REGULAMIN. organizacji i przetwarzania danych osobowych.

Transkrypt

1 załącznik nr 3 do zarządzenia Rektora nr 22 z dn r. REGULAMIN organizacji i przetwarzania danych osobowych. Rozdział 1. Postanowienia ogólne. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. Rozdział 3. Procedury tworzenia, rejestrowania i zmian w przetwarzaniu danych osobowych w zbiorach. Rozdział 4. Szkolenie oraz prowadzenie dokumentacji przetwarzania danych osobowych. Rozdział 5. Obowiązki osób upoważnionych przez Administratora. Rozdział 6. Postanowienia końcowe. Załączniki.

2 Regulamin organizacji i przetwarzania danych osobowych, określa ogólne zasady, cele przetwarzania danych i wskazuje działania podejmowane przez Administratora Ochrony Danych oraz osoby przez niego upoważnione, w zakresie organizacji przetwarzania i ochrony danych osobowych w jednostkach SGH. Regulamin został opracowany zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Rozdział 1 Postanowienia ogólne 1 1. Administrator może upoważnić osoby zatrudnione w SGH do wykonywania określonych czynności, znajdujących się w zakresie zadań Administratora. 2. Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1, należy do Administratora. Rozdział 2 Ogólne zasady przetwarzania danych osobowych 2 1. Dane osobowe są przetwarzane w SGH w celu realizacji zadań określonych przepisami prawa. 2. Cel, o którym mowa w ust. 1, należy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą Zasadą obowiązującą w SGH jest zachowanie przez użytkowników w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania. 2. Możliwość wystąpienia zagrożeń bezpieczeństwa danych przetwarzanych w systemach lub kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych nakłada na użytkowników i ich przełożonych obowiązek zapewnienia danym skutecznej ochrony. 3. Przesyłanie danych osobowych za pomocą urządzeń telekomunikacyjnych lub transmisji danych w sieci publicznej wymaga wykorzystania odpowiednich urządzeń i przedsięwzięć zapewniających poufność i integralność ich przekazu. 4. Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba że konieczność ich sporządzania wynika z nałożonych na użytkownika obowiązków i dozwolona jest przepisami prawa.

3 4 1. Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które posiadają upoważnienie do przetwarzania danych wydane przez Administratora. 2. Procedury nadawania, wycofywania, zmiany w SGH upoważnień do przetwarzania danych osobowych obejmują: 1) złożenie przez przełożonego wniosku o nadanie, wycofanie, zmianę upoważnienia do przetwarzania danych osobowych, którego wzór stanowi załącznik nr 1 do Regulaminu; 2) podpisanie przez osobę ubiegającą się o nadanie upoważnienia, oświadczenia o zachowaniu w tajemnicy zasad przetwarzania danych oraz sposobów ich zabezpieczania, obejmującej także okres po ustaniu stosunku pracy, którego stanowi załącznik nr 2 do Regulaminu; 3) nadanie przez Administratora lub osobę przez niego wskazaną, upoważnienia do przetwarzania danych osobowych, którego wzór stanowi załącznik 3 i 4 do Regulaminu. 3. Kopie upoważnień oraz inne dokumenty, o których mowa w ust. 2, przechowuje ABI. 4. Przełożony uprawnionego pracownika ma obowiązek realizacji procedur, o których mowa w ust ABI prowadzi kontrolę realizacji obowiązku, o którym mowa w ust Budynki, pomieszczenia lub ich część, w których przetwarzane są dane osobowe tworzą obszary przetwarzania danych osobowych w SGH. Przebywanie osób nieuprawnionych w tych obszarach jest ograniczone i odbywać się może tylko w obecności użytkowników. 2. Administrator zapewnia ochronę obszarów przetwarzania danych osobowych w SGH, według zasad określonych w Polityce bezpieczeństwa, stanowiącej załącznik nr 1 do Zarządzenia. 3. Do obszarów podlegających szczególnej ochronie Administrator zalicza serwerownie oraz pomieszczenia, w których przetwarzane są dane sensytywne. Rozdział 3 Procedury tworzenia, rejestrowania i dokonywania zmian w przetwarzaniu danych osobowych w zbiorach 6 1. Tworzy się zbiory danych osobowych przez nadanie danym osobowym odpowiedniej struktury, dostępnej według określonych kryteriów, niezależnie od tego, czy zestaw danych jest rozproszony lub podzielony funkcjonalnie. 2. Przetwarzanie danych osobowych może odbywać się metodą: 1) papierową, w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych;

