Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Jana Kochanowskiego w Kielcach

Transkrypt

1 Załącznik Nr 1 do zarządzenia Rektora UJK Nr 53/2018 z dnia 24 sierpnia 2018 r. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Jana Kochanowskiego w Kielcach I. Słownik pojęć 1 Ilekroć w niniejszym dokumencie jest mowa o: 1) RODO należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), 2) Uniwersytecie/UJK należy przez to rozumieć Uniwersytet Jana Kochanowskiego w Kielcach, 3) administratorze danych osobowych (zwanym dalej ADO) należy przez to rozumieć, reprezentowany przez rektora, Uniwersytet Jana Kochanowskiego w Kielcach, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, 4) inspektorze ochrony danych (zwanym dalej IOD) należy przez to rozumieć pracownika wyznaczonego przez ADO i jemu bezpośrednio podległego, spełniającego wymogi kompetencyjne RODO, działającego zgodnie z zasadami określonymi w art RODO, 5) administratorze systemów informatycznych (zwanym dalej ASI) należy przez to rozumieć osobę wyznaczoną przez ADO, odpowiadającą za poszczególne systemy informatyczne służące do przetwarzania danych, w tym odpowiedzialną za bezpieczeństwo informacji przetwarzanych w systemie, w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu oraz podejmowanie odpowiednich działań w porozumieniu ze specjalistą ds. bezpieczeństwa teleinformatycznego w zakresie ochrony danych przetwarzanych w systemie, również w przypadku wykrycia w nim naruszeń, 6) administratorze zasobów (zwanym dalej AZ) należy przez to rozumieć pracownika, który jest odpowiedzialny za prawidłowe zabezpieczenie sprzętu służącego do przetwarzania danych osobowych w poszczególnych jednostkach Uniwersytetu, 7) użytkowniku należy przez to rozumieć osobę posiadającą upoważnienie do przetwarzania danych osobowych w zbiorach tradycyjnych lub/i w systemach informatycznych, w zakresie wskazanym w upoważnieniu, 8) danych osobowych należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, 9) przetwarzaniu danych osobowych należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, 10) zbiorze danych należy przez to rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie, 1

2 11) systemie informatycznym należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 12) ustawie należy przez to rozumieć ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U z 2018 r. poz. 1000), 13) zarządzeniu należy przez to rozumieć zarządzenie rektora w sprawie ochrony danych osobowych w Uniwersytecie Jana Kochanowskiego w Kielcach, 14) Polityce Bezpieczeństwa należy przez to rozumieć Politykę Bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Jana Kochanowskiego w Kielcach stanowiącą załącznik nr 1 do zarządzenia, 15) Polityce Bezpieczeństwa Informacji należy przez to rozumieć Politykę Bezpieczeństwa Informacji Uniwersytetu Jana Kochanowskiego w Kielcach, 16) Instrukcji należy przez to rozumieć Instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Uniwersytecie Jana Kochanowskiego w Kielcach stanowiącą załącznik nr 2 do zarządzenia. II. Przepisy ogólne 2 Władze Uniwersytetu świadome konieczności zapewnienia skutecznego systemu ochrony danych osobowych deklarują m.in. zamiar: 1) wdrażania adekwatnych środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych przetwarzanych w Uniwersytecie, 2) ciągłego doskonalenia poziomu zabezpieczeń danych osobowych przetwarzanych w Uniwersytecie, 3) stanowczego egzekwowania przepisów dotyczących ochrony danych osobowych Polityka Bezpieczeństwa dotyczy przetwarzania danych osobowych zarówno w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. 2. Polityka Bezpieczeństwa dotyczy także przetwarzania danych osobowych poza zbiorem danych W Uniwersytecie prowadzi się dokumentację opisującą sposób przetwarzania danych oraz środki ochrony tych danych. W skład tej dokumentacji wchodzą w szczególności: 1) zarządzenie rektora w sprawie ochrony danych osobowych w Uniwersytecie Jana Kochanowskiego w Kielcach zawierające jako integralne części m.in: a) Politykę Bezpieczeństwa, b) Instrukcję, 2) inne pisma, komunikaty i instrukcje szczegółowe mające znaczenie dla ochrony danych osobowych, wydawane przez ADO lub IOD. 2. Dokumentację, o której jest mowa w ust. 1, stosuje się do wszystkich użytkowników, zarówno zatrudnionych w Uniwersytecie, jak i innych, np.: stażystów, praktykantów W Uniwersytecie przetwarza się dane osobowe z poszanowaniem obowiązujących w tym zakresie przepisów prawa zawartych m.in. w: 1) RODO, 2) ustawie, 3) Kodeksie pracy, 4) innych aktach normatywnych, które odnoszą się do problematyki ochrony danych osobowych. 2. W Uniwersytecie przetwarza się dane osobowe w szczególności dla: 2

