ZARZĄDZENIE Nr 10/14/15 Rektora Politechniki Śląskiej z dnia 26 listopada 2014 roku

Transkrypt

1 ZARZĄDZENIE Nr 10/14/15 Rektora Politechniki Śląskiej z dnia 26 listopada 2014 roku w sprawie wprowadzenia Polityki bezpieczeństwa na Politechnice Śląskiej Działając na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (j.t. Dz. U poz.572 z późn. zm.) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024), zarządza się co następuje: 1 Wprowadza się, jako element Systemu Zarządzania Bezpieczeństwem Zasobów na Politechnice Śląskiej Politykę bezpieczeństwa na Politechnice Śląskiej, stanowiącą Załącznik do niniejszego Zarządzenia. 2 Traci moc Zarządzenie Nr 67/08/09 Rektora Politechniki Śląskiej z dnia 18 maja 2009 roku w sprawie ochrony danych osobowych przetwarzanych w Politechnice Śląskiej. 3 Zarządzenie wchodzi w życie z dniem podpisania. Otrzymują: R,RD,RO,RW,RA,AK wszystkie jednostki i komórki organizacyjne Uczelni

2 Polityka bezpieczeństwa na Politechnice Śląskiej Załącznik do Zarządzenia Nr 10/14/15 1 Władze Politechniki Śląskiej świadome wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych, powierzających Uczelni swoje dane osobowe, do właściwej i skutecznej ochrony tych danych deklarują: a) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, b) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe na Politechnice Śląskiej w zakresie problematyki przetwarzania i bezpieczeństwa tych danych, c) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby, d) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. 2 Władze Politechniki Śląskiej świadome są zagrożeń związanych z przetwarzaniem przez Uczelnię danych osobowych na dużą skalę - w tym, w szczególności, zagrożeń wynikających z dynamicznego rozwoju metod i technik przetwarzania tych danych w systemach informatycznych oraz sieciach telekomunikacyjnych. Jednocześnie deklarują, że Politechnika Śląska będzie doskonaliła i rozwijała nowoczesne metody przetwarzania danych. 3 Ustanowienie i wprowadzenie polityki bezpieczeństwa na Politechnice Śląskiej ma na celu zabezpieczenie przetwarzanych danych osobowych, w tym danych przetwarzanych w uczelnianym systemie informatycznym i poza nim, poprzez wykonanie obowiązków wynikających z ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t. j. Dz. U. z 2014 r. poz. 1182) i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Szczególny nacisk w niniejszej polityce położono na zapewnienie wysokiego poziomu bezpieczeństwa danych przetwarzane w systemach informatycznych z dostępem do sieci teleinformatycznych. Niniejsza polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych na Politechnice Śląskiej na poziomach strategicznym, operacyjnym i projektów. 1

3 4 W niniejszym dokumencie zawarto część ogólną polityki bezpieczeństwa w zakresie ochrony danych osobowych. Część szczegółową polityki bezpieczeństwa w zakresie ochrony danych osobowych - o ograniczonym dostępie - stanowią dokumenty określające: a) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, b) wykaz zbiorów danych osobowych wraz ze wskazaniem w przypadku zbiorów obsługiwanych przez systemy informatyczne - programów zastosowanych do przetwarzania tych danych, c) struktury zbiorów danych wraz z opisem wskazującym zawartość poszczególnych pól informacyjnych i powiązania między nimi, d) sposób przepływu danych pomiędzy poszczególnymi systemami, e) środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 5 Politechnika Śląska jest administratorem danych osobowych w rozumieniu przepisów ustawy o ochronie danych osobowych. Rektor wykonuje czynności w sprawach z zakresu ochrony danych osobowych i podejmuje wszelkie działania konieczne do zapobiegania zagrożeniom związanym z przetwarzaniem danych osobowych, w tym szczególnie związanych z wystąpieniem sytuacji losowych, awarii systemów informatycznych, dostępem osób nieuprawnionych, złamaniem zabezpieczeń oraz naruszenia zasad i procedur związanych z przetwarzaniem danych osobowych. Przetwarzanie danych osobowych w Politechnice Śląskiej służy realizacji zadań wynikających ustawy z dnia 27 lipca 2005 roku Prawo o szkolnictwie wyższym Przez bezpieczeństwo informacji rozumie się zapewnienie: a) poufności informacji (uniemożliwienie dostępu do danych osobom trzecim), b) integralności informacji (uniknięcie nieautoryzowanych zmian w danych), c) dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika), d) rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał). 2. Politechnika Śląska i jej władze stosują adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji. 7 Użyte w polityce bezpieczeństwa informacji określenia oznaczają: 1. Administrator Danych Osobowych Politechnika Śląska reprezentowana przez Rektora decydującego o celach i środkach przetwarzania danych osobowych, w myśl art. 2 ustawy o ochronie danych osobowych, 2. Lokalny Administrator Danych Osobowych osoba w jednostce lub komórce organizacyjnej Uczelni, której przekazano - odpowiednio do zakresu realizowanych przez nią celów statutowych - obowiązki i uprawnienia administratora danych osobowych, 3. Administrator Bezpieczeństwa Informacji - osoba wyznaczona przez Administratora Danych Osobowych do nadzorowania i koordynowania zasad postępowania przy ochronie i przetwarzaniu danych osobowych, 2

