IV. Załączniki do PB

Transkrypt

1 IV. Załączniki do PB

2 Załącznik nr 1: Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane Obszarem przetwarzania osobowych jest siedziba Instytutu Filozofii i Socjologii Polskiej Akademii Nauk w Warszawie w budynku przy ul. Nowy Świat 72 (Pałac Staszica). W szczególności obejmuje: Pokoje 150 (AD), 137 Dyrekcja Instytutu. 1. JEDNOSTKI EDUKACYJNE, USŁUGOWE I ADMINISTRACYJNE IFiS PAN Pokoje 150 Sekretariat Dyrekcji Instytutu, Pokoje 110 Rada Naukowa, Pokoje 133, 135 Dział Obsługi Badań, ABI Pokoje 158, 200, 201, 201B, 242, 280, 201A, 247, 276, 282, 322 oraz pomieszczenia G II-1 i G II-2 oraz piwnica SNS, Pokój 272 Podyplomowe Studium Public Relations, Pokoje 106, 108A, 133 ORBS, Pokoje 229 i 231 Wydawnictwo, Pokoje 141, 143, 156 Księgowość, Pokoje 112 Kadry, Komisja Socjalna, Pomieszczenie 011 w piwnicy Archiwum, Pokoje 010, 122, 124 Laboratoria Komputerowe, Serwerownia - pomieszczenie 02 NASK w piwnicy oraz pomieszczenia G-I-6; G-I-5; oraz G-I 3 na I. p. Pałacu Staszica. Obszarem przetwarzania osobowych IFiS PAN jest także pokój 114A przy ul. Krakowskie Przedmieście 3 Biblioteka połączonych IFiS PAN i WFiS UW. 2

3 2. ZAKŁADY I ZESPOŁY IFiS PAN I INNE JEDNOSTKI, W TYM RÓWNIEŻ PROJEKTY REALIZOWANE W IFiS PAN (GRANTY) Pokoje 105 Fundacja IFiS PAN, Zakład Teorii Poznania i Filozofii Nauki, Zespół Filozofii Przyrody, Zespół Filozofii i Hermeneutyki Matematyki, Zespół Filozofii Podstaw Nauki, Zespół Badań nad Filozofią Antyczną i Historią Ontologii, Zespół Studiów Europejskich, Pokój 110 Rada Naukowa, Pokój 109 Radca Prawny, Pokój 113 Zakład Historii Filozofii Starożytnej i Średniowiecznej, Pokój 116, 237 Zespół Badań Struktury Społecznej, Pokój 118 Zakład Filozofii Nowożytnej i Współczesnej, Zespół Badań nad Historią Filozofii Nowożytnej, Zespół Badawczy Przeobrażeń Metafizyki w Filozofii Współczesnej, Pokój 120 Centrum Badań nad Zagładą Żydów, Pokój 139 Zakład Socjologii Teoretycznej, Zespół Socjologii i Antropologii Kultury, Pokoje 207 Panel: GIMNAZJUM - RYNEK PRACY i EWD (granty), Pokoje 209 Zespół Badawczy Socjologii Polityki i Gospodarki, Gospodarki i Edukacji, Pokój 211, 233, 239, 207, Zespół Porównawczych Analiz Nierówności Społecznych, Zespół Badań Struktury Społecznej, Pokój 227 Zespół Badawczy Antropologii Filozoficznej i Filozofii Społecznej, Zespół Badawczy Psychoanalizy Badań nad Kategorią Gender w Filozofii, Zespół do Badań nad Myślą Postsekularną, Pokój 235 Zespół Socjologii i Antropologii Kultury, Zespół Studiów nad Metodami i Technikami Badań Socjologicznych, Pokój 224, Zakład Badań nad Religią, Pokój 225 Zakład Logiki i Kognitywistyki, Pokój 237 Zespół Badania Warunków Życia i Społecznych Podstaw Zdrowia, Pokój 238 Zakład Społeczeństwa Obywatelskiego, Pokój 243 Zespół Badawczy Retrospektywnej Bibliografii Filozofii Polskiej, Pokój 270 Zakład Teorii Kultury, Zespół Socjologii i Antropologii Kultury, Pokój 286 Zespół Badań Filozofii Kultury. 3

4 Załącznik nr 2. Wykaz zbiorów wraz ze wskazaniem programów zastosowanych do ich przetwarzania ZBIORY ZGŁOSZONE DO GIODO Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja Nr księgi GIODO I. POLSKI SURVEY PANELOWY POLPAN Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 106, 108A II. GIMNAZJUM - RYNEK PRACY Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 207, CBOS III. PANEL EWD Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 207, CBOS ZBIORY NIEWYMAGAJĄCE ZGŁOSZENIA DO GIODO 4

5 1. JEDNOSTKI USŁUGOWE I ADMINISTRACYJNE IFiS PAN Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja 1. Dane osobowe ujęte w systemie kadrowo-płacowym System Enova 365 kadry i płace, pakiet złoty Nowy Świat 72, pokój 143, Dane osobowe ujęte w systemie księgowym Program księgowy Finka, Program księgowy Sage Symfonia FK Nowy Świat 72, pokój 143, 156, Dane osobowe pracowników pożyczkobiorców z PKZP program Excel Nowy Świat 72, pokój Dane osobowe w systemie kadrowopłacowym Płatnik Nowy Świat 72, pokój Dane osobowe w systemie księgowym do obsługi kontrahentów Program do wystawiania faktur Finka Faktura Nowy Świat 72, pokój 143, Dane osobowe ujęte w systemie księgowym obejmującym dane pracowników, współpracowników, kontrahentów itp. Program księgowy Finka Nowy Świat 72, pokój POLON - rejestr pracowników naukowych, studentów SNS System POLON Nowy Świat 72, pokój 150, Rejestr wniosków i realizowanych projektów program Excel Nowy Świat 72, pokój Program Ocena Program Ocena Nowy Świat 72, pokój 133, Biblioteka Horizon Krakowskie Przedmieście 3, pokój 114A 11. Archiwum PAN Brak (archiwum tradycyjne papierowe) Nowy Świat 72, pokój Program Ankieter Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 106, 108A 5