3 1) zabezpieczenia prawidłowego toku rekrutacji na studia, realizacji zadań dydaktycznych, naukowych i organizacyjnych Uniwersytetu wynikających z przepisów dotyczących szkolnictwa wyższego, 2) zapewnienia prawidłowej, zgodnej z prawem i celami Uniwersytetu polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia nawiązywanych przez Uniwersytet, 3) realizacji innych uzasadnionych celów i zadań. 3. W Uniwersytecie w szczególności przetwarza się dane osobowe dotyczące: 1) studentów, 2) kandydatów na studia, 3) absolwentów, 4) pracowników, 5) kandydatów do pracy, 6) byłych pracowników, 7) osób, z którymi są zawierane umowy cywilnoprawne, 8) osób korzystających z Biblioteki Uniwersyteckiej, 9) osób spoza Uniwersytetu, które przeprowadzają postępowanie o uzyskanie w UJK stopnia naukowego lub tytułu naukowego, 10) uczestników studiów podyplomowych, kursów i szkoleń, 11) osób, którym w Uniwersytecie nadano tytuł doktora honoris causa lub inne odznaczenia oraz tytuły honorowe, 12) osób zakwaterowanych w Domach Studenta, 13) autorów publikacji wydawanych przez Wydawnictwo UJK, 14) członków rodzin pracowników i byłych pracowników oraz innych osób uprawnionych do korzystania z Funduszu Świadczeń Socjalnych, 15) osób, których dane są przetwarzane w związku z postępowaniami w sprawie udzielenia zamówień publicznych. 4. W Uniwersytecie ochronie podlegają w szczególności: 1) dane osobowe, niezależnie od formy ich przetwarzania, 2) sprzęt wykorzystywany do przetwarzania danych osobowych, 3) pomieszczenia, w których znajdują się zbiory danych a także kluczowy sprzęt informatyczny, 4) oprogramowanie służące do przetwarzania danych osobowych, 5) inny sprzęt mający wpływ na bezpieczeństwo danych osobowych. III. Organizacja przetwarzania danych osobowych 6 1. Administrator danych osobowych sprawuje kontrolę nad przetwarzaniem danych, decyduje o celach i sposobach przetwarzania danych osobowych, uwzględniając przy tym wymogi określone w przepisach prawa. 2. Administrator danych osobowych wyznacza IOD, do którego zadań należy: 1) informowanie ADO, podmiotu, któremu ADO powierzył przetwarzanie danych osobowych oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tym zakresie, 2) monitorowanie przestrzegania RODO, innych właściwych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych osobowych, 3) monitorowanie przestrzegania polityk ochrony danych ADO lub podmiotu, któremu ADO powierzył przetwarzanie danych osobowych, 4) doradztwo w zakresie podziału obowiązków (np. między ADO a podmiotem, któremu ADO powierzył przetwarzanie danych osobowych lub pomiędzy członkami personelu tych podmiotów), 5) prowadzenie działań zwiększających świadomość personelu w zakresie obowiązków wynikających z RODO lub przyjętych polityk, 3

4 6) przeprowadzanie lub organizowanie szkoleń dla personelu uczestniczącego w operacjach przetwarzania danych, 7) przeprowadzanie audytów w zakresie przestrzegania RODO i polityk przez ADO lub podmiot, któremu ADO powierzył przetwarzanie danych osobowych i ich personel, 8) udzielanie na żądanie administratora zaleceń co do oceny skutków dla ochrony danych, 9) monitorowanie wykonania oceny skutków dla ochrony danych, 10) współpraca z organem nadzorczym, 11) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach, 12) pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy przepisów prawa, 13) udział we wszystkich sprawach związanych z ochroną danych osobowych, w szczególności uczestniczenie w konsultacjach dotyczących zagadnień w zakresie ochrony danych osobowych, 14) wykonywanie innych zadań i obowiązków, z zastrzeżeniem by takie zadania i obowiązki nie powodowały konfliktu interesów. 