4 2) informatyczną, w systemach informatycznych; 3) poza zbiorem danych. 3. Zgodnie z potrzebami realizacji zadań służbowych, przełożeni użytkowników tworzą zbiory lub wnioskują o ich wycofanie (zmianę), według następujących reguł: 1) nazwa zbioru powinna odzwierciedlać cel przetwarzania danych i być zgodna z nazewnictwem stosowanym w przepisach prawa; 2) należy wskazać podstawy prawne do przetwarzania danych; 3) należy określić sposób i miejsca przetwarzania danych oraz użytkowników; 4) należy przekazać informację ABI w celu określenia poziomu bezpieczeństwa systemu, w którym przetwarzane są dane; 5) należy zapewnić ochronę danym osobowym Administrator ma obowiązek zgłosić zbiór danych do rejestracji w GIODO. 2. Przełożeni mają obowiązek wypełnienia wniosku zgłoszenia zbioru do rejestracji i przesłania go do ABI. 3. Wzór wniosku, o którym mowa w ust. 2, stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025). 4. Dane osobowe w zbiorze można przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, że zbiór nie zawiera danych sensytywnych. Zbiór zawierający dane sensytywne można przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania. 5. Zgłoszeniu nie podlegają dane; 1) przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 2) przetwarzane w związku z zatrudnieniem w Uczelni, świadczeniem usług na podstawie umów cywilnoprawnych, a także dotyczące osób zrzeszonych lub uczących się w Uczelni; 3) przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 4) powszechnie dostępne; 5) objęte tajemnicą państwową lub służbową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego; 6) przetwarzanych w zakresie bieżących spraw służbowych. Rozdział 4 Szkolenie oraz prowadzenie dokumentacji z zakresu przetwarzania danych osobowych 8 1. Każda osoba przed rozpoczęciem przetwarzania danych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony

5 danych osobowych. Przełożony zobowiązany jest umożliwiać podwładnym zapoznanie się z tymi przepisami. Po zapoznaniu się z tymi przepisami pracownik podpisuje stosowne oświadczenie. 2. W przypadku wdrażania w SGH nowych procedur przetwarzania i ochrony danych osobowych, ABI na wniosek osób, o których mowa w 9 ust 3, może polecić zorganizowanie dodatkowych szkoleń dla wskazanych przez przełożonych grup użytkowników. 3. Szkolenia, o których mowa w ust. 2, organizuje ABI. Rozdział 5 Obowiązki osób upoważnionych przez Administratora 9 1. Administrator wykonuje zadania z zakresu przetwarzania i ochrony danych osobowych zgodnie z przepisami Ustawy. 2. Administrator stosuje środki techniczne i przedsięwzięcia organizacyjne zapewniające skuteczną realizację zadań w zakresie bezpieczeństwa i ochrony danych przetwarzanych w SGH. 3. Zadania, o których mowa w ust. 1, z upoważnienia Administratora wykonują: 1) Lokalni Administratorzy Danych Osobowych (LADO); 2) kierownicy jednostek organizacyjnych SGH w odniesieniu do danych osobowych przetwarzanych w swoich jednostkach; 3) osoba upoważniona do wykonywania określonych zadań w imieniu Administratora. 4. Wzór upoważnienia, o którym mowa w ust. 3, stanowi załącznik nr 4 do Regulaminu Zadania organizacji, koordynacji, kontroli i nadzoru przestrzegania przepisów o ochronie danych osobowych w SGH wykonuje ABI na podstawie upoważnień nadanych przez Administratora. 2. Do zadań ABI należy: 1) koordynowanie przedsięwzięć kierowników komórek organizacyjnych, o których mowa w ust. 1, w zakresie przetwarzania i ochrony danych osobowych; 2) występowanie do Administratora o cofanie, ograniczanie lub niewyrażanie zgody na przyznanie uprawnień do przetwarzania danych osobowych; 3) przygotowywanie projektów zarządzeń, instrukcji i wytycznych Administratora; 4) opiniowanie umów, we współpracy z Zespołem Radców Prawnych, dotyczących udostępniania lub powierzenia przetwarzania danych podmiotom zewnętrznym lub osobom, które nie są pracownikami SGH; 5) organizowanie szkolenia w zakresie ochrony danych osobowych dla osób, o

