Polityka bezpieczeństwa danych osobowych

Transkrypt

1 Załącznik nr 1 do zarządzenia nr 124 Rektora UMK z dnia 19 października 2010 r. Polityka bezpieczeństwa danych osobowych 1. Cel i zakres W związku z prowadzoną działalnością, Uniwersytet Mikołaja Kopernika zgromadził dane osobowe kilkudziesięciu tysięcy pracowników, studentów i współpracujących z nim osób. Ustawa o ochronie danych osobowych nakłada na Uniwersytet obowiązek ochrony tych danych. Polityka bezpieczeństwa danych osobowych realizuje cel ochrony danych osobowych przez określenie zasad i procedur zmierzających do zapewnienia ich skutecznego, bezpiecznego i nieprzerwanego działania zgodnie z przeznaczeniem tych danych i zadaniami Uniwersytetu określonymi w art. 13 ust. 1 ustawy Prawo o szkolnictwie wyŝszym. Zasady i procedury definiują sposoby i metody bezpiecznego przetwarzania danych osobowych oraz ich ochrony przed nieuprawnionym przetwarzaniem, dostępem, ujawnieniem, utratą, nieprawidłowym wykorzystaniem lub kradzieŝą. Ochronie podlegają wszystkie dane osobowe przetwarzane w Uniwersytecie, w tym powierzone Uniwersytetowi przez inne podmioty jak równieŝ te, które Uniwersytet powierza do przetwarzania innym podmiotom niezaleŝnie od tego, czy dane te są zgromadzone w systemach informatycznych czy w tradycyjnych kartotekach. 2. Podstawy prawne i źródła pomocnicze Podstawę prawną Polityki bezpieczeństwa danych osobowych stanowią następujące akty prawne: 1. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926), 2. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. z 2004 r., nr 100, poz. 1024), 3. zgodnie z treścią art. 5 ustawy o ochronie danych zastosowanie znajdują przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, jeśli przewidują one dalej idącą ich ochronę, niŝ wynika to z ustawy o ochronie danych 4. ustawa z dnia 25 lipca 2005 r. Prawo o szkolnictwie wyŝszym (Dz. U. nr 164, poz z późn. zm.). oraz następujące wewnętrzne akty prawne: 1. zarządzenie nr 148 Rektora UMK w Toruniu z dnia 27 października 2009 r. w sprawie udostępniania w sieci komputerowej niektórych danych o pracownikach, 2. zarządzenie nr 144 Rektora UMK w Toruniu z dnia 19 października 2009 r. w sprawie korzystania w celach słuŝbowych z adresów słuŝbowych przez pracowników UMK, 1

2 3. zarządzenie nr 54 Rektora UMK w Toruniu z dnia 19 lipca 2005 r. w sprawie uŝywania oprogramowania komputerowego w Uniwersytecie Mikołaja Kopernika w Toruniu, 4. zarządzenie nr 76 Rektora UMK w Toruniu z dnia 18 września 2007 r. Regulamin Sieci Komputerowej Uniwersytetu Mikołaja Kopernika w Toruniu, 5. zarządzenie nr 5 Rektora UMK w Toruniu z dnia 31 stycznia 2005 r. w sprawie wprowadzenia przepisów kancelaryjno-archiwalnych w Uniwersytecie Mikołaja Kopernika w Toruniu. Pomocniczo są wykorzystywane normy dotyczące bezpieczeństwa i ochrony informacji: 1. PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji Wymagania, 2. PN-ISO/IEC 17799:2007 Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji. 3. Podstawowe definicje 3.1 Dane osobowe Za dane osobowe uwaŝa się wszelkie informacje dotyczące zidentyfikowanej lub moŝliwej do zidentyfikowania osoby fizycznej, przy czym osobą moŝliwą do zidentyfikowania jest osoba, której toŝsamość moŝna określić pośrednio lub bezpośrednio przez powołanie się na numer identyfikacyjny lub specyficzne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe lub społeczne. Informacje, których wykorzystanie do zidentyfikowania osoby wymaga nieproporcjonalnie duŝych nakładów kosztu, czasu lub działań nie są objęte niniejszą definicją. 3.2 Służbowe dane osobowe Dane osobowe pracowników takie jak imiona i nazwiska, dokładne miejsca i stanowiska pracy, numery telefonów słuŝbowych oraz adresy są informacjami ściśle związanymi z pełnieniem obowiązków słuŝbowych i mogą być przez Uniwersytet upubliczniane bez konieczności uzyskania zgody osób, których te dane dotyczą. 3.3 Przetwarzanie danych osobowych Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. 4. Organizacja ochrony danych osobowych Ochrona danych osobowych w Uniwersytecie jest realizowana przez: 1. administratora danych osobowych (ADO), 2. lokalnych administratorów danych osobowych (LADO), 3. administratora bezpieczeństwa informacji (ABI), 4. administratorów systemów informatycznych przetwarzających dane osobowe (ASI), 5. osoby upowaŝnione do przetwarzania danych osobowych (OU). 4.1 ADO Administratorem danych osobowych w uczelni jest rektor. ADO decyduje o celach i środkach przetwarzania danych osobowych. 2