4 4. Lokalny Administrator Bezpieczeństwa Informacji - osoba wyznaczona w jednostce lub komórce organizacyjnej Uczelni przez Lokalnego Administratora Danych Osobowych, odpowiedzialna za nadzorowanie i koordynowanie zasad postępowania przy przetwarzaniu danych osobowych w jednostce organizacyjnej Uczelni, w tym odpowiedzialna za wdrożenie i stosowanie zasad bezpieczeństwa informacji w zakresie technicznych zabezpieczeń systemu informatycznego, 5. dane osobowe każda informacja dotycząca osoby fizycznej, pozwalająca na określenie tożsamości tej osoby, 6. zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, utrwalony zarówno w formie elektronicznej jak i tradycyjnej (papierowej), dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 7. przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych, 8. usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 9. poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom, 10. integralność danych właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 11. rozliczalność właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 12. hasło ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi, 13. identyfikator ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 14. odbiorcy danych rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych, d) podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 15. uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 16. polityka bezpieczeństwa informacji - dokument opisujący założenia systemu bezpieczeństwa informacji przyjęte w Politechnice Śląskiej Rektor przekazuje obowiązki wynikające z ustawy o ochronie danych osobowych Lokalnym Administratorom Danych Osobowych, którymi są: 1) na poziomie strategicznym a) Prorektorzy w zakresie ochrony danych przetwarzanych w podległych im komórkach i jednostkach organizacyjnych, b) Kanclerz w zakresie ochrony danych przetwarzanych w podległych mu komórkach i jednostkach organizacyjnych, 2) na poziomie operacyjnym: 3

5 a) kierownicy jednostek podstawowych, w zakresie ochrony danych osobowych przetwarzanych w tych jednostkach, b) kierownicy ogólnouczelnianych, międzywydziałowych i pozawydziałowych jednostek organizacyjnych, 3) na poziomie projektów: a) dyrektor CZP, w zakresie ochrony danych osobowych przetwarzanych przy realizacji projektów. 2. Lokalny administrator danych osobowych jest zobowiązany dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, w szczególności, aby były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddane dalszemu przetworzeniu, c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą nie dłużej, niż jest to niezbędne do osiągnięcia celu przetworzenia. 3. Lokalny administrator danych osobowych zobowiązany jest do stworzenia właściwych warunków organizacyjno-technicznych, zapewniających ochronę danych osobowych w podległej jednostce organizacyjnej Ustanawia się Administratora Bezpieczeństwa Informacji w osobie Prorektora ds. Organizacji i Rozwoju. 2. Do zadań Administratora Bezpieczeństwa Informacji należy nadzorowanie i koordynowanie w Uczelni zasad postępowania przy przetwarzaniu danych osobowych, a w szczególności: a) zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w Uczelni, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, pozyskaniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, b) zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone oraz komu są przekazywane, c) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, d) wnioskowanie o usunięcie uchybień w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, e) prowadzenie ewidencji lokalnych administratorów bezpieczeństwa informacji, f) prowadzenie ewidencji zbiorów danych przetwarzanych w Uczelni, g) prowadzenie ewidencji miejsc przetwarzania danych osobowych i sposobu ich zabezpieczenia, h) prowadzenie ewidencji oprogramowania wykorzystywanego w przetwarzaniu danych osobowych, i) prowadzenie ewidencji wniosków o udostępnianie danych osobowych instytucjom i osobom spoza Uczelni, j) kontrola uzupełnienia zakresów czynności osób zatrudnionych przy przetwarzaniu danych o obowiązki wynikające z ustawy o ochronie danych osobowych, k) przekazywanie upoważnień/oświadczeń do przetwarzania danych osobowych do Działu Spraw Osobowych w celu włączenia ich do akt osobowych pracowników. 3. Administrator Bezpieczeństwa Informacji współpracuje z: 4

