ZARZĄDZENIE Nr 7. z dnia 30 lipca 2014 r.

Transkrypt

1 ZARZĄDZENIE Nr 7 PREZESA PAŃSTWOWEJ AGENCJI ATOMISTYKI z dnia 30 lipca 2014 r. w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych, Instrukcji zarządzania systemem informatycznym i Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki oraz w sprawie wyznaczenia osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki Na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm. 1 ) oraz 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zarządza się co następuje: 1. Wprowadza się w Państwowej Agencji Atomistyki, zwanej dalej Agencją, Politykę bezpieczeństwa danych osobowych, stanowiącą załącznik nr 1 do zarządzenia. 2. Wprowadza się w Agencji Instrukcję zarządzania system informatycznym, stanowiącą załącznik nr 2 do zarządzenia. 3. W Agencji obowiązuje Instrukcja przetwarzania danych osobowych wydana w formie procedury Gabinetu Prezesa Państwowej Agencji Atomistyki Nadzór nad przestrzeganiem zasad ochrony danych osobowych w Agencji wykonuje Administrator Bezpieczeństwa Informacji. 2. Administratora Bezpieczeństwa Informacji wyznacza Prezes Państwowej Agencji Atomistyki zwany dalej Prezesem Agencji zgodnie z wzorem stanowiącym załącznik nr 3 do zarządzenia Ustanawia się Administratora Systemu Informatycznego oraz Administratora Kopii Bezpieczeństwa. 2. Administratora Systemu Informatycznego oraz Administratora Kopii Bezpieczeństwa wyznacza Prezes Agencji zgodnie z wzorem stanowiącym załącznik nr 4 do zarządzenia. 3. Funkcje Administratora Systemu Informatycznego oraz Administratora Kopii Bezpieczeństwa może pełnić ta sama osoba Opiekunem zbioru lub podzbioru danych osobowych jest dyrektor departamentu, w którym zbiór lub podzbiór jest lub będzie przetwarzany. 2. W przypadku zbiorów lub podzbiorów danych osobowych przetwarzanych w więcej niż jednym departamencie lub przez pracowników samodzielnych opiekunem zbioru jest pracownik wskazany przez Prezesa Agencji, a w przypadku braku wskazania - Dyrektor Generalny Agencji. 1 Zmiany niniejszej ustawy zostały ogłoszone w Dz. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219, Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170, Nr 176, poz. 1238, z 2010 r. Nr 41, poz. 233, Nr 182, poz. 1228, Nr 229, poz. 1497, z 2011 r. Nr 230, poz Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

2 3. W przypadku wyznaczenia opiekuna zbioru lub podzbioru zgodnie z ust. 2, Prezes Agencji informuje wyznaczoną osobę na piśmie o fakcie wyznaczenia. 4. Ewidencję opiekunów zbioru i podzbiorów prowadzi Administrator Bezpieczeństwa Informacji a w przypadku gdy nie został wyznaczony - Gabinet Prezesa Agencji. 7. Traci moc zarządzenie nr 2 Prezesa Państwowej Agencji Atomistyki z dnia 8 maja 2008 r. w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych, Instrukcji przetwarzania danych osobowych i Instrukcji zarządzania systemem informatycznym w Państwowej Agencji Atomistyki oraz w sprawie wyznaczenia osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki. 8. Zarządzenie wchodzi w życie z dniem ogłoszenia. w zastępstwie Prezesa Państwowej Agencji Atomistyki WICEPREZES PAŃSTWOWEJ AGENCJI ATOMISTYKI Maciej Jurkowski Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 2