6 których mowa w 15 ust. 3; 6) prowadzenie ewidencji i wykazów; 7) zgłaszanie lub aktualizowanie zbiorów danych osobowych do rejestracji w GIODO; 8) przekazywanie Administratorowi wniosku o przekazywaniu danych osobowych do państwa trzeciego; 9) koordynowanie i nadzorowanie wykonywania zadań w SGH w zakresie zgodności z prawem, celowości, poprawności i adekwatności przetwarzania danych osobowych., 10) prowadzenie na podstawie upoważnienia korespondencji z GIODO w imieniu Administratora Dział Eksploatacji realizuje czynności techniczne związane z zapewnieniem skutecznej fizycznej ochrony danym osobowym przetwarzanym w SGH. 2. Do zadań kierownika Działu Eksploatacji należy zapewnienie technicznego zabezpieczenia i wyposażenia pomieszczeń i obiektów, które tworzą obszary przetwarzania danych ze szczególnym uwzględnieniem zadań określonych w 20 ust. 2 lit. c) e) Polityki bezpieczeństwa stanowiącej załącznik nr 1 do Zarządzenia. 3. Czynności, o których mowa w ust. 2, wykonuje się na wniosek ABI lub właściwego kierownika jednostki organizacyjnej SGH Centrum Informatyczne realizuje czynności techniczne związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych w jemu podległych systemach informatycznych. 2. Do zadań Dyrektora CI w szczególności należy: 1) wyznaczanie ASI (osoba lub zespół osób) do poszczególnych systemów informatycznych SGH - uwzględniając wielkość zbiorów i typologię systemów oraz nadzorowanie ich działalności; 2) dostosowywanie systemów do wymogów prawa; 3) w porozumieniu z ABI (jeśli Dyrektor CI nie jest ABI), planowanie i wdrażanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; 4) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; 5) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposażenia pomieszczeń, w których znajdują się serwery. 3. Do zadań ASI w szczególności należy: 1) administrowanie systemami, w których przetwarzane są dane osobowe; 2) przyznawanie użytkownikom identyfikatorów i uprawnień, które wynikają z nadanego upoważnienia do przetwarzania danych osobowych; 3) inst54alowanie, aktualizowanie i konfigurowanie oprogramowania systemowego i aplikacyjnego oraz urządzeń, o ile czynności te nie są