3. Inspektor ochrony danych jest w szczególności uprawniony do: 1) przetwarzania wszelkiego rodzaju danych osobowych w Uniwersytecie w zakresie niezbędnym do wykonywania swojej funkcji, 2) wstępu do wszystkich pomieszczeń w Uniwersytecie, w których są przetwarzane dane osobowe, 3) kontrolowania ASI pod względem skuteczności zastosowanych środków fizycznych, sprzętowych i programowych mających na celu zachowanie poufności, integralności i rozliczalności danych osobowych przetwarzanych w systemach informatycznych, 4) kontrolowania AZ pod względem skuteczności zabezpieczenia sprzętu komputerowego służącego do przetwarzania danych osobowych w konkretnej jednostce Uniwersytetu, 5) kontrolowania osób przetwarzających dane osobowe w Uniwersytecie pod względem wykonywania przez nich obowiązków związanych z ochroną tych danych. 4. Administrator danych osobowych wyznacza ASI i AZ na wniosek ich bezpośrednich przełożonych. Wniosek o wyznaczenie ASI i AZ stanowi załącznik nr 5 do zarządzenia. 5. Funkcję ASI i AZ mogą sprawować wyłącznie pracownicy Uniwersytetu, którzy zostali przeszkoleni w zakresie bezpieczeństwa przetwarzania danych osobowych i posiadają wiedzę z zakresu informatyki. 6. Do obowiązków ASI należy w szczególności: 1) wykonywanie prac niezbędnych do efektywnego i bezpiecznego zarządzania systemem informatycznym, 2) podejmowanie, stosownie do zaistniałej sytuacji i unormowań, niezbędnych działań w przypadku incydentów bezpieczeństwa lub uzasadnionego podejrzenia naruszenia ochrony danych osobowych, w tym niezwłoczne informowanie o powyższym IOD oraz współpraca z nim w celu wyjaśnienia czy naruszenie miało miejsce, 3) zapewnienie bezpieczeństwa systemu informatycznego, w szczególności przed zagrożeniami pochodzącymi z sieci publicznej, 4) rejestrację, zmianę, wyrejestrowywanie użytkowników systemu informatycznego, 5) przestrzeganie procedur bezpieczeństwa systemu informatycznego, w którym są przetwarzane dane osobowe, 6) utrzymanie systemu informatycznego w sprawności technicznej w stopniu zapewniającym bezpieczeństwo przetwarzania danych osobowych, 7) konfigurowanie systemu informatycznego służącego do przetwarzania danych osobowych, 8) reagowanie na naruszenia bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym i usuwanie ich skutków. 7. Do obowiązków AZ należy w szczególności: 1) zabezpieczenie informatyczne sprzętu służącego do przetwarzania danych osobowych w konkretnej jednostce, 4

5 2) instalowanie oprogramowania antywirusowego w konkretnej jednostce, 3) nadzorowanie właściwego użytkowania urządzeń i oprogramowania w konkretnej jednostce, 4) nadzorowanie podmiotów trzecich serwisujących na terenie konkretnej jednostki sprzęt służący do przetwarzania danych osobowych Do przetwarzania danych osobowych mogą być dopuszczeni wyłącznie użytkownicy osoby posiadające stosowne upoważnienie. Wzór upoważnienia stanowi załącznik nr 3 do zarządzenia. Upoważnienie powinno zawierać: 1) imię i nazwisko użytkownika, 2) datę nadania i ustania upoważnienia, 3) zakres upoważnienia. 2. Upoważnienie do przetwarzania danych osobowych może być także nadane za pomocą stosownej klauzuli zawartej w umowie cywilnoprawnej (np. w umowach na realizację zajęć dydaktycznych) przez osoby uprawnione do zawierania w imieniu Uniwersytetu umów konkretnego rodzaju. 3. Upoważnienia do przetwarzania danych osobowych oraz inne dokumenty, niezbędne do otrzymania dostępu do danych przetwarzanych w związku z realizacją projektów współfinansowanych ze środków Unii Europejskiej, mogą być nadawane na wzorach stanowiących załączniki do dokumentacji projektowej. 4. Upoważnienie do przetwarzania danych osobowych wygasa automatycznie w przypadku: 1) rozwiązania stosunku pracy/umowy cywilnoprawnej bądź zakończeniu praktyki/stażu, 2) po upływie czasu, na który było przyznane, 3) wydania nowego upoważnienia dla użytkownika (niniejszy pkt dotyczy wyłącznie upoważnień nadanych w trybie określonym w ust. 1 na załączniku nr 3), 5. Upoważnienie do przetwarzania danych osobowych może zostać w każdym czasie odwołane przez ADO lub inną osobę uprawnioną do jego nadania. Wzór odwołania upoważnienia/eń określa załącznik nr 6 do zarządzenia. 6. Do nadawania upoważnień do przetwarzania danych osobowych dla użytkowników zatrudnionych w jednostkach im podległych, zgodnie z Regulaminem Organizacyjnym UJK, są uprawnieni, po uprzednim ich wyznaczeniu na piśmie: 1) prorektorzy, 2) dziekani, 3) kanclerz, 7. Administrator Danych Osobowych może wyznaczyć na piśmie inne osoby, które będą nadawały upoważnienia do przetwarzania danych osobowych. 