3 Załącznik nr 1 do zarządzenia nr 7 nr 7 Prezesa Państwowej Agencji Atomistyki z dnia 30 lipca 2014 r. POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W PAŃSTWOWEJ AGEN- CJI ATOMISTYKI Spis treści 1. DEFINICJE 2. CEL 3. ZAKRES STOSOWANIA 4. PRZETWARZANIE DANYCH OSOBOWYCH 5. ODPOWIEDZIALNOŚĆ 6. WYKAZ ZBIORÓW DANYCH OSOBOWYCH 7. SYSTEM ZABEZPIECZEŃ DANYCH OSOBOWYCH 8. KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA 9. PRZEGLĄDY I AKTUALIZACJE POLITYKI 10. DOKUMENTY POWIĄZANE I ZAŁĄCZNIKI Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 3

4 Oświadczenie Kierownictwa Kierownictwo Państwowej Agencji Atomistyki świadome wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych do właściwej i skutecznej ochrony danych przetwarzanych w Państwowej Agencji Atomistyki w związku z wykonywaniem ustawowych obowiązków zapewnienia bezpieczeństwa jądrowego i ochrony radiologicznej, deklaruje: 1. Zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych. 2. Zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Państwowej Agencji Atomistyki w zakresie problematyki bezpieczeństwa tych danych. 3. Zamiar traktowania obowiązków osób przetwarzających dane osobowe jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonywania. 4. Zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. Kierownictwo Państwowej Agencji Atomistyki świadome jest zagrożeń związanych z przetwarzaniem w PAA danych osobowych w tym w szczególności danych wrażliwych dotyczących zdrowia. Kierownictwo Państwowej Agencji Atomistyki będzie stale doskonalić i rozwijać organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie, tak, aby skutecznie zapobiegać zagrożeniom: - związanym z infekcjami wirusów i koni trojańskich, które instalując się na komputerze mogą wykradać stacjonarne oraz sieciowe zasoby tego komputera, - związanym z dostępem do stron internetowych, na których zainstalowane są skrypty pozwalające wykradać zasoby komputera, - związanym z ogólnie dostępnymi komunikatorami internetowymi, w których występują luki, przez które można uzyskać dostęp do komputera, - związanym z używaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza Państwową Agencję Atomistyki, - związanym z możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki, - związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane, - związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich należytego zabezpieczenia, - związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy, - związanym z atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery), Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 4

5 - związanym z działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści, - związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone, - związanym z przekazywaniem sprzętu z danymi do serwisu, - związanym z podszywaniem się przez osoby nieuprawnione pod witrynę internetową, która zbiera dane, i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem techniki metod przetwarzania danych. 1. Definicje Administrator Danych Osobowych Prezes Państwowej Agencji Atomistyki, który wykonuje swoje czynności poprzez Państwową Agencję Atomistyki ( PAA ), z siedzibą w Warszawie, przy ul. Kruczej 36. Administrator Bezpieczeństwa Informacji osoba nadzorująca przestrzeganie zasad bezpieczeństwa danych osobowych, wyznaczona przez Administratora Danych Osobowych. Administrator Systemów Informatycznych - osoba odpowiedzialna za wdrożenie i stosowanie zasad bezpieczeństwa systemów informatycznych, zobowiązana do stosowania technicznych i organizacyjnych środków ochrony przewidzianych w systemach informatycznych, wyznaczona przez Administratora Danych Osobowych. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zbiór danych osobowych posiadający strukturę zestaw danych o charakterze osobowym. 2. Cel 1. Celem niniejszej polityki jest określenie kierunków działań dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych przez Administratora Danych Osobowych. Przez bezpieczeństwo przetwarzania danych należy rozumieć: - poufność zapewnienie, że dane są dostępne jedynie osobom upoważnionym, - integralność zapewnienie dokładności i kompletności danych oraz metod przetwarzania, - dostępność zapewnienie, że osoby upoważnione mają dostęp do danych i związanych z nimi aktywów wtedy, gdy jest to potrzebne, - rozliczalność zapewnienie, że działania osób można jednoznacznie przypisać tym osobom. 2. Dane osobowe w PAA przetwarzane są dla zabezpieczania prawidłowej realizacji zadań, w szczególności: Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 5