6 a) dyrektorem Centrum Komputerowego, w zakresie bezpieczeństwa systemów informatycznych przetwarzających dane osobowe z wykorzystaniem uczelnianej sieci komputerowej, b) Lokalnymi Administratorami Bezpieczeństwa Informacji w zakresie nadzorowania i koordynowania w Uczelni zasad postępowania przy przetwarzaniu danych osobowych. 4. Dyrektor Centrum Komputerowego wraz z Administratorem Bezpieczeństwa Informacji opracowują zasady: a) zapewniania awaryjnego zasilania komputerów i innych urządzeń mających wpływ na bezpieczeństwo przetwarzania informacji, b) korzystania z komputerów przenośnych, w których przetwarzane są dane osobowe, a w szczególności autoryzacji dostępu do zbiorów danych osobowych, c) nadzoru nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych i nośników na których znajdują się dane osobowe, d) nadawania identyfikatorów i zarządzania hasłami użytkowników oraz częstotliwości zmian haseł, które zawiera instrukcja określająca sposób zarządzania systemami informatycznymi służącymi przetwarzaniu danych osobowych, w tym zwłaszcza mechanizmów uwierzytelniania użytkowników w tych systemach, e) nadzoru nad sprawdzeniem systemów informatycznych pod katem obecności nieuprawnionego oprogramowania, wirusów oraz zabezpieczeń przed atakami z sieci, f) nadzoru nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących przetwarzaniu danych osobowych oraz innymi czynnościami wykonywanymi na zbiorach danych, g) nadzoru nad systemami komunikacyjnymi w sieci komputerowej oraz przesyłanymi danymi, h) nadzoru nad obiegiem i przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez systemy informatyczne, i) podejmowania działań zabezpieczających stan systemu informatycznego w przypadku naruszenia jego zabezpieczeń. 5. Lokalnych Administratorów Danych Osobowych zobowiązuje się do wyznaczenia Lokalnych Administratorów Bezpieczeństwa Informacji. Informacje o wyznaczeniu lub odwołaniu Lokalnych Administratorach Bezpieczeństwa Informacji należy przekazać Administratorowi Bezpieczeństwa Informacji w Uczelni. 6. Lokalny Administrator Bezpieczeństwa Informacji zobowiązany jest do: a) zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, b) kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, c) nadzoru nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrolą przebywających w nich osób, d) przekazywania pisemnych upoważnień osób, które mogą być dopuszczone do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład do Administratora Bezpieczeństwa Informacji, w celu ich zaewidencjonowania i włączenia ich do akt pracowniczych, e) bieżącego zgłaszania do prowadzonej przez Dział Spraw Osobowych ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych oraz zabezpieczaniu systemów informatycznych, f) określenia indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych w zakresie ochrony danych osobowych, g) zaznajomienia osób zatrudnionych przy przetwarzaniu danych osobowych z obowiązującymi przepisami, 5

7 h) wdrażania i przestrzegania instrukcji zarządzania systemami informatycznymi do przetwarzania danych osobowych, i) przestrzegania instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, j) przestrzegania obowiązujących ustaleń w zakresie udostępniania danych osobowych instytucjom i osobom spoza Uczelni, k) analizy sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych, l) współdziałania z administratorami sieci komputerowych w zakresie nadzorowania i kontroli funkcjonowania i dostępu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych Przetwarzanie danych osobowych pracowników, studentów i doktorantów oraz innych osób służy realizacji zadań wynikających z art. 13 ust. 1 ustawy Prawo o szkolnictwie wyższym. 2. Przetwarzanie danych osobowych może odbywać się zarówno w systemie informatycznym, jak i w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. 3. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne, obowiązują przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów służbowych. 4. Pracownicy Politechniki Śląskiej, studenci i doktoranci oraz inne osoby, których dane są przetwarzane w jednostkach lub komórkach organizacyjnych Uczelni, mają prawo do ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz do ich uaktualnienia lub poprawiania jak również do uzyskiwania wszystkich informacji o przysługujących im prawach. 5. Osoby zatrudnione w Uczelni przetwarzające dane osobowe każdego rodzaju, niezależnie od systemu przetwarzania: a) mogą przetwarzać dane osobowe wyłącznie w zakresie udzielonego upoważnienia przez Administratora Danych Osobowych i tylko w celu wykonywania nałożonych na nich obowiązków; zakres dostępu do danych przypisany jest do identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie; rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych, b) muszą zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania; przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia w Uczelni, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji, c) zapoznają się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, d) stosują określone przez Administratora Danych oraz Administratora Bezpieczeństwa Informacji procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych, e) korzystają z systemu informatycznego Administratora Danych Osobowych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników, f) zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym. 6