3 4.2 LADO Lokalnymi administratorami danych osobowych są kanclerz, dziekani wydziałów, oraz kierownicy tych jednostek organizacyjnych niebędących jednostkami wydziałowymi, którym ADO powierzył zbiory danych osobowych. 1. W szczególności powierza się następujące zbiory danych osobowych: a) dziekanom wydziałów w zakresie dotyczącym pracowników i studentów wydziałów, b) dyrektorom/kierownikom jednostek niebędących jednostkami wydziałowymi w zakresie dotyczącym podległych im pracowników i w zakresie wynikającym z celów, dla których jednostka została powołana, c) kanclerzowi w zakresie podległych mu jednostek. 2. W ramach kierowanej przez siebie jednostki organizacyjnej LADO jest zobowiązany do: a) pełnienia nadzoru nad przetwarzaniem danych b) określania wynikających z ustawy o ochronie danych osobowych indywidualnych obowiązków i odpowiedzialności osób upowaŝnionych do przetwarzania danych c) udzielania i odwoływanie upowaŝnień do przetwarzania danych d) uzyskiwania od upowaŝnianych pracowników oświadczeń o zapoznaniu się przez nich z przepisami związanymi z ochroną danych e) przekazywania udzielonych upowaŝnień wraz z ww. oświadczeniami oraz odwołań upowaŝnień do ewidencji upowaŝnień prowadzonej przez administratora bezpieczeństwa informacji, f) zapewnienia środków niezbędnych do zgodnego z ustawą przetwarzania danych g) współdziałania z administratorem bezpieczeństwa informacji w sprawach związanych z bezpieczeństwem danych osobowych. 4.3 ABI Administrator bezpieczeństwa informacji jest powoływany przez ADO. Administrator bezpieczeństwa informacji podlega bezpośrednio ADO. Podstawowym obowiązkiem ABI jest nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych. Szczegółowo zakres obowiązków i uprawnienia ABI reguluje załącznik nr ASI Administrator systemu informatycznego jest wskazywany poprzez upowaŝnienie udzielone przez LADO jednostki, której ADO powierzył administrowanie konkretnym zbiorem danych osobowych. Do podstawowych zadań ASI naleŝą: 1. opracowywanie, uaktualnianie i weryfikowanie zgodności ze stanem faktycznym instrukcji zarządzania administrowanego przez niego zbioru danych osobowych. ASI współpracuje w tym zakresie z ABI i LADO. 2. realizowanie zasad określonych w instrukcji zarządzania administrowanym przez siebie zbiorem danych osobowych. 4.5 OU Osobami upowaŝnionymi do przetwarzania danych osobowych są te osoby, które zostały upowaŝnione do przetwarzania danych osobowych: 1. wskutek objęcia pochodzącej z wyboru funkcji, z którą są związane obowiązki dotyczące przetwarzania danych 2. wskutek mianowania lub zatrudniania na stanowiska, z którymi są związane obowiązki dotyczące przetwarzania danych 3. wskutek udzielenia na piśmie upowaŝnienia do przetwarzania danych osobowych. 3