6 - wynikających z ustawy z dnia 29 listopada 2000 roku - Prawo atomowe (Dz. U. z 2012 r. poz. 264 z późn. zm.) oraz wydanych na jej podstawie rozporządzeń, - w celu zapewnienia prawidłowej, zgodnej z prawem i celami PAA polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków cywilnoprawnych nawiązywanych przez PAA, działającą jako pracodawca w rozumieniu art. 3 kodeksu pracy lub strona innych stosunków cywilnoprawnych, - dla realizacji innych usprawiedliwionych celów i zadań PAA - z poszanowaniem praw i wolności osób powierzających PAA swoje dane. 3. PAA, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: - przetwarzane zgodnie z prawem, - zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, - merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, - przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 4. Administrator Danych Osobowych zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnej i zgodnej z przepisami prawa realizacji zadań określonych w ustawie - Prawo atomowe i innych aktach prawnych, a także zapewnienia współdziałania z jednostkami administracji publicznej i innymi podmiotami. System bezpieczeństwa przetwarzania danych osobowych jest określony przez: - Politykę bezpieczeństwa danych osobowych w Państwowej Agencji Atomistyki, - Instrukcję zarządzania systemem informatycznym w Państwowej Agencji Atomistyki, - Instrukcję przetwarzania danych osobowych w Państwowej Agencji Atomistyki. 3. Zakres stosowania Zakres stosowania niniejszego dokumentu obejmuje wszystkie dane osobowe przetwarzane w PAA, zarówno w formie elektronicznej, jak i tradycyjnej (papierowej). Polityka obejmuje wszystkie osoby przetwarzające dane osobowe w PAA. 4. Przetwarzanie danych osobowych 1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dopuszcza się do ich przetwarzania w systemie informatycznym lub tradycyjnym wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych lub inną upoważnioną do tego osobę. 2. Zakres upoważnienia może wynikać w szczególności: a. z charakteru pracy, Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 6

7 b. z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy lub c. z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych. 3. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia Administratora Danych Osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii. 4. Polityka bezpieczeństwa w zakresie ochrony danych osobowych zapewnia kontrolę nad dostępem do tych danych. Kontrola ta w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych. 5. Osoby nie przetwarzające danych osobowych określonej kategorii w związku z zatrudnieniem, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych, mogą mieć do nich wgląd wyłącznie w obecności upoważnionego pracownika PAA. 6. PAA, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, zapewnia zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także środkami ochrony tych danych stosowanymi w PAA. 7. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także środkami ochrony tych danych stosowanymi w PAA może odbywać się w szczególności poprzez: a. instruktaż na stanowisku pracy, b. szkolenie wewnętrzne realizowane przez PAA, c. szkolenie zewnętrzne. 8. Osoby upoważnione przez Administratora Danych Osobowych do przetwarzania danych osobowych zostają zaznajomione o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych w PAA. 5. Odpowiedzialność 1. Administrator Danych Osobowych odpowiada za zabezpieczenie danych osobowych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, utratą, uszkodzeniem, zniszczeniem lub nieautoryzowaną zmianą. 2. W imieniu Administratora Danych Osobowych nadzór nad przestrzeganiem zasad ochrony danych osobowych sprawuje Administrator Bezpieczeństwa Informacji, który powoływany jest przez Prezesa PAA. 3. Administrator Bezpieczeństwa Informacji jest zobowiązany do: a. prowadzenia i aktualizacji ewidencji wydanych upoważnień do przetwarzania danych, b. nadzorowania fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w szczególności systemu kontroli dostępu oraz kontroli przebywających w nich osób pod kątem posiadania upoważnienia do przetwarzania danych osobowych, Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 7