8 6. Indywidualny zakres czynności osoby zatrudnionej przy przetwarzaniu danych osobowych powinien określać także zakres odpowiedzialności za ochronę danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem - w stopniu odpowiednim do zadań. 7. Do przetwarzania danych osobowych i obsługi zbiorów informatycznych zawierających te dane mogą być dopuszczone wyłącznie osoby posiadające specjalne upoważnienie wydane przez Lokalnych Administratorów Danych Osobowych (Zał. Nr 1) oraz, które złożyły stosowne oświadczenie (Zał. Nr 2). W przypadku podmiotów zewnętrznych, którym powierzono obowiązki przetwarzania danych osobowych dopuszczenie następuje na podstawie zawartej umowy. 8. Upoważnienia mogą być wydawane bezterminowo lub na czas określony. 9. Lokalny Administrator Danych Osobowych jest zobowiązany do niezwłocznego przekazywania do Administratora Bezpieczeństwa Informacji wydanych upoważnień/oświadczeń osób dopuszczonych do przetwarzania danych osobowych i osób prowadzących obsługę informatyczną. 10. Dział Spraw Osobowych zobowiązuje się do: a) prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych (Zał. Nr 3), b) uzupełnienia akt osobowych pracowników zatrudnionych przy przetwarzaniu danych osobowych o oświadczenia potwierdzające zapoznanie się z przepisami obowiązującymi w tym zakresie. 11. Dział Spraw Osobowych w porozumieniu z Lokalnym Administratorem Bezpieczeństwa Informacji zobowiązany jest do uzupełnienia zakresu obowiązków pracowników Działu o odpowiedzialność za ochronę poufnych danych. 12. Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych stanowi załącznik nr 4 do Polityki bezpieczeństwa Infrastrukturę przetwarzania danych osobowych obejmują rejestry i kartoteki prowadzone poza systemem informatycznym w formie dokumentów oraz sprzęt, urządzenia i oprogramowanie służące do przetwarzania danych w systemach informatycznych. 2. Wykaz obszarów przetwarzania danych osobowych i sposobu ich zabezpieczenia oraz wykaz zbiorów danych osobowych oraz programów wykorzystywanych do ich przetwarzania sporządza Administrator Bezpieczeństwa Informacji (Zał. Nr 5, Zał. Nr 6). 3. Administrator Bezpieczeństwa Informacji prowadzi ewidencję Lokalnych Administratorów Danych Osobowych i Lokalnych Administratorów Bezpieczeństwa Informacji (Zał. Nr 7). 4. Programy komputerowe, wykorzystywane do przetwarzania danych osobowych, uruchamiane są na serwerach oraz komputerach osobistych, zlokalizowanych w: a) administracji centralnej, b) jednostkach podstawowych, c) jednostkach międzywydziałowych, ogólnouczelnianych i pozawydziałowych, d) Centrum Zarządzania Projektami, e) innych zgłoszonych i ujętych w ewidencji obszarach przetwarzania danych osobowych. 5. Zbiory danych, używane podczas przetwarzania danych osobowych, są zbiorami pojedynczymi lub zbiorami stanowiącymi część bazy danych. 6. Przepływ danych w zintegrowanym systemie opisują instrukcje obsługi systemów. 7. Przepływ danych pomiędzy zintegrowanymi systemami następuje albo za pomocą mechanizmów eksportu/importu danych, albo w drodze współdziałania systemów na 7