8. Upoważnienie do przetwarzania danych osobowych jest nadawane na wniosek bezpośredniego przełożonego użytkownika bądź na wniosek użytkownika w przypadku, gdy jego bezpośredni przełożony jest uprawniony do nadawania upoważnień do przetwarzania danych osobowych. Niniejszy przepis nie ma zastosowania w odniesieniu do upoważnień nadawanych w trybach, o których jest mowa w ust Użytkownik jest zobowiązany do złożenia oświadczenia o zachowaniu poufności i zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych. Wzór oświadczenia stanowi załącznik nr 4 do zarządzenia. Oświadczenie może zostać również złożone za pomocą stosownej klauzuli zawartej w umowie cywilnoprawnej (np. w umowach na realizację zajęć dydaktycznych) Dane osobowe są udostępniane podmiotowi zewnętrznemu, innemu niż uprawniony na podstawie odrębnych przepisów prawa, w przypadku spełnienia przynajmniej jednej z przesłanek przetwarzania danych osobowych, o których jest mowa w RODO. 2. Dane osobowe udostępnia właściwa merytorycznie jednostka organizacyjna, po uzyskaniu opinii IOD w zakresie dopuszczalności udostępnienia. 5

6 10 1. Dane osobowe są udostępniane podmiotowi uprawnionemu do ich przetwarzania na mocy odrębnych przepisów prawa np. policji lub prokuraturze, po otrzymaniu pisma, które zawiera: 1) oznaczenie wnioskodawcy, 2) wskazania podstawy prawnej ubiegania się o uzyskanie określonych danych, 3) wskazanie rodzaju, zakresu potrzebnych danych oraz formy udzielenia odpowiedzi. 2. Dane osobowe mogą by udostępnione w trybie natychmiastowym podmiotom, o których mowa w ust. 1, jedynie w przypadku bezpośredniego zagrożenia życia bądź zdrowia innych osób lub w trakcie pościgu za osobą podejrzaną bądź zagrożenia terrorystycznego. 3. Fakt udostępnienia danych osobowych podmiotom, o których mowa w ust. 1, należy udokumentować poprzez sporządzenie stosownej notatki służbowej. IV. Ewidencja osób upoważnionych do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych osobowych w Uniwersytecie stanowi integralną część Polityki Bezpieczeństwa. Dokument ten jest sporządzany oraz bieżąco aktualizowany przez IOD. Wzór ewidencji stanowi załącznik nr 7 do zarządzenia. 2. Informację o nadaniu, odwołaniu lub zmianie zakresu upoważnienia użytkownika należy niezwłocznie przekazać do IOD w celu dokonania aktualizacji ewidencji. 3. W przypadku powstania wątpliwości co do uprawnień konkretnego użytkownika, IOD udziela informacji o zakresie jego upoważnienia. 4. Ewidencja jest prowadzona w formie elektronicznej. V. Ewidencja budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe Ewidencja budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe, zawierająca opis sposobu ich zabezpieczeń, stanowi integralną część Polityki Bezpieczeństwa. Dokument ten jest sporządzany oraz bieżąco aktualizowany przez IOD. Wzór ewidencji stanowi załącznik nr 8 do zarządzenia. 2. Obszar przetwarzania danych osobowych tworzą pomieszczenia, w których znajdują się zbiory w formie tradycyjnej oraz sprzęt elektroniczny służący do przetwarzania danych osobowych. 3. Obszar, w którym są przetwarzane dane osobowe, obejmuje także miejsca wykonywania operacji na danych osobowych poza zbiorem, jak również miejsca, gdzie przechowuje się wszelkie nośniki zawierające dane osobowe. 4. Ewidencja jest prowadzona w formie elektronicznej. VI. Ewidencja zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania W Uniwersytecie tworzy się zbiory danych osobowych poprzez nadanie danym odpowiedniej struktury, dostępnej według określonych kryteriów, niezależnie od tego, czy zestaw danych jest rozproszony lub podzielony funkcjonalnie. 2. Ewidencja zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania stanowi integralną część Polityki Bezpieczeństwa. Dokument ten jest sporządzany oraz bieżąco aktualizowany przez IOD. Wzór ewidencji stanowi załącznik nr 9 do zarządzenia. 3. Ewidencja jest prowadzona w formie elektronicznej. VII. Opis struktury zbiorów danych przetwarzanych w systemach informatycznych, wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania miedzy nimi 6