8 c. nadzorowania przestrzegania zasad określonych w polityce i instrukcjach dotyczących bezpieczeństwa danych osobowych, d. nadzorowania obiegu oraz przechowywania dokumentów zawierających dane osobowe, w tym generowanych przez systemy informatyczne, e. analizy sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych (jeśli takie wystąpiło) oraz przygotowania i przedstawienia Administratorowi Danych propozycji zmian, które pozwolą uniknąć podobnych sytuacji w przyszłości, f. szkolenia pracowników z zakresu bezpieczeństwa przetwarzania danych osobowych, g. nadzorowania wycofania uprawnień dostępu do systemów informatycznych w przypadku odebrania pracownikowi upoważnienia do przetwarzania danych osobowych. 4. W celu realizacji powierzonych zadań Administrator Bezpieczeństwa Informacji ma prawo: a. kontrolować wraz z Administratorem Systemów Informatycznych komórki organizacyjne w zakresie właściwego zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe oraz zabezpieczenia systemów informatycznych, b. wydawać polecenia kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych, c. informować Administratora Danych Osobowych o przypadkach naruszenia bezpieczeństwa danych osobowych, d. żądać od wszystkich pracowników wyjaśnień w sytuacjach podejrzenia naruszenia bezpieczeństwa danych osobowych. 5. Za techniczne aspekty funkcjonowania systemów informatycznych odpowiedzialny jest Administrator Systemów Informatycznych. 6. Administrator Systemów Informatycznych obowiązany jest do: a. nadzorowania przeglądów, konserwacji, uaktualnień oraz wszystkich innych czynności wykonywanych w systemie informatycznym, b. nadzorowania systemu komunikacji w sieci komputerowej oraz przesyłania danych przy użyciu urządzeń teletransmisyjnych, c. nadzorowania funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym oraz kontroli dostępu do danych osobowych, d. podjęcia działań zabezpieczających system informatyczny w przypadku: - wykrycia naruszenia zabezpieczeń systemu, - otrzymania informacji o naruszeniu bezpieczeństwa systemu, - otrzymania informacji o zmianach w sposobie działania programów lub urządzeń wskazujących na naruszenie bezpieczeństwa danych osobowych, e. udzielania pomocy opiekunom zbiorów i Administratorowi Bezpieczeństwa Informacji w sprawach związanych z działaniem systemów informatycznych. 7. Opiekun zbioru obowiązany jest do: a. współdziałania z Administratorem Bezpieczeństwa Informacji w zakresie przestrzegania zasad ochrony danych osobowych, b. informowania Administratora Bezpieczeństwa Informacji o zmianie celu przetwarzania danych osobowych w systemie lub poszerzeniu zakresu zbieranych danych osobowych, Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 8

9 8. Bezpośredni przełożony obowiązany jest do: a. niezwłocznego wystąpienia do Administratora Danych Osobowych o przydzielenie uprawnień oraz wydanie upoważnienia do przetwarzania danych osobowych dla podległych mu pracowników, na formularzu, którego wzór stanowi załącznik nr 1 Polityki bezpieczeństwa, b. niezwłocznego wystąpienia do Administratora Systemów Informatycznych o odebranie lub modyfikację uprawnień dostępu do systemu informatycznego pracownikowi upoważnionemu do przetwarzania za jego pomocą danych osobowych, na formularzu, którego wzór stanowi załącznik nr 1 Polityki bezpieczeństwa w przypadku utraty przez pracownika upoważnienia w sytuacji: ustania stosunku pracy, zmiany stanowiska, komórki organizacyjnej, oddelegowania i innych. 9. Opiekunowie zbiorów mają obowiązek poinformowania Administratora Danych Osobowych, za pośrednictwem Administratora Bezpieczeństwa Informacji, o zamiarze utworzenia, likwidacji, modyfikacji struktury zbioru lub zmiany lokalizacji zbioru. Informację przekazuje się na formularzu Informacja o zbiorze danych osobowych, którego wzór stanowi załącznik nr 2 do Polityki bezpieczeństwa. 10. Każdy pracownik przetwarzający dane osobowe posiada upoważnienie do przetwarzania danych osobowych zawierające: - imię i nazwisko, - stanowisko, pełną nazwę komórki organizacyjnej, - datę nadania i okres jego obowiązywania, - zakres danych, które osoba może przetwarzać (zbiory danych), - cel przetwarzania danych osobowych, - identyfikator użytkownika (dotyczy wyłącznie zbiorów danych prowadzonych w formie elektronicznej). Wzór upoważnienia stanowi załącznik nr 3 do Polityki bezpieczeństwa. 11. Każdy pracownik przetwarzający dane osobowe zobowiązany jest zapewnić ich należytą ochronę, a w szczególności przestrzegać zasad opisanych w Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki oraz w Instrukcji zarządzania system informatycznym w Państwowej Agencji Atomistyki. 6. Wykaz zbiorów danych osobowych Wykaz zbiorów danych osobowych wraz z opisem obszaru przetwarzania i struktury zbiorów danych zgodnie ze wzorem określonym w załączniku nr 4 do Polityki bezpieczeństwa, prowadzi Administrator Bezpieczeństwa Informacji, a w przypadku gdy Administrator Bezpieczeństwa Informacji nie został wyznaczony Gabinet Prezesa PAA. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 9

