejmuje działania mające na celu wyeliminowanie podobnych zdarzeń zagrażających bezpieczeństwu danych. 7. ABI, po przeprowadzeniu czynności, o których mowa w ust. 5 i 6 sporządza i przedstawia LADO raport o stwierdzeniu naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych w ciągu 14 dni od daty jego zaistnienia. Raport zawiera w szczególności następujące dane i informacje: l) imię i nazwisko, stanowisko osoby, która zgłosiła naruszenie zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych, 2) miejsce zatrudnienia osoby, o której mowa w p. l, 3) datę i godzinę powiadomienia o naruszeniu, 4) opis podjętych działań mających na celu ustalenie zakresu podejrzewanego naruszenia, 5) opis podjętych działań naprawczych. 8. ABI jest odpowiedzialny za przechowywanie materiałów, o których mowa w ust. 7 dokumentujących naruszenie oraz podejrzenie naruszenia zabezpieczenia danych w systemie informatycznym lub innym zbiorze danych. Strona 25 z 26

28 ZAWARTOŚĆ I SPIS ZAŁĄCZNIKÓW Załącznik nr 1 do zarządzenia Rektora PG nr.. Polityka Bezpieczeństwa Danych Osobowych I. Podstawa prawna... 1 II. Podstawowe definicje... 1 III. Cel i zakres stosowania dokumentu Polityka Bezpieczeństwa Danych Osobowych... 3 IV. Zbiory danych osobowych... 3 V. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i dostępności przetwarzanych danych osobowych... 4 VI. Naruszenie zasad ochrony danych osobowych... 9 Wykaz załączników do zał. nr 1 - Polityka Bezpieczeństwa Danych Osobowych: Załącznik nr Zadania Głównego Użytkownika Systemu Załącznik nr Wzór powołania ASI Załącznik nr Zadania ABI Załącznik nr Wzór wykazu miejsc przetwarzania danych osobowych w PG Załącznik nr Procedura przyznania/anulowania upoważnienia do przetwarzania danych osobowych Załącznik nr Wzór upoważnienia do przetwarzania danych osobowych Załącznik nr Wzór Ewidencji osób upoważnionych do przetwarzania danych osobowych18 Załącznik nr Opis zdarzeń naruszających ochronę danych osobowych Załącznik nr Dostęp osób trzecich do danych osobowych przetwarzanych w Politechnice Gdańskiej ZAłącznik nr 1.9 Wzór zatwierdzenia poziomu bezpieczeństwa systemu Załącznik nr Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w PG Załącznik nr 2 do zarządzenia Rektora PG nr.. Instrukcja Zarządzania Systemem Informatycznym Strona 26 z 26