7 14 Opis struktury zbiorów danych przetwarzanych w systemach informatycznych wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania między nimi stanowi integralną część Polityki Bezpieczeństwa. Dokument ten jest sporządzany przez specjalistę ds. bezpieczeństwa teleinformatycznego na podstawie dokumentów dostarczanych przez producentów systemów informatycznych. VIII. Sposób przepływu danych pomiędzy systemami informatycznymi, w których są przetwarzane dane osobowe 15 Opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi, w których są przetwarzane dane osobowe stanowi integralną część Polityki Bezpieczeństwa. Dokument ten jest sporządzany oraz bieżąco aktualizowany przez specjalistę ds. bezpieczeństwa teleinformatycznego. IX. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych W Uniwersytecie dąży się do zapewnienia najwyższych standardów technicznych i organizacyjnych niezbędnych do stworzenia właściwego systemu ochrony danych osobowych. 2. Zakres stosowania środków technicznych i organizacyjnych wynika z dokonanej analizy zagrożeń, o której jest mowa w W celu zapewnienia bezpieczeństwa fizycznego obiektów stanowiących obszar przetwarzania danych osobowych w Uniwersytecie stosuje się w szczególności zasady: 1) ochrony kluczowych budynków Uniwersytetu, 2) systematycznej poprawy jakości zabezpieczeń kluczowych pomieszczeń stanowiących obszar przetwarzania danych (m.in. wzmocnione drzwi, dodatkowe zamki, kraty, metalowe szafy, sejfy), 3) zamykania na klucz pomieszczeń w sytuacji chwilowego opuszczenia stanowiska pracy przez użytkownika; zakazuje się pozostawiania klucza w drzwiach od pomieszczenia od zewnętrznej strony podczas chwilowej nieobecności na stanowisku pracy a także w trakcie wykonywania obowiązków służbowych w tym pomieszczeniu, 4) stosowania systemów alarmowych chroniących dostęp do kluczowych pomieszczeń stanowiących obszar przetwarzania danych (np. serwerownie, Archiwum), 5) ograniczenia dostępu do pomieszczeń, w których znajduje się kluczowy sprzęt informatyczny. 18 W celu zapewnienia bezpieczeństwa środowiskowego obiektów stanowiących obszar przetwarzania danych osobowych w Uniwersytecie należy w szczególności: 1) podczas planowania wdrożenia zabezpieczeń techniczno-organizacyjnych każdorazowo dokonywać analizy zagrożeń, takich jak: pożar, zalanie, wyładowania atmosferyczne, kurz, wilgoć, trzęsienia ziemi, promieniowanie elektromagnetyczne, przepięcia elektryczne, 2) zapewnić systemy wykrywające zagrożenia środowiskowe, np. czujki dymu, 3) zapewnić systemy chroniące przed zagrożeniami środowiskowymi, np. system przeciwpożarowy, system odgromowy; stosowne instrukcje przeciwpożarowe są opracowywane na podstawie odrębnych przepisów, 4) zapewnić, aby kluczowy sprzęt informatyczny znajdował się w klimatyzowanych pomieszczeniach, 5) zapewnić, aby kluczowy sprzęt informatyczny był zabezpieczony systemem przeciwprzepięciowym, 7

8 6) przechowywać dane lub kluczowy sprzęt informatyczny w pomieszczeniach, w których: a) zminimalizowane jest ryzyko narażenia na zalanie, b) zminimalizowane jest ryzyko narażenia na kurz, c) zminimalizowane jest ryzyko narażenia na wilgoć, d) zminimalizowane jest ryzyko narażenia na promieniowanie elektromagnetyczne, 7) zapewnić system monitorowania parametrów środowiska, w których znajduje się kluczowy sprzęt informatyczny. 19 Inspektor ochrony danych przeprowadza szkolenia wśród pracowników Uniwersytetu w celu poszerzania wiedzy z zakresu ochrony danych osobowych. W szczególności IOD przeprowadza szkolenia wśród: 1) kierowników jednostek Uniwersytetu, ich zastępców, osób pracujących na samodzielnych stanowiskach oraz w miarę możliwości innych pracowników, 2) pracowników wykonujących obowiązki ASI i AZ, 3) nowych pracowników przed rozpoczęciem wykonywania przez nich obowiązków służbowych, o ile ich stanowiska będą wiązały z przetwarzaniem danych osobowych, 4) pracowników, którzy nie przetwarzają danych osobowych, o ile pełnione przez nich funkcje wiążą się z bezpieczeństwem danych osobowych, 5) pracowników przesuniętych na inne stanowiska lub w przypadku radykalnej zmiany ich zakresu obowiązków, 6) stażystów, praktykantów Administrator danych osobowych może powierzyć do przetwarzania dane osobowe podmiotom zewnętrznym, które wykonują na rzecz Uniwersytetu określone usługi. 2. Powierzenie przetwarzania danych osobowych następuje poprzez wprowadzenie odrębnej klauzuli do umowy dotyczącej realizacji danej usługi lub zawarcie odrębnego porozumienia w sprawie powierzenia przetwarzania danych osobowych. 