10 7. System zabezpieczeń danych osobowych Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, dostępności i rozliczalności przetwarzanych danych. 1. Ochrona danych osobowych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem. 2. W celu ochrony danych przetwarzanych w systemie informatycznym należy wykorzystywać wchodzące w jego skład mechanizmy zarówno sprzętowe, jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych. 3. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, wiąże się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych. 4. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, wiąże się z zastosowaniem dostępnych środków zabezpieczających przetwarzane dane osobowe. W szczególności w razie, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym, uniemożliwiającym dostęp do danych osobowych osobom niepowołanym. 5. Budynki, w których przetwarzane są zbiory danych osobowych są nadzorowane przez pracowników ochrony przez całą dobę. 6. Procedurę zarządzania uprawnieniami do systemów informatycznych reguluje Instrukcja zarządzania systemem informatycznym w Państwowej Agencji Atomistyki. 7. Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady: - kontrola dostępu do zbiorów danych osobowych, - indywidualne identyfikatory użytkowników (pracowników przetwarzających dane osobowe), - uwierzytelnianie użytkowników (potwierdzanie ich tożsamości). 8. W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem: - dla zbiorów danych osobowych wdrożono polityki tworzenia kopii zapasowych, - urządzenia informatyczne mające wpływ na integralność danych osobowych wyposażono w awaryjne zasilanie, - wdrożono oprogramowanie antywirusowe, - dostęp do systemów informatycznych z sieci publicznej jest kontrolowany za pomocą zapory sieciowej, - dostęp z sieci zewnętrznej w celu przetwarzania danych osobowych jest nadzorowany przez Administratora Systemów Informatycznych, - zastosowano środki fizyczne chroniące urządzenia przed dostępem osób nieupoważnionych oraz zagrożeniami ze strony sił natury. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 10