6 2. ZAKŁADY I ZESPOŁY IFiS PAN Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja 3. PROJEKTY REALIZOWANE W IFiS PAN (GRANTY I INNE ZLECENIA ZEWNĘTRZNE) Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja 6

7 Załącznik nr 3. Opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Informacje o zbiorach przetwarzanych w IFiS PAN zgodne z zakresem przedstawionym w Prezentacji dot-ustawa-o-ochronie--osobowych 2015 slajdy 17. i 18. rozesłanej do Państwa zostaną uzupełnione po kwerendzie. W skrócie rejestr opisujący strukturę zbiorów obejmuje następujące pola: Nazwa zbioru Informacje o administratorze osobowych Nazwa projektu, w związku z którym tworzony jest zbiór Kierownik projektu Planowana data rozpoczęcia zbierania Planowana data zakończenia zbierania Cel przetwarzania Opis struktury zbioru, np.: kategorii osób uwzględnionych ( mężczyźni i kobiety w wieku 45+, mieszkańcy Krakowa ), których dane dotyczą oraz zakres przetwarzania zwykłych (np.: płeć, wiek, wykształcenie, numer telefonu) i szczególnie chronionych (np.: przynależność partyjna, związkowa, poglądy polityczne) Opis kategorii Zakres przetwarzanych w zbiorze, w tym odpowiedź na pytanie: Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane szczególnie chronione, wrażliwe? Jeśli zbiór został już zgłoszony do GIODO, należy podać numer zgłoszenia, numer księgi. Sposób zbierania (np.: wyłącznie od osób, których dotyczą) i ich udostępniania (zgodnie z przepisami prawa) Lista programów komputerowych wykorzystywanych do przetwarzania. Informacje o odbiorcach Lista imion i nazwisk osób upoważnionych do przetwarzania osobowych w tym zbiorze.> 7

8 Załącznik nr 4. Sposób przepływu między poszczególnymi systemami. <j.w. do uzupełnienia po kwerendzie i spisie z natury> 8

9 Załącznik nr 5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych I. Przedsięwzięcia w zakresie zabezpieczenia sprzętu komputerowego. II. III. 1. Dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania osobowych stosuje się w nich sprzęt oraz oprogramowanie wyprodukowane przez renomowanych producentów oraz zabezpiecza się sprzęt przed awarią zasilania lub zakłóceniami w sieci zasilającej. 2. Zbiory osobowych oraz programy służące do przetwarzania osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych. I. Zbiory osobowych oraz ich kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie z urządzeń, dysków lub innych elektronicznych nośników informacji. Przedsięwzięcia w zakresie ochrony teletransmisji. 1. W celu ochrony systemów informatycznych służących do przetwarzania osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem. 2. Transmisja osobowych przez publiczną sieć telekomunikacyjną jest zabezpieczona środkami kryptograficznej ochrony. Przedsięwzięcia w zakresie środków ochrony w ramach oprogramowania systemów. 1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło. II. W przypadku, gdy do uwierzytelnienia użytkowników używa się identyfikatora i hasła, kryteria doboru haseł i okres ich obowiązywania ustala systemu informatycznego. III. System informatyczny powinien wymuszać zmianę haseł, informując o upływie ich ważności. IV. W przypadku, gdy system informatyczny służący do przetwarzania osobowych lub jego wydzielona cześć nie wymusza zmiany haseł, użytkownik jest zobowiązany do samodzielnej zmiany hasła na podstawie kryteriów ustalonych przez a systemu informatycznego. IV. Przedsięwzięcia w zakresie środków ochrony w ramach narzędzi baz i innych narzędzi programowych. 1. W celu ochrony zbiorów osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych. 2. System zapewnia automatyczne odnotowywanie w systemie informacji o identyfikatorze użytkownika, który wprowadził dane osobowe oraz dacie pierwszego wprowadzenia do systemu. 3. System zapewnia przygotowanie i wydruk raportu, który zawiera informacje, o których mowa w Rozporządzenia. 9

10 4. Stosuje się oprogramowanie umożliwiające trwałe usunięcie osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną. V. Przedsięwzięcia w zakresie środków ochrony w ramach systemu użytkowego: I. W celu ochrony osobowych przetwarzanych na stacjach roboczych na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się mechanizm blokady stacji roboczej zabezpieczony hasłem; V. Stosuje się mechanizmy kontroli dostępu użytkowników do systemów ogranicza się dostęp do katalogów, ogranicza się wykonywanie poleceń; VI. Na stacjach roboczych użytkownicy nie posiadają uprawnień do instalowania oprogramowania. VI. Przedsięwzięcia w zakresie zabezpieczenia przetwarzanych w systemie tradycyjnym, przy użyciu dokumentów sporządzonych w formie pisemnej, gromadzone są w rejestrach, księgach oraz segregatorach i przechowywane w zamykanych szafach. I. Dane osobowe są chronione przy zastosowaniu następujących zabezpieczeń niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych dany osobowych: VII. Ochrona pomieszczeń wykorzystanych do przetwarzania osobowych: budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie osobowych zabezpieczone są przed dostępem osób nieuprawnionych; dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych biurkach lub szafach; przebywanie osób nieuprawnionych w obszarze przetwarzania osobowych jest dopuszczalne w obecności osoby upoważnionej do przetwarzania osobowych lub za zgodą Dyrektorów i Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN. 10

