INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Transkrypt

1 Załącznik nr 2 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Podstawa prawna: 1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 j. t. z późn. zm.), 2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinni odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U Nr 100, poz. 1024). Administrator Danych: Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce. 1. Cel 1) Celem niniejszej instrukcji jest określenie procedur użytkowania systemów informatycznych służących do przetwarzania danych osobowych, a w szczególności: a) procedur rozpoczynania pracy w systemach informatycznych, b) procedur postępowania w przypadku wystąpienia przez osobę o informacje dotyczące przetwarzania jej danych osobowych, c) procedur postępowania w sytuacjach naruszenia zasad ochrony danych osobowych. 2. Terminologia 1) Administrator Danych- organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. 2) Administrator Bezpieczeństwa Informacji- osoba nadzorująca przestrzeganie zasad bezpieczeństwa danych osobowych, wyznaczona przez Administratora Danych. 3) Administrator Systemów Informatycznych- osoba odpowiedzialna za techniczne aspekty funkcjonowania systemów informatycznych. 4) Przetwarzanie danych- rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 5) System informatyczny- zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej 1

2 6) Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 7) Zbiór danych osobowych- posiadający strukturę zestaw danych o charakterze osobowym. 8) Opiekun zbioru- powołany przez Administratora Bezpieczeństwa Informacji pracownik Collegium Mazovia Innowacyjnej Szkoły Wyższej odpowiadający za istniejący lub projektowany zbiór danych osobowych. 9) CM- Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce. 10) Rektor- Rektor Collegium Mazovia Innowacyjnej Szkoły Wyższej. 3. Zakres stosowania 1) Instrukcja obejmuje przetwarzanie danych osobowych niezależnie od ich formy przez pracowników upoważnionych do przetwarzania danych osobowych. 2) Wszelkie dane osobowe gromadzone w CM są przetwarzane na podstawie zgody osób fizycznych których dane dotyczą lub na mocy umów z podmiotami zewnętrznymi przetwarzane dane osobowe dotyczą głównie pracowników i studentów uczelni. 3) CM nie gromadzi żadnych danych osobowych ponad te, które są niezbędne w celu prawidłowej realizacji procesów (usług) świadczonych przez CM oraz nie gromadzi danych osobowych w wymiarze szerszym niż niezbędny. 4) Każda osoba, której dane osobowe znajdują się w posiadaniu CM ma prawo przeglądać swoje dane oraz je modyfikować w celu ich uzupełnienia lub poprawy. 5) Dane przechowywane są w bazach i zbiorach zabezpieczonych przed dostępem niepowołanych osób wg zaleceń ustawy o Ochronie Danych Osobowych. 6) Przetwarzanie danych osobowych powierza się wyłącznie osobom, którym jest to niezbędne do wykonywania pracy. Osoby te są ewidencjonowane oraz posiadają upoważnienia do przetwarzania danych. 7) Wszelkie informacje zawierające dane osobowe są przechowywane w taki sposób, aby zminimalizować ryzyko ich ujawnienia, modyfikacji, zniszczenia lub utraty. 8) Dane osobowe są zabezpieczane fizycznie (np. przed awarią sprzętu), jak i elektronicznie (np. przed atakiem hackera lub dostępem niepowołanych osób). 4. Zasady bezpiecznej pracy z danymi osobowymi 1) Dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych osobowych mają obowiązek zachować w tajemnicy dane, które przetwarzają oraz sposoby ich zabezpieczenia. Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej 2