11 9. Administrator Systemów Informatycznych nadzoruje nośniki danych osobowych podczas użytkowania ich na terenie Agencji oraz przy udostępnianiu ich innym podmiotom. 10. Udostępnienie danych osobowych wymaga uzyskania zgody Administratora Bezpieczeństwa Informacji. 11. Nowo przyjmowani pracownicy, którzy w ramach swoich obowiązków będą przetwarzali dane osobowe, zapoznają się z przepisami z zakresu ochrony danych osobowych oraz uregulowaniami wewnętrznymi PAA. 12. Pracownicy PAA są szkoleni z zakresu ochrony danych osobowych. Szkolenie obejmuje w szczególności treść ustawy o ochronie danych osobowych oraz zakres wewnętrznych uregulowań. 8. Konsekwencje naruszenia Polityki bezpieczeństwa 1. Naruszanie przez zatrudnione w ramach stosunku pracy osoby upoważnione do dostępu lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania może zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. 2. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia pomieszczenia oraz znajdujących się w nim zbiorów danych jest niedopuszczalne i może zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych. 9. Przeglądy i aktualizacje Polityki bezpieczeństwa 1. System bezpieczeństwa danych osobowych podlega corocznemu przeglądowi pod kątem aktualności i stosowalności. Przeglądu dokonuje zespół powołany przez Prezesa PAA. W skład zespołu wchodzą Administrator Bezpieczeństwa Informacji oraz Administrator Systemów Informatycznych. 2. Polityka bezpieczeństwa podlega aktualizacji każdorazowo w przypadku: a. likwidacji, utworzenia lub zmiany zawartości zbioru, b. zmiany lokalizacji zbioru, c. zmiany przepisów prawa dotyczących ochrony danych osobowych, wymagającej aktualizacji Polityki bezpieczeństwa, d. innych znaczących zmian w funkcjonowaniu PAA, dotyczących danych osobowych. 3. Projekt aktualizacji polityki przygotowuje Administrator Bezpieczeństwa Informacji. 10. Dokumenty powiązane i załączniki - Instrukcja zarządzania systemem informatycznym w Państwowej Agencji Atomistyki, - Instrukcja przetwarzania danych osobowych w Państwowej Agencji Atomistyki. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 11

12 Wykaz przywołanych załączników: 1. Wzór wniosku o nadanie upoważnienia do przetwarzania danych osobowych. 2. Wzór informacji o zbiorze danych osobowych. 3. Wzór upoważnienia do przetwarzania danych osobowych. 4. Opis zbiorów danych osobowych. Podstawa prawna: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U r. Nr 100, poz. 1024). Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 12

13 Załącznik nr 1 do Polityki bezpieczeństwa danych osobowych w Państwowej Agencji Atomistyki WZÓR WNIOSEK O NADANIE UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ O NADANIE, MODYFIKACJĘ LUB ODEBRANIE UPRAWNIEŃ DLA UŻYTKOWNIKA W SYSTEMIE INFORMATYCZNYM PAA UŻYTKOWNIK Imię i nazwisko:... Pełna nazwa komórki organizacyjnej:... Stanowisko:... Nr pokoju:... Telefon wew.:... Cel przetwarzania danych:... Nowy użytkownik Modyfikacja uprawnień Data wniosku :... Odebranie uprawnień w systemie Termin upływu ważności uprawnień : nieokreślony / określony* :... *Niepotrzebne skreślić PRAWA DOSTĘPU DO ZASOBÓW ZBIÓR PODZBIÓR 1 FORMA: ELEKTRONICZNA (E) PAPIEROWA (P) NAZWA APLIKACJI LUB SYSTEMU W PRZYPADKU ZBIORU W FORMIE ELEKTRONICZNEJ ZAKRES UPOWAŻNIENIA OPIEKUN ZBIORU 2 / OSOBA ODPOWIEDZIALNA ZGODA/PODPIS 3... data / podpis bezpośrednio przełożonego lub osoby występującej z wnioskiem 1 Należy wskazać tylko zbiory lub podzbiory wg wykazu stanowiącego zał. nr 3 do Polityki bezpieczeństwa danych osobowych, do których przetwarzania powinna być uprawniona osoba wskazana we wniosku. 2 Opiekunem zbioru jest zawsze dyrektor departamentu, w którym dany zbiór jest przetwarzany. Jeżeli zbiór jest przetwarzany przez więcej niż jeden departament lub pracowników samodzielnych opiekunem zbioru jest osoba wyznaczona przez Prezesa PAA, a w przypadku braku takiego wskazania Dyrektor Generalny. 3 Podpisać może wyłącznie osoba wymieniona w kolumnie Osoba odpowiedzialna. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