11 Załącznik nr 6. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania I. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe, ma AD oraz ABI i systemu informatycznego, działający w imieniu AD. II. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe, może uzyskać wyłącznie użytkownik zarejestrowany przez a systemu informatycznego. Rejestracja w systemie informatycznym obejmuje trzy etapy opisanej poniżej. 1. Nadanie przez a systemu informatycznego unikalnego identyfikatora (loginu). Zabronione jest nadawanie identycznych identyfikatorów. Każda użytkownik otrzymuje inny, unikalny identyfikator (login). 2. Wygenerowanie hasła startowego, niezbędnego do uzyskania dostępu do systemu informatycznego. Użytkownik podczas pierwszego wejścia do systemu ma obowiązek zmiany hasła startowego. Kryteria tworzenia haseł użytkowników i czas ich obowiązywania wobec osób przetwarzających dane osobowe ustala systemu informatycznego. Użytkownik powinien zmieniać hasło nie rzadziej, niż według kryteriów ustalonych przez a systemu informatycznego oraz w każdym innym uzasadnionym przypadku, w szczególności gdy istnieje prawdopodobieństwo wejścia w posiadanie takiego hasła przez osobę trzecią. Hasło powinno być stworzone w sposób uniemożliwiający jego odgadnięcie przez osoby trzecie. Hasło jest daną poufną do wyłącznej wiadomości użytkownika, którego dotyczy. 3. Wprowadzenie do rejestru elektronicznego upoważnionych do przetwarzania osobowych użytkowników. Rejestr powinien obejmować: login, imię, nazwisko, datę uzyskania upoważnienia do przetwarzania osobowych, wraz z technicznym opisem przypisanych praw dostępu w systemie informatycznym zgodnych z zakresem określonym w Upoważnieniu do przetwarzania osobowych ABI. a systemu informatycznego, w imieniu AD, prowadzi elektroniczną bazę użytkowników, która jest podstawą do aktualizacji ewidencji osób upoważnionych do przetwarzania osobowych. III. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe mają jedynie zarejestrowani użytkownicy i odbywa się on wyłącznie poprzez podanie identyfikatora (loginu) i hasła. IV. Wszystkie serwery, na których przechowywane są dane, w tym dane osobowe, powinny być umieszczone w pomieszczeniu z ograniczonym dostępem. 1. Dostęp do pomieszczenia powinien być ograniczony do a systemu informatycznego i upoważnionych przez ABI współpracowników IFiS PAN. 2. Wydanie kluczy (w przypadku gdy przechowywane są np. na portierni) powinno być rejestrowane: 11

12 np. zapis do zeszytu z informacją: imię i nazwisko osoby pobierającej klucze, godzina pobrania, godzina zdania 3. Wszystkie serwery lub pamięci (storage) w obudowie typu rack, powinny być zamontowane w szafie zamykanej na klucz. Klucz do szafy powinien być przechowywany w pomieszczeniu z ograniczonym dostępem. Dostęp umożliwiający obsługę serwerów, na których przechowywane są dane osobowe, powinien być ograniczony jedynie do a systemu informatycznego i upoważnionych przez ABI współpracowników IFiS PAN. 4. Serwery w obudowie typu tower, o ile nie są umieszczone w szafie, o której mowa w pkt. 3, powinny mieć obudowę zamykaną na klucz lub inny mechanizm uniemożliwiający otwarcie obudowy i dostęp do dysków twardych. Procedura przechowywania kluczy do obudowy jest taka sam jak w pkt Komputery wykorzystywane do działalności IFIS PAN, za pomocą których przetwarzane są dane, w tym dane osobowe, zabezpieczane są co najmniej w następujący sposób: komunikacja mailowa możliwa jest wyłącznie poprzez system posiadający program antywirusowy zatwierdzony przez a systemu; ruch http możliwy jest tylko przy użyciu zabezpieczonego firewallem komputera; użytkownicy systemu informatycznego IFiS PAN mają zakaz wgrywania na komputery i serwery IFIS PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych przez a systemu informatycznego; użytkownicy systemu informatycznego IFiS PAN mają zakaz umieszczania (w tym osobowych) w związku z pracą w IFiS PAN, na wirtualnych dyskach lub nośnikach zewnętrznych niebędących własnością IFiS PAN. Należy stosować wydzielone konta sieciowe na serwerach należących do IFIS PAN. osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN, nie będące współpracownikami, mają zakaz wgrywania na komputery i serwery IFiS PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych przez a systemu informatycznego. systemu informatycznego informuje o tym zakazie osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN; systemu informatycznego odpowiada za bieżącą aktualizację systemów operacyjnych. Użytkownicy mają zakaz blokowania wykonania tych aktualizacji. 6. O ile dozwolone jest użycie zawartych na zewnętrznych nośnikach pamięci, dane takie muszą być sprawdzone przez program antywirusowy przed wprowadzeniem do systemu informatycznego IFiS PAN. Odpowiedzialność za sprawdzenie ponosi użytkownik wprowadzający dane. 7. W przypadku jakichkolwiek wątpliwości odnośnie zagrożenia wirusowego należy sprawdzić zawartość całego dysku twardego programem antywirusowym. W przypadku dalszych niejasności należy kontaktować się z 12