3 2) Wszystkie pomieszczenia, w których przetwarza się dane osobowe należy zamykać na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika. Należy usunąć klucz z zamka. Dotyczy to także opuszczania pomieszczeń w godzinach pracy. 3) Przed opuszczeniem pomieszczenia należy zamknąć okna oraz zabezpieczyć dokumenty w szafach lub szufladach zamykanych na klucz oraz zablokować komputerową stację roboczą. 4) Dane osobowe przechowywane w wersji tradycyjnej (papierowej) należy przechowywać po zakończeniu pracy w zamykanych na klucz meblach biurowych, a tam, gdzie są dostępne szafy metalowe lub pancerne, w tych szafach. 5) Klucze od mebli biurowych lub szaf należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych. 6) Jeżeli wystąpi konieczność usunięcia danych osobowych w wersji papierowej, zarówno oryginałów jak i kopii, nośnik (papier) należy niszczyć w odpowiednim urządzeniu - niszczarce. Zabronione jest usuwanie danych w jakikolwiek inny sposób. 7) Użytkowników informatycznych systemów przetwarzających dane osobowe obowiązuje następująca polityka haseł: a) długość hasła wynosi minimum 8 (osiem) znaków, b) zmiana hasła nie rzadziej niż co 30 (trzydzieści) dni, c) hasło musi zawierać kombinację małych i wielkich liter oraz cyfr, d) nie może powtórzyć się żadne z poprzednich haseł. Polityka haseł dotyczy wszystkich systemów informatycznych przetwarzających dane osobowe. 8) Jeżeli system informatyczny środkami technicznymi nie wymusza zasad ujętych w pkt 7, użytkownik zobowiązany jest do przestrzegania powyższych zasad, a tym samym do okresowej zmiany hasła i dobrania odpowiedniej jego długości i różnorodności znaków. 9) Zabronione jest zapisywanie hasła w miejscu dostępnym dla innych osób. 10) Użytkownik, który utracił hasło, zobowiązany jest zgłosić ten fakt bezzwłocznie Administratorowi Systemu Informatycznego, który ustali nowe hasło. 11) Zabronione jest przetwarzanie danych osobowych na komputerach przenośnych poza terenem Collegium Mazovia Innowacyjna Szkoła Wyższa. 12) Ekrany komputerów, na których przetwarzane są dane osobowe, należy chronić za pomocą wygaszaczy ekranu zabezpieczonych hasłem. Monitory należy ustawić tak, aby ograniczyć dostęp do danych osobom nieupoważnionym do przetwarzania danych. 5. Instrukcje rozpoczynania i kończenia pracy w systemach informatycznych przetwarzających dane osobowe 1) Aby rozpocząć pracę w systemach informatycznych należy uruchomić komputer i uwierzytelnić się w systemie operacyjnym przez podanie identyfikatora użytkownika oraz hasła. 2) Aby wstrzymać lub zakończyć pracę w systemie informatycznym przetwarzającym dane Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej 3

4 osobowe, należy zakończyć pracę w poszczególnych aplikacjach, a następnie wybrać polecenie WYLOGUJ w systemie operacyjnym i potwierdzić zakończenie pracy w systemie operacyjnym. 3) Po zakończeniu pracy należy zakończyć pracę systemu operacyjnego polecenie - Zamknij system. 4) Zabronione jest kończenie pracy przez odłączenie zasilania komputera. 6. Postępowanie w przypadku wystąpienia przez osobę o informacje dotyczące przetwarzania jej danych osobowych 1) Osobom, których dane są przetwarzane, przysługuje prawo do: a) uzyskania wyczerpującej informacji, w jakim zbiorze przetwarzane są ich dane, czy taki zbiór istnieje oraz ustalenia administratora danych, adresu jego siedziby i pełnej jego nazwy, b) uzyskanie informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, c) uzyskanie informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych, d) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, e) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane. 2) Jeżeli osoby wystąpią o informację o przetwarzaniu danych, pracownicy są zobowiązani przekazać ustnie wyczerpujące informacje dotyczące przetwarzania danych osoby wnioskującej. 3) Na wniosek osoby raport może być sporządzony w formie pisemnej. W takim przypadku należy skierować osobę, której dane są przetwarzane do Administratora Bezpieczeństwa Informacji. 4) Administrator Bezpieczeństwa Informacji w ciągu 30 dni od otrzymania żądania raportu od osoby sporządza raport i przekazuje go osobie wnioskującej pocztą, listem poleconym. 5) Udzielając odpowiedzi na wniosek osoby należy przekazać następujące informacje: a) adres, siedziba i pełna nazwa Collegium Mazovia Innowacyjnej Szkoły Wyższej, b) cel, zakres oraz sposób przetwarzania zbioru danych osobowych, c) od kiedy przetwarza się w zbiorze dane jej dotyczące, d) jeżeli dane nie były zebrane od osoby, której dotyczą- informacje o źródle danych, e) informacje o udostępnianiu danych innym podmiotom. 6) W przypadku wniosku o sprostowanie danych, pracownik powinien sprostować dane po identyfikacji osoby na podstawie dokumentu tożsamości (dowód osobisty, paszport itp.). 7) W przypadku wniosku o usunięcie danych, należy poinformować osobę o konieczności skontaktowania się z opiekunem zbioru. Opiekun zbioru podejmuje decyzję. po konsultacji z Administratorem Bezpieczeństwa Informacji i Administratorem Systemów Informatycznych, o usunięciu lub informuje osobę o decyzji odmownej. W decyzji należy wskazać podstawę odmowy, np. ustawowy obowiązek przechowywania danych przez określony czas. Należy także Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej 4