4 5. Obowiązki osób upoważnionych Osoby upowaŝnione do przetwarzania danych osobowych są w szczególności zobowiązane do: 1. zachowania w tajemnicy danych osobowych uzyskanych w związku z ich przetwarzaniem, 2. zgłaszania naruszeń bezpieczeństwa danych osobowych lub podejrzeń w tym zakresie, 3. stosowanie zasady czystego biurka na stanowiskach pracy, 4. stosowanie oprogramowania antywirusowego i chroniącego przed innym oprogramowaniem złośliwym, 5. uŝywanie wyłącznie oprogramowania licencjonowanego, 6. stosowanie się do zaleceń z instrukcji zarządzania zbiorami danych osobowych do których udzielono im upowaŝnienia, 7. stosowanie innych zasad dotyczących bezpieczeństwa danych osobowych określonych w niniejszej Polityce bezpieczeństwa. 6. Odpowiedzialność z tytułu obowiązków związanych z ochroną danych osobowych 6.1 Odpowiedzialność karna Osobom, którym powierzono przetwarzanie danych moŝe grozić odpowiedzialność karna z tytułu naruszenia przepisów ustawy o ochronie danych osobowych. 6.2 Odpowiedzialność dyscyplinarna Osobom, którym powierzono przetwarzanie danych moŝe grozić odpowiedzialność dyscyplinarna z tytułu naruszenia przepisów ustawy o ochronie danych przepisów wewnętrznych związanych z ochroną danych osobowych a w szczególności zasad określonych w niniejszej Polityce bezpieczeństwa. 7. Dokumenty uzupełniające 7.1 Podstawowe dokumenty uzupełniające Podstawowe dokumenty uzupełniające politykę bezpieczeństwa danych osobowych stanowią: 1. wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 3. opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, 4. opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi do przetwarzania danych 5. instrukcje zarządzania poszczególnymi systemami informatycznymi do przetwarzania danych 6. ewidencja osób upowaŝnionych do przetwarzania danych osobowych oraz procedury udzielania i odwoływania upowaŝnień do przetwarzania danych w tym powoływania administratorów systemów informatycznych (ASI), 7. realizacja praw osób, których dane są przetwarzane, w tym udzielanie, aktualizowanie i usuwanie informacji, 8. zasady udostępniania danych osobowych podmiotom zewnętrznym. 4

5 7.2 Dodatkowe dokumenty uzupełniające Dodatkowe dokumenty uzupełniające politykę bezpieczeństwa danych osobowych stanowią: 1. procedury dostępu do obszarów, w których są przetwarzane dane osobowe, w tym dostępu do tych obszarów podmiotów zewnętrznych, 2. procedury postępowania w sytuacjach awaryjnych dotyczących zbiorów danych 3. instrukcja postępowania w przypadku incydentu naruszenia bezpieczeństwa danych 4. procedura zgłaszania i akceptowania nowych zbiorów danych w tym równieŝ regulacje związane z rejestracją zbiorów danych osobowych Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO), 5. zasady i procedury postępowania z komputerami przenośnymi uŝywanymi do przetwarzania danych 6. zbywanie, serwisowanie i utylizowanie nośników informacji, 7. zasady wykorzystywania danych osobowych w badaniach naukowych, 8. zasady przyjmowania do przetwarzania powierzonych danych 9. zasady stosowania i wprowadzania do uŝytku urządzeń biometrycznych, 10. zasady monitorowania zabezpieczeń, 11. zasady prowadzenia wewnętrznych audytów bezpieczeństwa danych 12. zasady postępowania podczas zewnętrznych audytów bezpieczeństwa danych 13. zasady bezpieczeństwa dla zbiorów danych osobowych prowadzonych i przetwarzanych w sposób tradycyjny. 5