13 em systemu informatycznego lub z osobami przez niego upoważnionymi. 8. systemu informatycznego nadzoruje instalację aktualizacji (w tzw. łat ) oprogramowania. Za instalację i konfigurowanie oprogramowania odpowiada systemu informatycznego. 9. systemu informatycznego, w imieniu AD i po konsultacji z ABI, akceptuje listę oprogramowania dopuszczoną do użytkowania na poszczególnych stacjach roboczych w zależności od typu prac na nich wykonywanych. 10. systemu informatycznego dopuszcza użytkownika do obsługi poszczególnych programów na podstawie rejestru elektronicznego upoważnionych do przetwarzania osobowych użytkowników. 11. Oprogramowanie wgrane na stacjach roboczych udostępnionych przez IFiS PAN użytkownikom, niezależnie od tego czy jest umieszczone na powołanej liście, jest uważane za możliwe do wykorzystania przez użytkowników, chyba że systemu informatycznego lub ABI postanowią inaczej. 12. Każdy użytkownik zobowiązany jest do zachowania szczególnej ostrożności przy pracy z pocztą elektroniczną. W przypadku jakichkolwiek wątpliwości, szczególnie w przypadku załączników poczty elektronicznej, należy przed uruchomieniem skontaktować się z em systemu informatycznego. 13. Przy wprowadzaniu do systemu informatycznego nowych programów lub zawsze należy kierować się zasadą ograniczonego zaufania. Jeśli okoliczności danego przypadku tego wymagają, należy przed wprowadzeniem jakichkolwiek zmian wykonać kopię zapasową systemu (lub odpowiedniej jego części, która ma podlegać modyfikacji), w sposób umożliwiający przywrócenie poprzedniego stanu. 14. Za sporządzanie kopii bezpieczeństwa informacji znajdujących się na serwerach odpowiada systemu informatycznego. Wykonywanie kopii bezpieczeństwa znajdujących się na stacjach roboczych należy do obowiązków użytkowników. Ze stacji roboczych dane powinny być kopiowane na serwer, w wyznaczone przez systemu informatycznego miejsce. 15. Bezpieczeństwo na styku systemu informatycznego IFiS PAN z siecią internet zapewniają systemy oprogramowania firewall. Użytkownikom zabrania się dokonywania jakichkolwiek połączeń do internetu z pominięciem oprogramowania firewall. 16. Użytkownikom zabrania się pozostawienia sprzętu komputerowego i oprogramowania niezabezpieczonego przed dostępem osób nieupoważnionych lub bez nadzoru osoby odpowiedzialnej za jego użytkowanie. 17. Użytkownikom zabrania się pozostawiania dokumentów z danymi podczas nieobecności przy stanowisku pracy i po zakończeniu pracy, obowiązuje zasada tzw. czystego biurka. 18. Zabrania się dopuszczania do swego stanowiska pracy innych osób, chyba że jest to usprawiedliwione i konieczne w danej chwili. Dopuszczenie osoby trzeciej do swego stanowiska pracy nie powoduje zdjęcia odpowiedzialności za zgodne z prawem i PB, w tym osobowych, toteż nakazuje się, aby osoba, która dopuszcza osobę trzecią do swego stanowiska pracy, zapewniła przestrzeganie prawa i PB w zakresie przetwarzania w/w. W takim 13

14 przypadku osoba dopuszczająca do swego stanowiska pracy inną osobę dokonuje wylogowania z systemu informatycznego, jeśli była do niego zalogowana w sposób umożliwiający przetwarzanie. Gdy istnieje taka potrzeba, nowa osoba dokonuje logowania na danej stacji wykorzystując własny login i hasło (tak by wszelkie operacje na przez nią dokonane, w szczególności na osobowych, były przypisywane jednoznacznie tej osobie). 19. Wyrejestrowania użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem uprawnień do przetwarzania (w tym osobowych), dokonuje systemu informatycznego niezwłocznie po wygaśnięciu upoważnienia do przetwarzania osobowych w systemie informatycznym IFIS PAN. 20. systemu informatycznego dokonuje wyrejestrowania użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem uprawnień do przetwarzania (w tym osobowych) w uzasadnionym przypadku, w szczególności w przypadku podejrzenia naruszenia zasad ochrony, w tym osobowych. Wyrejestrowanie użytkownika uniemożliwia takiemu użytkownikowi dokonywanie jakichkolwiek operacji na, w tym uniemożliwia dostęp do, ani systemu informatycznego IFiS PAN. Wyrejestrowanie użytkownika może mieć charakter czasowy lub trwały. 21. systemu informatycznego odnotowuje dokładną datę wyrejestrowania użytkownika w prowadzonym rejestrze. 22. Użytkownik w każdym przypadku rozpoczęcia pracy z dostępem do systemu informatycznego IFIS PAN lub w systemie informatycznym IFIS PAN dokonuje go poprzez: odpowiednie przygotowanie stanowiska pracy, włączenie stacji roboczej (ewentualnie serwera), wprowadzenie swojego loginu i hasła. 23. Zakończenie pracy w systemie odbywa się poprzez: zamknięcie wszystkich aplikacji, odłączenie od zasobów systemowych, zamknięcie systemu operacyjnego, wyłączenie stacji roboczej. 24. Zabrania się użytkownikom w systemie informatycznym IFIS PAN: udostępniania stacji roboczej osobom niezarejestrowanym w systemie zgodnie z niniejszą Instrukcją; udostępnienie o ile jest możliwe i konieczne może się odbyć tylko w sposób wykluczający możliwość dostępu do w zakresie których dana osoba nie ma upoważnienia do przetwarzania i w sposób umożliwiający identyfikację dostępu i czynności takiej osoby do, do których dostęp takiej osoby jest uprawniony, udostępniania stacji roboczej do konserwacji lub naprawy bez zgody a systemu informatycznego, używania oprogramowania nielicencjonowanego. 14