14 Załącznik nr 2 do Polityki bezpieczeństwa danych osobowych w Państwowej Agencji Atomistyki WZÓR INFORMACJA O ZBIORZE DANYCH OSOBOWYCH Wnioskuję o odnotowanie informacji o następującym zbiorze danych osobowych: Rodzaj operacji: utworzenie modyfikacja likwidacja* 1. Nazwa zbioru/podzbioru danych osobowych: Pełna nazwa komórki organizacyjnej: Forma: elektroniczna/papierowa* 4. Lokalizacja zbioru (oznaczenie budynku/numery pomieszczeń)... / Aplikacja informatyczna przetwarzająca zbiór danych (opcjonalnie): Nazwa komputera przetwarzającego zbiór danych (opcjonalnie): Cel tworzenia zbioru: Osoba przetwarzająca dane w zbiorze: Zakres zbieranych danych osobowych przechowywanych w zbiorze (np. imię, nazwisko, data urodzenia, itp.) - proszę nie wpisywać treści danych / zakres modyfikacji:* Zgodne/niezgodne z ustawą* (data, czytelny podpis Opiekuna Zbioru) Nie akceptuję/akceptuję* (opinia o zgodności z ustawą, data, pieczęć oraz podpis Administratora Bezpieczeństwa Informacji) * Niepotrzebne skreślić... (data, pieczęć oraz podpis Administratora Danych) Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

15 Załącznik nr 3 do Polityki bezpieczeństwa danych osobowych w Państwowej Agencji Atomistyki WZÓR UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Imię: Nazwisko: Stanowisko: Pełna nazwa komórki organizacyjnej: Okres obowiązywania upoważnienia Cel przetwarzania danych osobowych... Lp. Zbiór/Podzbiór danych Forma 1 Dostęp do systemu/aplikacji Identyfikator użytkownika 2 Zakres upoważnienia 1 zapis elektroniczny (E) lub tradycyjny, papierowy (T) 2 Nazwa systemu informatycznego operującego na zbiorze danych oraz identyfikator użytkownika w tym systemie Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

16 Załącznik nr 4 do Polityki bezpieczeństwa danych osobowych w Państwowej Agencji Atomistyki WZÓR OPIS ZBIORÓW DANYCH OSOBOWYCH L.p. Zbiór Podzbiór Forma: Elektron iczna (E) lub papiero wa (P) Pomieszcze nia, w których możliwy jest dostęp do systemów informatyc znych Miejsce przechowywania dokumentów Zakres danych Systemy informatyczne - aplikacje Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

17 Załącznik nr 2 do zarządzenia nr 7 nr 7 Prezesa Państwowej Agencji Atomistyki z dnia 30 lipca 2014 r. Instrukcja zarządzania systemem informatycznym w Państwowej Agencji Atomistyki Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Państwowej Agencji Atomistyki, zwanej dalej "PAA", określa: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4; 6) sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024); 8) procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych; 9) podstawowe zasady dotyczące funkcjonowania i bezpieczeństwa sieci komputerowej PAA. 2. Szczegółowy opis postępowania oraz stosowania wymagań, o których mowa w ust. 1 pkt 1-8 dla systemu informatycznego służącego do przetwarzania danych osobowych w PAA określa procedura Biura Dyrektora Generalnego. Procedura jest dostępna na wewnętrznym portalu intranetowym PAA Do przetwarzania danych osobowych w systemie informatycznym dopuszczone są wyłącznie osoby przeszkolone w zakresie zasad przetwarzania danych osobowych i obsługi systemu informatycznego oraz posiadające upoważnienie do przetwarzania danych osobowych. 2. Wzór upoważnienia, o którym mowa w ust. 1, określa załącznik nr 3 do Polityki bezpieczeństwa. 3. Ustala się następujące podstawowe zasady dotyczące funkcjonowania i bezpieczeństwa sieci komputerowej PAA, o których mowa w 1 ust. 1 pkt 9: 1. Sieci LAN oparte są o topologię Ethernet, realizowaną na zarządzanych modularnych przełącznikach rozlokowanych w węzłach sieci. W zależności od potrzeb tworzy się wirtualne sieci typu VLAN oparte na warstwie fizycznej okablowania strukturalnego w poszczególnych budynkach, w których znajdują się pomieszczenia PAA. W szczególności sieci typu VLAN są utworzone dla sieci wydzielonych. Urządzenia zabezpieczone są hasłem dostępowym, do każdego urządzenia przydzielony jest indywidualny adres (numer) IP. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