9 zasadzie użytkownik-serwer, kiedy to system użytkownik uzyskuje dane od systemu serwera automatycznie na życzenie Bezpieczeństwo osobowe zachowanie poufności: a) kandydaci na pracowników są dobierani z uwzględnieniem ich kompetencji merytorycznych, a także kwalifikacji moralnych; zwraca się uwagę na takie cechy kandydata, jak uczciwość, odpowiedzialność, przewidywalność zachowań, b) ryzyko utraty bezpieczeństwa danych przetwarzanych przez administratora danych pojawiające się ze strony osób trzecich, które mają dostęp do danych osobowych, jest minimalizowane przez podpisanie umów powierzenia przetwarzania danych osobowych, c) ryzyko ze strony osób, które potencjalnie mogą w łatwiejszy sposób uzyskać dostęp do danych osobowych, jest minimalizowane przez zobowiązywanie ich do zachowania tajemnicy na podstawie odrębnych, pisemnych oświadczeń. 2. Szkolenia w zakresie ochrony danych osobowych należy przeprowadzać z zachowaniem następujących zasad: a) szkoli się każdą osobę, która ma zostać upoważniona do przetwarzania danych osobowych, b) szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania danych osobowych przeprowadzane są w przypadku każdej zmiany zasad lub procedur ochrony danych osobowych, c) szkolenia dla osób innych, niż upoważnione do przetwarzania danych przeprowadza się, jeżeli pełnione przez nie funkcje wiążą się z zabezpieczeniem danych osobowych. 3. Tematyka szkoleń obejmuje: a) przepisy i procedury dotyczące ochrony danych osobowych, sporządzania i przechowywania ich kopii, niszczenia wydruków i zapisów na nośnikach, b) sposoby ochrony danych przed osobami postronnymi i procedury udostępniania danych osobom, których one dotyczą, c) obowiązki osób upoważnionych do przetwarzania danych osobowych i innych, d) odpowiedzialność za naruszenie obowiązków z zakresu ochrony danych osobowych, e) zasady i procedury określone w polityce bezpieczeństwa informacji. 4. W siedzibie Administratora Danych Osobowych wydzielono strefy bezpieczeństwa klasy I i klasy II: a) w strefach bezpieczeństwa klasy I dostęp do informacji zabezpieczony jest wewnętrznymi środkami kontroli. W skład tej strefy wchodzą pomieszczenia z serwerami, w których mogą przebywać wyłącznie pracownicy obsługujący serwery, inne osoby upoważnione do przetwarzania tylko w towarzystwie tych pracowników, a osoby postronne w ogóle nie mają dostępu, b) w strefach bezpieczeństwa klasy II do danych osobowych mają dostęp wszystkie osoby upoważnione do przetwarzania danych osobowych zgodnie z zakresami upoważnień do ich przetwarzania, a osoby postronne mogą w nich przebywać tylko w obecności pracownika upoważnionego do przetwarzania danych osobowych. Strefa ta obejmuje wszystkie pozostałe pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie administratora danych, c) klucze do lokali wchodzących w skład stref bezpieczeństwa klasy I i II przechowywane są na portierniach i pobierane przez upoważnione osoby za pokwitowaniem w książce wydanych kluczy; wykonywanie kopii kluczy do tych lokali jest niedozwolone. 8