3. Szczegółowe zasady powierzenia przetwarzania danych osobowych określa IOD, po dokonaniu analizy charakteru i zakresu usługi wykonywanej na rzecz UJK. 21 Każdy użytkownik jest zobowiązany w szczególności do: 1) zapoznania się procedurami wewnętrznymi dotyczącymi ochrony danych osobowych, 2) zabezpieczenia danych osobowych przed osobami nieupoważnionymi, 3) zachowania w tajemnicy danych osobowych, z którymi miał styczność podczas wykonywania obowiązków służbowych, również po ustaniu zatrudnienia, 4) nadzoru nad osobami trzecimi przebywającymi w pomieszczeniu, w którym są przetwarzane dane osobowe, 5) uporządkowania swojego stanowiska pracy po zakończeniu pracy i przechowywania dokumentów tradycyjnych oraz nośników elektronicznych, zgodnie z zasadą,,czystego biurka, 6) niewynoszenia dokumentów tradycyjnych oraz nośników elektronicznych, zawierających dane osobowe poza obszar przetwarzania danych, chyba że jest to konieczne do wykonania określonych czynności służbowych, 7) niszczenia zbędnych wydruków zawierających dane osobowe w niszczarkach, 8) niezapisywania na pulpicie systemowym plików zawierających dane osobowe, 9) niepozostawiania niezabezpieczonych komputerów w stanie aktywnej sesji dostępu do ich zawartości, 10) niepodłączania zewnętrznych nośników elektronicznych niewiadomego pochodzenia Użytkownikom zapewnia się dostęp do poczty elektronicznej w domenie Uniwersytetu, która może być wykorzystywana wyłącznie w celach służbowych. 8

9 2. Użytkownicy są zobowiązani do okresowego porządkowania i usuwania zbędnych wiadomości z folderów osobistych konta pocztowego tak, aby nie dopuścić do jego zablokowania z powodu przekroczenia dopuszczalnej pojemności skrzynki. 3. Użytkownikom zabrania się: 1) wysyłania materiałów służbowych zawierających dane osobowe na konta prywatne w celu pracy nad nimi poza Uniwersytetem, 2) korzystania z prywatnego konta pocztowego w celach służbowych, 3) otwierania załączników do wiadomości otrzymanych od niezaufanych nadawców, 4) posługiwania się służbowym adresem w celach prywatnych, 5) wykorzystywania systemu poczty elektronicznej do działań niezgodnych z prawem, 6) synchronizacji służbowego konta pocztowego z kontami założonymi na innych serwerach pocztowych Użytkownikom zabrania się: 1) pobierania z sieci, instalowania i uruchamiania oprogramowania, które nie zostało zweryfikowane przez AZ, 2) kopiowania i rozpowszechniania bez upoważnienia oprogramowania stworzonego w Uniwersytecie lub na jego potrzeby, 3) samodzielnego usuwania lub modyfikacji używanego oprogramowania. 2. W przypadku wykrycia oprogramowania niewiadomego pochodzenia, AZ ma prawo do natychmiastowego odinstalowania go bez uzgodnienia z użytkownikiem. Administrator zasobów jest zobowiązany do natychmiastowego poinformowania IOD o zaistniałym incydencie. 24 Komputery służące do przetwarzania danych osobowych w Uniwersytecie należy: 1) zabezpieczyć poprzez zaszyfrowanie dysków twardych, 2) zabezpieczyć poprzez wprowadzenie hasła dysku twardego, o ile komputer umożliwia zastosowanie takiej opcji, 3) zabezpieczyć hasłem uwierzytelniającym użytkownika podczas uruchamiania systemu operacyjnego, chroniącym dostępu do zasobów znajdujących się na dyskach twardych, 4) zabezpieczyć hasłem założonym na wygaszacz ekranu, chroniącym dostępu do zasobów znajdujących się na dyskach twardych podczas chwilowej nieobecności użytkownika na stanowisku pracy, 5) zabezpieczyć programem antywirusowym posiadającym zaktualizowaną bazę sygnatur,,oprogramowania złośliwego, 6) ustawić w sposób uniemożliwiający osobom nieupoważnionym przebywającym w pomieszczeniu wgląd w dane widniejące na ich monitorach Kluczowy sprzęt informatyczny Uniwersytetu musi znajdować się w wyodrębnionych i przystosowanych do tego celu pomieszczeniach z ograniczonym dostępem, w których w szczególności należy zastosować następujące mechanizmy bezpieczeństwa: 1) urządzenia podtrzymujące napięcie/agregat prądotwórczy, 2) odrębna klimatyzacja, 3) kontrola parametrów środowiska (temperatura, wilgotność), 4) drzwi przeciwwłamaniowe, 5) ograniczony dostęp i kontrola wejścia. 2. Mechanizmy, o których jest mowa w ust. 1, stosuje się również w odniesieniu do budynkowych punktów rozdzielczych, stanowiących centra sieci komputerowej w obiektach Uniwersytetu (lokalnych punktach dystrybucyjnych) Dostęp do pomieszczeń z kluczowym sprzętem informatycznym Uniwersytetu mogą mieć wyłącznie osoby do tego upoważnione. Listę osób upoważnionych określa kierownik Działu 9