15 25. Każdy przypadek naruszenia ochrony, a w szczególności: naruszenia bezpieczeństwa systemu informatycznego, stwierdzenia objawów (stanu urządzeń, sposobu działania programu / aplikacji / modułów / jakichkolwiek elementów systemu informatycznego IFIS PAN lub jakości komunikacji w sieci IFIS PAN), które mogą wskazywać na naruszenie bezpieczeństwa, w tym osobowych, wystąpienia prawdopodobieństwa naruszenia ochrony, w tym osobowych podlega natychmiastowemu zgłoszeniu do a systemu informatycznego i ABI. 26. Do ABI zgłasza się w szczególności przypadki: użytkowania stacji roboczej przez osobę niebędącą użytkownikiem systemu, logowania się lub usiłowania logowania do systemu informatycznego IFiS PAN przez osobę nieupoważnioną, usuwania, dodawania lub modyfikowania bez upoważnienia lub z przekroczeniem jego zakresu, przebywania osób nieupoważnionych w obszarze, w którym przetwarzane są dane, w trakcie nieobecności użytkownika zatrudnionego przy przetwarzaniu tych, bez zgody AD lub ABI, pozostawiania otwartych, bez nadzoru pomieszczeń, w których przetwarzane są dane, przetwarzania w innym celu, niż jest to dopuszczone zgodnie z prawem i PB (w tym niniejszą Instrukcją), udostępniania osobom nieuprawnionym serwera, stacji roboczej (w tym komputera przenośnego), służących do przetwarzania, w tym osobowych, niezabezpieczenia hasłem dostępu do komputera służącego do przetwarzania, w tym osobowych, zgodnie z instrukcją a systemu informatycznego, przechowywania kopii awaryjnych/zapasowych w tych samych pomieszczeniach, w których przechowywane są zbiory osobowych eksploatowane na bieżąco, przechowywania nośników informacji oraz wydruków z danymi osobowymi, nieprzeznaczonymi do udostępniania, w warunkach umożliwiających do nich dostęp osobom nieuprawnionym. 27. Obowiązek dokonania zgłoszenia do ABI, o którym mowa w punktach poprzedzających spoczywa na każdym użytkowniku dopuszczonym do przetwarzania w IFIS PAN, który powziął wiadomość o naruszeniu ochrony osobowych lub prawdopodobieństwie naruszenia tej ochrony. ABI ma prawo w takim przypadku nakazać osobie zgłaszającej wykonanie niezbędnych czynności zaradczych, w szczególności czynności uzasadnionych i koniecznych dla przywrócenia ochrony. 15

16 28. W przypadku naruszenia bezpieczeństwa systemu informatycznego, obowiązkiem osoby upoważnionej przez ABI jest natychmiastowe podjęcie adekwatnych kroków zaradczych, w tym przykładowo wstrzymanie udostępniania zasobów dla użytkowników lub odłączenie serwerów od odpowiednich zasobów, w tym sieci internet oraz powiadomienie a systemu informatycznego i ABI. 29. Pod kontrolą ABI użytkownicy z pomocą a systemu informatycznego ustalają przyczyny naruszenia bezpieczeństwa systemu informatycznego oraz inne przyczyny naruszenia ochrony przetwarzanych przez IFIS PAN. 30. Normalna zgodna z przeznaczeniem eksploatacja systemu informatycznego IFiS PAN przez użytkowników dopuszczonych do przetwarzania może nastąpić dopiero po ustaleniu i usunięciu przyczyny naruszenia bezpieczeństwa systemu informatycznego. Wyjątkowo systemu informatycznego lub administrator mogą zadecydować inaczej, w szczególności, gdy naruszenia zasad ochrony systemu (lub prawdopodobieństwo wystąpienia takiego naruszenia) dotyczą jedynie określonych elementów systemu. 31. Kopie awaryjne tworzy się zgodnie z wewnętrznymi procedurami uzgodnionymi przez Dyrektorów Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN. 32. Każdą kopię tworzy się na oddzielnym nośniku informatycznym, chyba że kopia jest tworzona na specjalnie dedykowanej w tym celu przestrzeni na dysku serwera. 33. Zabrania się przechowywania kopii awaryjnych w pomieszczeniach przeznaczonych do przechowywania pozostających w bieżącym użytkowaniu. Wyjątkowo jest to dopuszczalne, o ile kopia awaryjna dotyczy pozostających w bieżącym użytkowaniu zlokalizowanych w innym pomieszczeniu. 34. systemu informatycznego przegląda okresowo kopie awaryjne i oceniają ich przydatność do odtworzenia zasobów systemu w przypadku jego awarii. systemu informatycznego może nakazać określonym użytkownikom mającym dostęp do kopii awaryjnych stosowanie określonej zgodnej z niniejszą Instrukcją procedury zniszczenia, w szczególności, gdy dana baza jest kopiowana kolejny raz (np. w przypadku wykonania kolejnej kopii, przykładowo czwarta wstecz kopia określonych podlegać może zniszczeniu). 35. Stwierdzenie utraty przydatności kopii awaryjnych zobowiązuje a systemu informatycznego do ich zniszczenia, przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie. 36. Sprawdzanie obecności wirusów komputerowych w systemie oraz ich usuwanie odbywa się przy wykorzystaniu licencjonowanego oprogramowania. 37. Oprogramowanie antywirusowe sprawuje ciągły nadzór (stała praca w tle) nad pracą systemu i jego zasobami oraz serwerami i stacjami roboczymi. Niezależnie od ciągłego nadzoru systemu informatycznego nie rzadziej niż raz na tydzień przeprowadzą pełną kontrolę obecności wirusów komputerowych w systemie informatycznym IFiS PAN, w tym również w serwerach i stacjach roboczych, na których oprogramowanie antywirusowe jest zaimplementowane. ABI może zlecić użytkownikom wykonanie kontroli obecności wirusów komputerowych na ich stacjach roboczych i zlecić 16