29 załącznik nr 2 do zarządzenia rektora PG nr 24/2011 z 30 września 2011 r. I N S T R U K C J A Z A R Z Ą D Z A N I A S Y S T E M E M I N F O R M A T Y C Z N Y M 1. Dla każdego z systemów przetwarzania danych ASI tworzy Instrukcję Zarządzania składającą się z procedur ujętych w niniejszej instrukcji ramowej. 2. Za realizację Instrukcji Zarządzania Systemem Informatycznym dla każdego z systemów przetwarzania danych osobowych odpowiada odpowiedni ASI. 3. Główny Użytkownik Systemu wyznacza ASI i nadaje im uprawnienia zgodnie z procedurą określoną w załączniku nr 5 do Polityki Bezpieczeństwa Danych Osobowych, a w przypadku gdy systemem administruje autor lub dostawca oprogramowania, odpowiedniego pracownika upoważnionego do kontaktu z ASI. 4. Dla każdego systemu przetwarzania Główny Użytkownik Systemu przy pomocy ASI określa, aktualizuje i przekazuje do ABI Instrukcję Zarządzania Systemem. 5. W przypadku gdy procedura określać ma te same czynności dla kilku systemów przetwarzania danych tworzy się jedną procedurę oznaczając, których systemów dotyczy: 1) procedury nadania uprawnień do systemów przetwarzania danych osobowych: a) procedurę utworzenia, modyfikacji i zamknięcie (usunięcia) konta administratora, b) procedurę utworzenia, modyfikacji i zamknięcie (usunięcia) konta użytkownika, c) procedurę weryfikacji uprawnień użytkownika w systemie, d) procedurę nadania identyfikatorów i haseł (zgodnie z zatwierdzonym poziomem bezpieczeństwa), e) procedurę rejestrowania i wyrejestrowania użytkowników, f) procedurę administrowania systemem informatycznym w przypadkach awaryjnych (np. braku administratora), g) procedurę przekazania uprawnień na czas nieobecności administratorów, 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem: a) procedurę przekazywania haseł użytkownikom, b) procedurę innych stosowanych metod weryfikacji tożsamości użytkownika, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego: a) procedurę rozpoczęcia pracy użytkownika w systemie informatycznym, b) procedurę zawieszenia pracy użytkownika w systemie informatycznym, c) procedurę zakończenia pracy użytkownika w systemie informatycznym, 4) procedury tworzenia kopii bezpieczeństwa zbiorów danych oraz programów i narzędzi Strona 1 z 2

30 programowych przeznaczonych do ich przetwarzania: a) procedurę tworzenia kopii bezpieczeństwa, wraz ze szczegółowym harmonogramem, określeniem zakresu kopii sposobu jej oznaczenia, oraz rodzaju stosowanych do jej wykonania programów i nośników, b) procedurę sprawdzenia poprawności wykonania kopii bezpieczeństwa, c) procedurę likwidacji i utylizacji nośników zawierających kopie bezpieczeństwa, 5) procedurę określającą miejsce, sposób i czas przechowywania kopii bezpieczeństwa oraz metody zabezpieczenia nośników z kopią przed nieuprawnionym dostępem, modyfikacją, uszkodzeniem lub zniszczeniem, 6) sposoby zabezpieczenia systemu informatycznego zgodnie z zatwierdzonym poziomem bezpieczeństwa: a) procedurę ochrony systemów informatycznych oprogramowaniem antywirusowym wraz ze sposobem aktualizacji tego oprogramowania, b) procedurę postępowania w przypadku, gdy oprogramowania zabezpieczające wskazuje zaistnienie zagrożenia, c) procedurę zabezpieczeń sieci informatycznej, w której eksploatowany jest system przed zagrożeniami wewnętrznymi i zewnętrznymi, d) procedurę reakcji na wykryte ataki zarówno z sieci zewnętrznej jak i wewnętrznej, e) procedurę postępowania w przypadku podejrzenia/stwierdzenia naruszenia zasad ochrony w systemie informatycznym do przetwarzania danych, f) procedurę ochrony danych przed utratą z powodu zakłóceń lub awarii sieci zasilania, g) procedurę postępowania w przypadku awarii kluczowych elementów systemu przetwarzania danych, h) procedurę aktualizacji oprogramowania (systemu operacyjnego i systemu do przetwarzania danych) na stacjach roboczych i serwerach, i) procedurę odtworzenia systemu do przetwarzania danych osobowych z kopii bezpieczeństwa, 7) procedurę rejestracji informacji o odbiorcach, którym dane osobowe przetwarzane w systemie informatycznym zostały udostępnione, dacie i zakresie tego udostępnienia, 8) procedury wykonywania przeglądów, konserwacji, naprawy i zbywania systemów, elementów systemów oraz nośników informacji służących do przetwarzania danych: a) procedurę przeglądów, b) procedurę konserwacji, c) procedurę naprawy, d) procedurę zbywania. 6. Dla każdego z systemów przetwarzania Główny Użytkownik Systemu wyznaczy osoby bezpośrednio odpowiedzialne za realizację poszczególnych procedur Instrukcji Zarządzania. Strona 2 z 2