10 Zabezpieczenia Informatycznego, a dostęp możliwy jest wyłącznie na podstawie pisemnego upoważnienia. Inne osoby, w tym osoby sprzątające, mogą przebywać w tych pomieszczeniach wyłącznie w obecności osób upoważnionych, a fakt obecności w tych pomieszczeniach musi zostać zarejestrowany przez osoby upoważnione do dostępu. 2. Szczegółową procedurę dostępu do pomieszczeń, o których mowa w ust. 1, określa Kierownik Działu Zabezpieczenia Informatycznego. 3. Zasady dostępu do lokalnych punktów dystrybucyjnych Uniwersytetu określają kierownicy jednostek organizacyjnych w porozumieniu z kierownikami administracyjnymi obiektów, z zachowaniem prawa dostępu dla osób upoważnionych z Działu Zabezpieczenia Informatycznego, których listę określa jego kierownik i przekazuje kierownikom administracyjnym obiektów Każdy system informatyczny Uniwersytetu, w którym są przetwarzane dane osobowe, posiada dokumentację techniczną dostarczoną przez jego autorów, a także spełnia wymagania dotyczące struktur zbiorów danych oraz funkcjonalności zarządzających nim aplikacji, zgodnie z aktualnie obowiązującymi przepisami prawa. Dla nowego systemu informatycznego wymaganie to jest sprawdzane podczas testów akceptacyjnych przed dopuszczeniem go do użytku. 2. Każdy system informatyczny powinien być wyposażony w mechanizm zapewniający uwierzytelnienie użytkownika przy zastosowaniu metod kryptograficznych oraz zapewniać odpowiedni do istniejących zagrożeń poziom bezpieczeństwa przetwarzania danych. 28 Przetwarzanie danych osobowych w systemach informatycznych następuje z poszanowaniem odpowiednio stosowanych zasad bezpieczeństwa informacji określonych w Polityce Bezpieczeństwa Informacji. 29 Szczegółowe zasady zarządzania systemami informatycznymi określa Instrukcja. X. Analiza zagrożeń dla przetwarzanych danych osobowych Proces analizy zagrożeń dla przetwarzanych danych osobowych i określania wymogów bezpieczeństwa koordynowany jest przez IOD oraz specjalistę ds. bezpieczeństwa teleinformatycznego. Analiza odbywa się w oparciu o: 1) inwentaryzację zasobów oraz oznaczenie ich krytyczności w oparciu o rodzaj aktywów, 2) określenie potencjalnego zagrożenia dla każdego zinwentaryzowanego zasobu, 3) wskazanie podatności oraz realnych słabości zasobu, 4) określenie ryzyka, 5) podjęcie decyzji o ryzyku. 2. Klasyfikację aktywów określa się w Polityce Bezpieczeństwa Informacji UJK. 3. Wyróżnia się następujące zagrożenia dla przetwarzanych danych osobowych: 1) zagrożenia ludzkie, 2) zagrożenia naturalne, 3) zagrożenia techniczne, 4) zagrożenia administracyjne Użytkownicy nie mogą podejmować jakichkolwiek działań związanych z samodzielnym naprawianiem, potwierdzaniem lub testowaniem potencjalnych słabości procedur i systemu bezpieczeństwa przetwarzania danych w Uniwersytecie. 2. Dokonywanie zmian w miejscu naruszenia systemu bezpieczeństwa przetwarzania danych osobowych w Uniwersytecie, bez wiedzy i zgody ADO lub IOD, jest dopuszczalne jedynie 10

11 w sytuacji, gdy zachodzi konieczność ratowania życia lub zdrowia osób oraz mienia, w przypadku ich bezpośredniego zagrożenia. XI. Zasady korzystania z komputerów przenośnych, na których są przetwarzane dane osobowe Komputery przenośne podlegają szczególnej ochronie a ich użytkowanie poza Uniwersytetem musi mieć uzasadnienie w realizowanych przez użytkownika zadaniach służbowych. 2. Użytkownik, korzystający z komputera przenośnego poza Uniwersytetem, jest zobowiązany do wystąpienia do AZ o zapewnienie środków techniczno-organizacyjnych gwarantujących bezpieczeństwo przetwarzanych danych osobowych. 3. Użytkownik, korzystający z komputera przenośnego poza Uniwersytetem, jest zobowiązany do dołożenia szczególnej staranności, aby zminimalizować ryzyko kradzieży lub zniszczenia poprzez: 1) transport komputera w przeznaczonej do tego torbie, 2) transport komputera w bagażu podręcznym, 3) niepozostawianie komputera w samochodzie i innych miejscach, np. w przechowalni bagażu. 4. Zabrania się: 1) korzystania z komputera przenośnego w miejscach publicznych lub środkach transportu wieloosobowego, 2) udostępniania komputera osobom nieupoważnionym, w tym członkom rodziny, 3) transportu włączonego komputera przenośnego. 5. W przypadku kradzieży komputera użytkownik jest zobowiązany do natychmiastowego poinformowania IOD o zaistniałej sytuacji i sporządzenia raportu, w którym wymienione będą dane przetwarzane na tym komputerze. XII. Instrukcja postępowania w przypadkach naruszenia ochrony danych osobowych W przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych w Uniwersytecie każdy użytkownik jest zobowiązany do postępowania zgodnie z poniższymi zasadami. 