17 przekazanie informacji z ich przebiegu do systemu informatycznego. 38. Do obowiązków a systemu informatycznego należy aktualizacja oprogramowania służącego do sprawdzania w systemie obecności wirusów komputerowych. 39. System i urządzenia informatyczne służące do przetwarzania, zasilane energią elektryczną, zabezpiecza się przed utratą osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 40. Minimalne dopuszczalne w danej chwili zabezpieczenie systemu informatycznego i urządzeń informatycznych, o którym mowa w punkcie poprzedzającym, polega na wyposażeniu serwerów oraz stacji roboczych w zasilacze awaryjne (UPS). Dane, w tym dane osobowe, przetwarzane na stacjach roboczych są kopią przechowywanych w odpowiednio chronionych miejscach na serwerach, zabezpieczonych za pomocą zasilaczy awaryjnych UPS. Dane, w tym dane osobowe, osobowe przetwarzane na stacjach roboczych niebędących kopią pobranych z serwera, są zabezpieczone zasilaczem awaryjnym UPS. 41. Urządzenia informatyczne służące do przetwarzania, w tym osobowych można przekazać: do naprawy po uprzednim uzyskaniu zgody a systemu informatycznego, do likwidacji, po uprzednim uzyskaniu zgody a systemu informatycznego i ABI, innemu podmiotowi nieuprawnionemu do otrzymania przetwarzanych w IFiS PAN, po uzyskaniu zgody AD lub ABI. 42. Urządzenia, o których mowa w punkcie poprzedzającym, przed ich przekazaniem do naprawy lub podmiotowi nieuprawnionemu do otrzymania pozbawia się zapisu osobowych. Jeżeli nie jest to możliwe, urządzenie może być naprawiane wyłącznie pod nadzorem a systemu informatycznego lub osoby upoważnionej przez ABI, która odpowiada za zapewnienie ochrony tym danym. 43. Jeżeli nie jest możliwe pozbawienie urządzenia przekazywanego do likwidacji zapisu osobowych, urządzenie - przed przekazaniem do likwidacji - a systemu informatycznego uszkadza się w sposób trwały, uniemożliwiający odczytanie tych. 44. Przeglądu i konserwacji systemu informatycznego dokonuje systemu informatycznego regularnie, stosownie do potrzeb. 45. ABI może zlecić wykonanie przeglądu systemu informatycznego i konserwacji owi systemu informatycznego lub osobie upoważnionej przez ABI doraźnie, stosownie do potrzeb. 46. Przeglądu i sprawdzenia poprawności zapisu zbiorów systemu dokonuje nie rzadziej niż raz w miesiącu. 47. ABI może zlecić wykonanie sprawdzenia poprawności zapisu zbiorów owi systemu informatycznego lub osobie upoważnionej przez ABI doraźnie, stosownie do potrzeb. 17

18 48. W części systemu informatycznego IFiS PAN, w którym zastosowano rozwiązania sieciowe udostępnienia zasobów stosowane są dedykowane przyzwolenia dostępu (zgodne z zakresami upoważnień użytkowników). systemu informatycznego nadaje dedykowane przyzwolenia wykorzystując unikalne identyfikatory (loginy). Użytkownik uzyskuje dostęp do zasobów po wprowadzeniu i identyfikatora (login) i znanego użytkownikowi hasła. 49. Przesyłanie osobowych w systemie informatycznym wewnętrznym (niedostępnym dla ogółu) musi być dokonywane w sposób odpowiednio chroniony i dostępny jedynie dla uprawnionych użytkowników. 50. W sytuacji, gdy dostępne narzędzia informatyczne nie będą wystarczające do działania w komunikacji wewnętrznej, systemu informatycznego i po konsultacji z ABI, wyznacza sposób postępowania, mając w szczególności na uwadze ochronę, w tym osobowych. 51. Nośniki informatyczne zawierające dane osobowe powinny być opisane w sposób czytelny i zrozumiały dla użytkownika, a zarazem nie powinny ułatwiać rozpoznania zawartości przez osoby nieupoważnione. 52. Nośniki informatyczne przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do określonego sposobu przetwarzania. 53. W pomieszczeniach, gdzie nie jest możliwe ograniczenie dostępu osób postronnych, monitory stanowisk dostępu do osobowych ustawia się w taki sposób, aby uniemożliwić tym osobom wgląd w dane. 54. Osoba użytkująca przenośny komputer, służący do przetwarzania osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera poza obszarem ochrony w celu zapobieżenia dostępowi do tych osobie niepowołanej. W przypadku przechowywania komputera poza obszarem ochrony w żadnym razie dane znajdujące się w nim nie mogą być dostępne dla innego użytkownika takiego komputera. Należy dane takie zabezpieczyć na wypadek utraty komputera, w szczególności poprzez użycie narzędzi uniemożliwiających zapoznanie się z danymi. 55. Użytkownik sporządzający wydruki, które zawierają dane osobowe jest odpowiedzialny za zachowanie szczególnej ostrożności przy korzystaniu z nich, a zwłaszcza za zabezpieczenie ich przed dostępem osób nieposiadających imiennego upoważnienia oraz nieuprawnionych do wglądu (dostępu) na podstawie indywidualnego zakresu czynności. 56. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie. 57. System informatyczny IFiS PAN umożliwia odnotowanie i udostępnienie na piśmie, w zrozumiałej formie, treści o każdej osobie, której dane są przetwarzane w zbiorze, a w szczególności: daty pierwszego wprowadzenia tej osoby do systemu, przy czym odnotowanie następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia, identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim posiada wyłącznie jedna osoba (wówczas musi to być wyraźnie oznaczone) lub gdy wprowadzenia dokonuje przez internet osoba, której dane są przetwarzane (wówczas musi to być wyraźnie oznaczone), 18