18 2. Serwery sieciowe oparte są na systemach operacyjnych Microsoft Windows lub Linux lub ich pochodnych. Dane zapisane na dyskach serwerowych zabezpieczone są za pomocą praw NTFS i praw do udziałów. 3. Okablowanie strukturalne poprowadzone jest nadtynkowo w korytkach PCV. 4. Zasilanie elektryczne sprzętu teleinformatycznego jest realizowane w części pomieszczeń należących do PAA w układzie wydzielonych instalacji elektrycznych, przeznaczonych wyłącznie dla sprzętu komputerowego. W innych pomieszczeniach wykorzystywana jest instalacja tzw. ogólna. Serwery w sieci podłączone są do zasilaczy awaryjnych (UPS), podtrzymujących zasilanie z baterii na kilkanaście lub kilkadziesiąt minut. Ze względów bezpieczeństwa i zapewnienia zasilania systemów część szaf dystrybucyjnych wyposażono w zasilacze awaryjne. 5. Serwerownie są centralnymi węzłami sieci komputerowych, posiadającymi dodatkowe zabezpieczenia chroniące przed nieupoważnionym dostępem. Pomieszczenia serwerowni są monitorowane przez włączenie do systemu ochrony obiektów PAA albo mają podwyższony poziom kontroli dostępu. Dostęp do serwerowni mają tylko osoby uprawnione. 6. Dla zapewnienia bezpieczeństwa, poprawności i ciągłości działania systemów informatycznych, w tym sieci komputerowej, PAA podejmuje działania polegające na zlecaniu wyspecjalizowanym firmom części zadań informatycznych w drodze usług wsparcia informatycznego. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 2

19 Załącznik nr 3 do zarządzenia nr 7 Prezesa Państwowej Agencji Atomistyki z dnia 30 lipca 2014 r. WZÓR Warszawa, dnia r. Wyznaczenie Administratora Bezpieczeństwa Informacji Działając na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wyznaczam Panią/Pana:... (imię, nazwisko, stanowisko) do pełnienia funkcji Administratora Bezpieczeństwa Informacji Na czas... Przyjęłam/Przyjąłem:... (pieczęć i podpis Administratora Danych Osobowych) (miejscowość i data) (podpis osoby wyznaczonej do pełnienia funkcji Administratora Bezpieczeństwa Informacji) Wyznaczenie sporządza się w dwóch egzemplarzach, z których jeden otrzymuje Administratora Bezpieczeństwa Informacji, drugi zaś załącza się do akt osobowych pracownika. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1

20 Załącznik nr 4 do zarządzenia nr 7 Prezesa Państwowej Agencji Atomistyki z dnia 30 lipca 2014 r. WZÓR Warszawa, dnia r. Wyznaczenie Administratora Systemu Informatycznego/ Administratora Kopii Bezpieczeństwa* Działając na podstawie 5 ust. 2 zarządzenia Prezesa PAA w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych, Instrukcji zarządzania systemem informatycznym i Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki oraz w sprawie wyznaczenia osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki wyznaczam Panią/Pana:... (imię, nazwisko, stanowisko) do pełnienia funkcji: Administratora Systemu Informatycznego/Administratora Kopii Bezpieczeństwa* Na czas Przyjęłam/Przyjąłem: (pieczęć i podpis Administratora Danych Osobowych) (miejscowość i data) (podpis osoby wyznaczonej do pełnienia funkcji Administratora Systemu Informatycznego/Administratora Kopii Bezpieczeństwa*) Wyznaczenie sporządza się w trzech egzemplarzach, z których jeden otrzymuje Administratora Bezpieczeństwa Informacji, drugi załącza się do akt osobowych pracownika. Id: 53AE F7-A013-5EC83ADB240B. Podpisany Strona 1