2. Użytkownik jest zobowiązany zawiadomić IOD, ASI lub AZ o każdym naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych w Uniwersytecie, a w szczególności o: 1) włamaniu do pomieszczeń stanowiących obszar przetwarzania danych osobowych lub do systemu informatycznego, w którym przetwarzane są dane osobowe, 2) udostępnieniu lub umożliwieniu udostępnienia danych osobowych osobom lub podmiotom nieupoważnionym, 3) kradzieży, zgubieniu, zniszczeniu nośników danych, 4) kradzieży lub zniszczeniu urządzeń systemu informatycznego, 5) stwierdzeniu uszkodzenia, utraty, nieautoryzowanej modyfikacji, nieuprawnionego kopiowania danych osobowych, 6) uszkodzeniu lub zniszczeniu urządzeń systemu informatycznego, spowodowanym klęską żywiołową, pożarami, awariami instalacji i innymi zagrożeniami, 7) przetwarzaniu danych osobowych w sposób niezgodny z celem i zakresem ich zbierania, 8) naruszeniu praw osób, których dane dotyczą. 3. Za udostępnienie danych osobowych osobom niepowołanym uznaje się sytuację, w której w związku z zaistniałym naruszeniem ochrony danych osobowych osoba nieuprawniona jest w stanie ustalić tożsamość osoby, której te dane dotyczą. W przypadku zagubienia określonych nośników danych IOD przeprowadza postępowanie w celu ustalenia, czy dane osobowe na nich zawarte zostały udostępnione osobom nieuprawnionym. 4. W przypadku wystąpienia naruszenia ochrony danych osobowych do czasu przybycia na miejsce IOD, ASI lub AZ należy: 11

12 1) niezwłocznie podjąć czynności niezbędne do powstrzymania niepożądanych skutków zaistniałego zdarzenia (o ile istnieje taka możliwość), a następnie uwzględnić w działaniu również ustalenie jego przyczyny lub sprawców, 2) wstrzymać bieżącą pracę na komputerze lub pracę biurową w celu zabezpieczenia miejsca zdarzenia, 3) zaniechać działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę, 4) zastosować się do instrukcji, regulaminów lub dokumentacji systemu informatycznego, jeśli odnoszą się one do zaistniałego przypadku, 5) przygotować opis naruszenia, 6) nie opuszczać bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia IOD, ASI lub AZ. 5. Przyjmujący zawiadomienie ASI lub AZ jest obowiązany niezwłocznie poinformować IOD o naruszeniu lub podejrzeniu naruszenia ochrony danych osobowych. 6. Inspektor ochrony danych po otrzymaniu zawiadomienia powinien niezwłocznie: 1) przeprowadzić postępowanie wyjaśniające, w celu ustalenia okoliczności naruszenia ochrony danych osobowych, 2) w przypadku faktycznego stwierdzenia naruszenia ochrony danych osobowych sporządzić raport i przekazać go do ADO; wzór raportu stanowi załącznik nr 10 do zarządzenia. 7. Inspektor ochrony danych w uzgodnieniu z ASI może zarządzić, w razie potrzeby, odłączenie części systemu informatycznego dotkniętej naruszeniem od pozostałej jego części. 8. W razie odtwarzania danych z kopii zapasowych ASI jest zobowiązany upewnić się, że odtwarzane dane zostały zapisane przed wystąpieniem naruszenia. Dotyczy to zwłaszcza przypadków infekcji,,oprogramowaniem złośliwym. 9. W przypadku stwierdzenia naruszenia ochrony danych osobowych ADO po konsultacji z IOD dokonuje oceny, czy zaistniało ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli w wyniku oceny ADO stwierdza, że doszło do naruszenia praw i wolności osób fizycznych, jest on zobowiązany do zgłoszenia naruszenia organowi nadzorczemu w ciągu 72 h od daty jego stwierdzenia. W przypadku stwierdzenia, że ryzyko naruszenia praw i wolności osób, których dane dotyczą jest wysokie, ADO jest zobowiązany zawiadomić osoby, które dane dotyczą. XIII. Odpowiedzialność Naruszenie przepisów związanych z ochroną danych osobowych w Uniwersytecie jest zagrożone sankcjami karnymi określonymi w ustawie oraz Kodeksie karnym. 2. Naruszenie przepisów związanych z ochroną danych osobowych w Uniwersytecie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować rozwiązaniem stosunku pracy bez wypowiedzenia. XIV. Przepisy końcowe 35 Wszelkie przypadki naruszenia przepisów Polityki Bezpieczeństwa oraz propozycje zmian w procedurach funkcjonujących w Uniwersytecie, mające na celu zwiększenie bezpieczeństwa przetwarzania danych osobowych, należy niezwłocznie zgłaszać IOD. 12