10 5. Szczegółowe zasady wykorzystania i zabezpieczenia infrastruktury informatycznej w zakresie przetwarzania danych osobowych określi Rektor odrębnym zarządzeniem Udostępnianie danych osobowych w celach innych niż włączenie do zbioru, odbiorcom danych może nastąpić wyłącznie na pisemny, wniosek chyba, że przepis innej ustawy stanowi inaczej. 2. Udostępnianie instytucjom lub osobom spoza Uczelni danych osobowych może odbywać się odpowiednio, za pośrednictwem Działu Spraw Osobowych lub Działu Spraw Studenckich i Kształcenia, po uprzedniej zgodzie Administratora Bezpieczeństwa Informacji. 3. Udostępnianie danych osobowych funkcjonariuszom policji może nastąpić tylko po przedłożeniu wniosku o przekazanie lub udostępnienie informacji. Wniosek ten powinien mieć formę pisemną i zawierać: a) oznaczenie wnioskodawcy, b) wskazanie przepisów uprawniających do dostępu do informacji, c) określenie rodzaju i zakresu potrzebnych informacji oraz formy ich przekazania lub udostępnienia, d) wskazanie imienia, nazwiska i stopnia służbowego policjanta upoważnionego do pobrania informacji lub zapoznania się z ich treścią. 4. Udostępnianie danych osobowych na podstawie ustnego wniosku zawierającego wszystkie powyższe cztery elementy wniosku pisemnego może nastąpić tylko wtedy, gdy zachodzi konieczność niezwłocznego działania albo podczas wykonywania czynności mających na celu ratowanie życia i zdrowia ludzkiego lub mienia. 5. Osoba udostępniająca informacje dotyczące danych osobowych jest zobowiązana zażądać pokwitowania pobrania dokumentów lub potwierdzenia wglądu w ich treść. 6. Jeśli jednak pokwitowanie nie jest możliwe, osoba udostępniająca informację sporządza na te okoliczność notatkę służbową. 7. Zgodnie z art. 27 i 28 ustawy o ochronie danych osobowych właściwe służby, w celu wykonywania czynności operacyjno-rozpoznawczych, mogą przetwarzać i korzystać z danych osobowych i innych informacji użytkowych, bez wiedzy i zgody osoby, której te dane dotyczą. 8. Administrator Danych Osobowych udostępnia informacje dotyczące osoby na żądanie służb, po okazaniu imiennego upoważnienia wraz z legitymacją służbową Niezastosowanie się do prowadzonej przez Administratora Danych Osobowych polityki bezpieczeństwa informacji, której założenia określa niniejszy dokument i naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie przepisów Kodeksu Pracy. 2. Niezależnie od rozwiązania stosunku pracy osoby nieprzestrzegające przepisów w zakresie ochrony danych osobowych podlegają odpowiedzialności karnej na podstawie przepisów rozdziału 8 ustawy o ochronie danych osobowych Zobowiązuje się Administratora Bezpieczeństwa Informacji do corocznych przeglądów polityki bezpieczeństwa informacji oraz jej aktualizowania stosownie do potrzeb. 9

11 2. W razie istotnych zmian dotyczących przetwarzania danych osobowych administrator bezpieczeństwa informacji może zarządzić przegląd polityki bezpieczeństwa stosownie do potrzeb. 3. Administrator Bezpieczeństwa Informacji analizuje, czy polityka bezpieczeństwa i pozostała dokumentacja z zakresu ochrony danych osobowych odpowiadają przeprowadzonym zmianom: a) w systemie informatycznym, b) organizacji administratora danych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych, c) w obowiązującym prawie. 4. Administrator Bezpieczeństwa Informacji może w porozumieniu z Administratorem Danych Osobowych przeprowadzić wewnętrzny audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych. 5. Przeprowadzenie audytu wymaga uzgodnienia jego zakresu z osobami objętymi audytem. 6. Zakres, przebieg i rezultaty audytu dokumentowane są na piśmie w protokole podpisywanym zarówno przez administratora bezpieczeństwa informacji, jak i administratora danych. 7. Rektor może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowaną instytucję. 16 Osoba upoważniona do przetwarzania danych osobowych potwierdza stosownym oświadczeniem stanowiącym Załącznik Nr 2 do Polityki bezpieczeństwa, znajomość przepisów dotyczących ochrony danych osobowych. 10

12 Zał. Nr 1 do Polityki bezpieczeństwa.. Jednostka/komórka organizacyjna. (miejscowość, data) UPOWAŻNIENIE NR.. *) DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Zgodnie z 7 pkt 7 Polityki bezpieczeństwa na Politechnice Śląskiej upoważniam Pana/ią... (imię i nazwisko) do przetwarzania danych osobowych oraz obsługi systemu informatycznego i urządzeń wchodzących w jego skład na potrzeby realizowanych zadań w zakresie (rodzaj obowiązków).. znajdujących się w: (nazwa komórki organizacyjnej/ adres, numer pokoju).. 2. Upoważnienie wydano na czas od.do.. / bezterminowo **)... Podpis Lokalnego Administratora Danych Osobowych *) numer nadaje Dział Spraw Osobowych **) niepotrzebne skreślić 11

13 Zał. Nr 2 do Polityki bezpieczeństwa. (miejscowość, data).. Jednostka/komórka organizacyjna OŚWIADCZNIE OSOBY PRZETWARZAJĄCEJ DANE OSOBOWE Oświadczam, że: 1. Zapoznałem/am się z obowiązującymi uregulowaniami w zakresie ochrony danych osobowych i znana mi jest treść przepisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182) oraz obowiązującą na Politechnice Śląskiej Polityką bezpieczeństwa 2. Zobowiązuję się do: 1) zachowania w tajemnicy danych osobowych, do przetwarzania który zostałem upoważniony/a w ramach wykonywanych obowiązków służbowych, zarówno w czasie trwania stosunku pracy jak i po jego ustaniu, 2) ochrony danych osobowych przed dostępem do nich osób nieupoważnionych, 3) zabezpieczenia danych osobowych przed zniszczeniem i nielegalnym ujawnieniem. 3. Przyjmuję do wiadomości, że za naruszenie ww. regulacji grozi odpowiedzialność karna przewidziana w art a ustawy Data i podpis pracownika Oświadczenie przyjąłem/am.. Data i podpis Lokalnego Administratora Danych Osobowych 12