5 poinformować osobę o prawie odwołania się od tej decyzji do Generalnego Inspektora Ochrony Danych Osobowych. 8) W przypadku innych wniosków związanych z przetwarzaniem danych osobowych, pracownik powinien skierować osobę wnioskującą do opiekuna zbioru. 7. Postępowanie w sytuacjach naruszenia zasad ochrony danych osobowych 1) Naruszenie ochrony danych osobowych ma miejsce, gdy: a) stwierdzono naruszenie zabezpieczenia systemu informatycznego, b) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci teleinformatycznej mogą wskazywać na naruszenie poufności, integralności lub dostępności tych danych, c) stan pomieszczeń lub szaf bądź innych miejsc przechowywania danych osobowych w formie papierowej, zawartość dokumentacji lub nośników informacji może wskazywać na uzyskanie dostępu do nich przez osoby nieupoważnione. 2) Na naruszenie ochrony danych osobowych mogą przykładowo wskazywać: a) widoczne uszkodzenia bądź naruszenia powierzchni szaf lub innych mebli, ścian, drzwi, okien lub zamków, b) uszkodzenia opakowania dokumentacji Administratora Danych, c) nieuprawniony dostęp do systemów informatycznych lub pomieszczeń Collegium Mazovia Innowacyjnej Szkoły Wyższej, d) naruszenie lub próba naruszenia integralności systemu informatycznego, e) zmiana lub utrata danych zapisanych na kopiach zapasowych, dokonana w sposób nieautoryzowany, f) zniszczenie lub próba zniszczenia w sposób nieuprawniony danych zarządzanych przez Administratora Danych, g) inny stan pomieszczeń lub systemu informatycznego niż pozostawiony po zakończeniu pracy lub przerwie w pracy w systemie informatycznym. 3) W przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych pracownik ma obowiązek: a) powiadomić ochronę pomieszczeń oraz Administratora Bezpieczeństwa Informacji o podejrzeniu lub fakcie naruszenia, b) powstrzymać się od wszelkich działań mogących utrudnić ustalenie okoliczności naruszenia, c) zabezpieczyć pomieszczenie do czasu przybycia Administratora Bezpieczeństwa Informacji, d) podjąć inne działania stosownie do zaistniałej sytuacji, niezbędne do zapobieżenia dalszym zagrożeniom dla danych. 4) Dokonywanie zmian w miejscu naruszenia ochrony danych osobowych jest dopuszczalne jedynie w przypadkach wyższej konieczności, w szczególności, gdy zachodzi konieczność ratowania Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej 5

6 zdrowia lub życia ludzkiego, mienia lub jeżeli powstrzymanie się od działań mogłoby do takiego naruszenia doprowadzić. 5) Po otrzymaniu zgłoszenia naruszenia zasad ochrony danych osobowych Administrator Bezpieczeństwa Informacji powiadamia Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej, w którym nastąpiło naruszenie, o zaistniałym zdarzeniu. 6) Administrator Bezpieczeństwa Informacji wraz z Administratorem Systemów Informatycznych: a) zabezpieczają ślady pozostałe po przeprowadzeniu nieprawidłowych działań, b) oceniają zakres oraz rodzaj naruszenia zasad ochrony zbiorów danych osobowych, c) określają przyczyny oraz skutki naruszenia bezpieczeństwa zbiorów, w szczególności przez wysłuchanie i zapisanie relacji osoby, która odkryła naruszenie ochrony danych, wykonanie fotografii lub szkicu sytuacyjnego miejsca zdarzenia, d) w przypadku zbiorów przetwarzanych w systemie informatycznym: sprawdzają, z którego stanowiska nastąpiło włamanie i czy użytkownik pracujący przy tym stanowisku, dostatecznie zabezpieczył stanowisko pracy przed wyłączeniem komputera, e) określają działania i środki, jakie należy podjąć w celu przywrócenia prawidłowego funkcjonowania systemu zabezpieczeń i przybliżony czas odtworzenia, f) określają działania i środki, jakie należy podjąć w celu uniemożliwienia naruszenia ochrony zbiorów danych osobowych w przyszłości, g) sporządzają szczegółowy raport z przeprowadzonego postępowania, który przedstawiają Administratorowi Danych. 7) W razie potrzeby Administrator Danych informuje właściwe organy ochrony prawnej o podejrzeniu popełnienia przestępstwa. 8) Administrator Systemów Informatycznych przywraca normalne działanie systemów informatycznych, w szczególności przez odtworzenie bazy z kopii zapasowej, z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania nieuprawnionego dostępu tą samą droga. Jeżeli przyczyną zdarzenia był błąd użytkownika systemu, należy przeprowadzić szkolenie dla osób biorących udział w przetwarzaniu danych. 9) W przypadku: a) zaniedbania zabezpieczenia zbiorów danych osobowych, b) utrudniania i uniemożliwiania wykrycia naruszenia zabezpieczenia baz danych, Administrator Danych wdroży postępowanie dyscyplinarne wobec pracowników odpowiedzialnych za zaistniały stan. Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej 6