19 przy czym odnotowanie tej informacji następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia, źródła pochodzenia, o ile są zbierane nie od osoby, której dotyczą, informacji o odbiorcach w rozumieniu art. 7 pkt. 6 u.o.d.o., którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania zawartych w zbiorach jawnych, żądania, o którym mowa w art. 32 ust. 1 pkt. 7 u.o.d.o., oraz sprzeciwu określonego w art. 32 ust. 1 pkt. 8. <do aktualizacji > Załącznik nr 7. Sposób postępowania ze zbiorami <do aktualizacji technicznej po kwerendzie > 19

20 Załącznik nr 8. Obieg osobowych w systemie tradycyjnym i ich zabezpieczanie W IFiS PAN są przetwarzane również dane w sposób tradycyjny. 1. Dokumenty zawierające dane osobowe należy przechowywać z należytą starannością. Dostęp do nich powinni mieć tylko pracownicy upoważnieni do przetwarzania osobowych. Osoby upoważnione do przetwarzania osobowych mają obowiązek: przetwarzać je zgodnie z przepisami, nie udostępniać ich oraz uniemożliwiać dostęp osobom nieupoważnionym, zabezpieczać je przed zniszczeniem. 2. Przepływ dokumentów zawierających dane osobowe między poszczególnymi działami: 1) Księgowość Kadry 2) Księgowość Sekretariat 3) Księgowość Dział Obsługi Badań 4) Księgowość ORBS 5) Księgowość Biblioteka 6) Księgowość Wydawnictwo 7) Księgowość Rada Naukowa 8) Księgowość SNS 9) Księgowość Archiwum 10) Kadry System POLON 11) Kadry Sekretariat 12) Kadry Komisja Socjalna 13) Kadry Archiwum 14) Kadry Dział Obsługi Badań 15) Kadry SNS 16) System POLON Rada Naukowa 17) System POLON SNS 18) Sekretariat Rada Naukowa 19) Sekretariat Wydawnictwo 20) Dział Obsługi Badań Archiwum 21) SNS Biblioteka 3. Należy stosować następujące kategorie środków zabezpieczeń osobowych przy przetwarzaniu w dokumentacji papierowej: 1) zabezpieczenia fizyczne: 20

21 całodobowa ochrona budynku IFIS PAN; pomieszczenia zamykane na klucz; szafy z zamkami. 2) zabezpieczenia procesów przetwarzania : przetwarzanie osobowych w wyznaczonych pomieszczeniach, przetwarzanie osobowych przez wyznaczone do tego celu osoby, dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób uniemożliwiający ich odczytanie. 4. Należy stosować politykę czystego biurka dla dokumentów papierowych i nośników elektronicznych. W przypadku dłuższej nieobecności w miejscu pracy lub po jej zakończeniu osoba pracująca z danymi osobowymi jest zobowiązana do schowania w bezpiecznym miejscu wszelkich dokumentów i nośników zawierających dane osobowe. 5. W pomieszczeniach, w których są przetwarzane dane osobowe nie wolno zostawiać kluczy w zamkach od strony korytarza, nie wolno również zostawiać osób nieupoważnionych do przetwarzania osobowych samych w takim pomieszczeniu. 21

22 Załącznik nr 9a. Wzór wniosku o dopuszczenie do przetwarzania osobowych pracownika IFiS PAN Warszawa, dnia... [Imię i nazwisko Osoby Wnioskującej (Zastępcy Dyrektora, Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN) Funkcja Jednostka IFiS PAN ] Bezpieczeństwa Informacji Instytut Filozofii i Socjologii PAN Wniosek o dopuszczenie do przetwarzania osobowych w IFiS PAN Zwracam się z prośbą o dopuszczenie do przetwarzania osobowych w IFiS PAN, w rozumieniu ustawy o ochronie osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz. U. z r., poz ze zm.): Panią/Pana:. Zakres czynności związanych z przetwarzaniem osobowych będzie obejmował: 1. w systemie informatycznym:. 2. w systemie tradycyjnym:. Powyższy zakres jest niezbędny do wykonywania prac określonych w Zakresie Obowiązków Pracownika., zgodnie z umową o pracę zawartą dnia r. (data i czytelny Osoby Wnioskującej) 22