14 Zał. 3 do Polityki bezpieczeństwa EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Lp. Nazwisko i imię Nr upoważnienia Jednostka Czas obowiązywania upoważnienia Zakres przetwarzania danych (system informatyczny, inny/jaki) Identyfikator*.. Data i podpis osoby sporządzającej wykaz *dla użytkownika systemu informatycznego 13

15 Zał. 5 do Polityki bezpieczeństwa EWIDENCJA OBSZARÓW ( BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ) PRZETWARZANIA DANYCH OSOBOWYCH I SPOSOBU ICH ZABEZPIECZENIA Lp. Charakterystyka miejsca przetwarzania Jednostka organizacyjna Adres Nr pokoju Przetwarzane zbiory danych Charakterystyka sposobu zabezpieczania.. Data i podpis Administratora Bezpieczeństwa Informacji 14

16 Zał. 6 do Polityki bezpieczeństwa WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW WYKORZYSTYWANYCH DO PRZETWARZANIA DANYCH Lp. Przetwarzane zbiory danych Opis zbioru danych Nazwa programu do przetwarzania zbioru Producent Sposoby zabezpieczenia dostępu.. Data i podpis Administratora Bezpieczeństwa Informacji 15

17 Zał. 7 do Polityki bezpieczeństwa EWIDENCJA LOKALNYCH ADMINISTRATORÓW DANYCH OSOBOWYCH I LOKALNYCH ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI Lp. Nazwisko i imię Jednostka Funkcja (LADO/LABI) Podstawa powołania Czas obowiązywania upoważnienia.. Data i podpis Administratora Bezpieczeństwa Informacji 16

18 Zał. Nr 4 do Polityki bezpieczeństwa Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych na Politechnice Śląskiej 1. Instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych, stosuje się w sytuacji: 1) stwierdzenia naruszenia wdrożonych zabezpieczeń danych osobowych, 2) stwierdzenia naruszenia zabezpieczeń w odniesieniu do elementów systemu przetwarzania danych osobowych, 3) udostępnienia nieupoważnionym instytucjom lub osobom danych osobowych podlegających ochronie. 2. Instrukcja ma również zastosowanie do wszelkich innych sytuacji naruszenia prawa dotyczącego danych osobowych. 3. Każdy pracownik Politechniki Śląskiej, a w szczególności osoba zatrudniona przy przetwarzaniu danych osobowych jest obowiązana niezwłocznie powiadomić o zaistniałym przypadku naruszenia ochrony danych osobowych Lokalnego Administratora Bezpieczeństwa Informacji. 4. Lokalny Administrator Bezpieczeństwa Informacji obowiązany jest: 1) zawiadomić Lokalnego Administratora Ochrony Danych Osobowych w przypadku naruszenia ochrony danych, 2) zarejestrować fakt naruszenia ochrony danych osobowych podając miejsce, datę oraz przypuszczalny zakres ich naruszenia, 3) w miarę możliwości ustalić osobę odpowiedzialną za zaistniałą sytuację, 4) przeanalizować istniejący sposób zabezpieczenia i przedsięwziąć działania eliminujące w przyszłości podobne sytuacje, 5) podjąć w miarę możliwości działania zmierzające do usunięcia ewentualnych skutków naruszenia ochrony danych. 5. W razie stwierdzenia udostępnienia danych osobowych instytucjom zewnętrznym lub osobom fizycznym w sposób niezgodny z zapisem Polityki Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych, Lokalny Administrator Danych Osobowych niezwłocznie zawiadamia o tym Administratora Bezpieczeństwa Informacji. W sytuacjach, o których mowa w ust. 4 Administrator Bezpieczeństwa informacji występuje pisemnie do instytucji lub osoby fizycznej o zwrot lub usunięcie danych osobowych, w posiadanie których weszła niezgodnie z prawem. 17