23 Załącznik nr 9b. Wzór wniosku o dopuszczenie do przetwarzania osobowych osoby współpracującej z IFiS PAN Warszawa, dnia... [Imię i nazwisko Osoby Wnioskującej (Zastępcy Dyrektora, Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN) Funkcja Jednostka IFiS PAN ] Bezpieczeństwa Informacji Instytut Filozofii i Socjologii PAN Wniosek o dopuszczenie do przetwarzania osobowych w IFiS PAN Zwracam się z prośbą o dopuszczenie do przetwarzania osobowych w IFiS PAN, w rozumieniu ustawy o ochronie osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz. U. z r., poz ze zm.): Panią/Pana:. Zakres czynności związanych z przetwarzaniem osobowych będzie obejmował: 1. w systemie informatycznym:. 2. w systemie tradycyjnym:. Powyższy zakres jest niezbędny do wykonywania prac określonych w Umowie zawartej dnia między Panią/Panem a IFIS PAN, z siedzibą w Warszawie, przy ul. Nowy Świat 72. (data i czytelny Osoby Wnioskującej) 23

24 Załącznik nr 10a. Wzór klauzuli poufności dla pracowników IFiS PAN. Warszawa, dnia... Pani/Pan: zatrudniona/zatrudniony na stanowisku bezpośredni przełożony: Pani/Pan, zakres Pani/Pana czynności związanych z przetwarzaniem osobowych: 1. w systemie informatycznym, w którym ma Pani/Pana identyfikator (login) i obejmuje:. 2. w systemie tradycyjnym i obejmuje:. ZOBOWIĄZANIE DO ZACHOWANIA POUFNOŚCI W związku z faktem, iż zakres moich obowiązków pracowniczych wynikających z umowy o pracę zawartej między mną a IFIS PAN, z siedzibą w Warszawie, przy ul. Nowy Świat 72, wiąże się z wykonywaniem przeze mnie m.in. czynności związanych z przetwarzaniem osobowych w rozumieniu ustawy o ochronie osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz. U. z r., poz ze zm.), niniejszym składam następujące zobowiązanie: 1. Zobowiązuję się do zachowania poufności i nieujawniania osobom trzecim informacji dotyczących zbiorów zawierających dane osobowe lub innych wiadomości, które mogłyby w jakikolwiek sposób ujawnić treść przetwarzanych osobowych. 2. Oświadczam, iż zapoznałam/zapoznałem się z przepisami dotyczącymi ochrony osobowych (zawartymi w ustawie oraz rozporządzeniach wykonawczych) oraz zobowiązuję się do ich przestrzegania w zakresie, w jakim dotyczą osób zatrudnionych przy przetwarzaniu. 3. Oświadczam, że zapoznałam/em się z Polityką Bezpieczeństwa Informacji IFiS PAN, której integralną częścią jest Instrukcja zarządzania systemem informatycznym oraz zobowiązuję się do przestrzegania postanowień w nich zawartych. 4. Zobowiązuję się do nierozpowszechniania i niewykorzystywania poufnych informacji zdobytych w trakcie wykonywania powierzonych prac, także po ustaniu zatrudnienia. 5. Z chwilą ustania zatrudnienia zobowiązuję się do niezwłocznego zwrócenia na rzecz IFIS PAN wszelkich dokumentów oraz innych materiałów dotyczących osobowych lub mogących je zawierać. Zobowiązuję się także do niezwłocznego przekazania plików elektronicznych mogących zawierać dane osobowe bezpośredniemu przełożonemu lub osobie upoważnionej. Zobowiązuję się do usunięcia, przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie z urządzeń, dysków lub innych elektronicznych nośników informacji, wszelkich kopi plików elektronicznych mogących zawierać dane osobowe. 24

25 Przyjmuję do wiadomości, iż naruszenie przeze mnie niniejszego zobowiązania traktowane będzie jako ciężkie naruszenie obowiązków pracowniczych w rozumieniu Regulaminu pracy IFiS PAN oraz przepisów kodeksu pracy. Powyższa klauzula poufności jest integralną częścią umowy o pracę zawartej dnia r. (data i czytelny podpis pracownika) 25

26 Załącznik nr 10b Wzór klauzuli poufności dla osób współpracujących z IFiS PAN. Warszawa, dnia... [Imię i nazwisko Osoby Wnioskującej (Zastępcy Dyrektora, Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN) Funkcja Jednostka IFiS PAN ] Bezpieczeństwa Informacji w Instytut Filozofii i Socjologii PAN Wniosek o dopuszczenie do przetwarzania osobowych w IFiS PAN Zwracam się z prośbą o dopuszczenie do przetwarzania osobowych Pani/Pana:. Zakres czynności związanych z przetwarzaniem osobowych będzie obejmował: 1. w systemie informatycznym:. 2. w systemie tradycyjnym:. (data i czytelny Osoby Wnioskującej) 26

27 Załącznik nr 11. Wzór upoważnienia do przetwarzania osobowych. Upoważnienie do przetwarzania osobowych w IFiS PAN Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie osobowych (t.j. Dz. U. z r., poz ze zm.) upoważniam do przetwarzania osobowych w IFiS PAN Panią/Pana:. 1. Zakres powyższego upoważnienia dotyczy przetwarzania osobowych w systemie informatycznym, w którym ma Pani/Pana identyfikator (login) i obejmuje:. 2. Zakres powyższego upoważnienie dotyczy upoważnienia do przetwarzania osobowych w systemie tradycyjnym i obejmuje:. Upoważnienie jest ważne począwszy od dnia 2016 r. Wraz z udzieleniem powyższego upoważnienia zostaje nadany Panu/Pani numer porządkowy w ewidencji osób upoważnionych do przetwarzania osobowych: (podpis ABI) 27

28 Załącznik nr 12. Wzór ewidencji osób upoważnionych do przetwarzania osobowych w IFiS PAN Lp. imię nazwisko login w sys. informatycznym data nadania uprawnień data utraty uprawnień podpis ABI identyfikator 28