7 wykonywane przez upoważnionych przedstawicieli dostawcy systemu na podstawie zawartej umowy; 4) instalowanie i aktualizowanie oprogramowania antywirusowego; 5) reagowanie w przypadku naruszenia bądź powstania zagrożenia bezpieczeństwa danych przetwarzanych w systemie; 6) tworzenie, rejestrowanie, przechowywanie i archiwizowanie kopii zapasowych baz danych osobowych; 7) przygotowywanie urządzeń, dysków i innych elektronicznych nośników informacji, zawierających dane osobowe, do likwidacji, przekazania innemu podmiotowi, konserwacji lub naprawy; 8) przekazywania do ABI opisów struktur zbiorów danych, schematów przepływu danych pomiędzy systemami, zawartości poszczególnych pól informacyjnych w aplikacjach oraz wszelkich zmian w tym zakresie; 9) zakładanie, modyfikacja lub usuwanie baz danych w systemie oraz realizowanie migracji danych pomiędzy nimi; 10) natychmiastowe informowanie ABI o zdarzeniach, o których mowa w lit. e); 11) wykonywanie bieżącej konserwacji i przeglądu systemu; 12) uaktualnianie kont i uprawnień użytkowników systemu w porozumieniu z ABI Kierownicy jednostek organizacyjnych SGH są odpowiedzialni za przestrzeganie przepisów dotyczących przetwarzania i ochrony danych osobowych w podległych im jednostkach w zakresie upoważnień nadanych przez Administratora. 2. Do zadań osób, o których mowa w ust. 1, należy: 1) wnioskowanie do Administratora o udostępnianiu danych osobowych w celach innych niż włączenie do zbioru; 2) wnioskowanie o rejestrację (aktualizację) zbiorów w GIODO - wypełnianie wniosków zgłoszenia; 3) przedkładanie do ABI wniosków o nadanie (wycofanie) lub zmianę upoważnień do przetwarzania danych osobowych dla pracowników i innych osób; 4) zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane; 5) zabezpieczanie danych osobowych zgodnie z przepisami zawartymi w dokumentacji przetwarzania i ochrony danych osobowych; 6) udzielanie informacji osobom, których dane są zbierane; 7) wnioskowanie do Administratora o zawarcie umów dotyczących udostępniania lub powierzenia przetwarzania danych osobom i podmiotom zewnętrznym; 8) wskazywanie osoby wykonującej w jednostce organizacyjnej czynności administracyjne związane z przetwarzaniem i ochroną danych osobowych; 9) przekazywanie do ABI wykazu zbiorów danych i programów zastosowanych do ich przetwarzania oraz lokalizacji obszarów ich przetwarzania; 10) w porozumieniu z ABI rozpatrywanie skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych; 11) na żądanie Administratora lub osoby przez niego upoważnionej przeprowadzenie okresowych analiz ryzyka dla poszczególnych systemów i na tej podstawie przedstawianie Administratorowi propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych.

8 14 1. Osoby upoważnione do podpisywania umów z osobami lub podmiotami zewnętrznymi i, o których mowa w 1 ust. 2 Instrukcji zobowiązane są do umieszczania postanowień umownych, gwarantujących bezpieczeństwo i ochronę danych osobowych przetwarzanych w SGH. 2. Postanowienia, o których mowa w ust. 1, dotyczą udostępniania lub powierzenia danych do przetwarzania i zawierają: 1) określenie przedmiotu i celu umowy; 2) zobowiązanie zleceniobiorcy do zapewnienia bezpieczeństwa i właściwej ochrony przetwarzanych danych osobowych; 3) zobowiązanie zleceniobiorcy do przestrzegania procedur, o których mowa w 6; 4) oświadczenie zleceniobiorcy dotyczące dostosowania systemów informatycznych wykorzystywanych w procesie przetwarzania danych osobowych do wymogów rozporządzenia, o którym mowa w 15 ust. 2; 5) zapewnienie zleceniodawcy nadzoru i kontroli nad przetwarzaniem i ochroną danych osobowych; 6) określenie kar umownych za nieprzestrzeganie zapisów umownych; 7) możliwość rozwiązania umowy w trybie natychmiastowym w przypadku stwierdzenia omijania przez zleceniobiorcę przepisów dotyczących bezpieczeństwa i ochrony przetwarzanych danych osobowych. Rozdział 6 Postanowienia końcowe 15 W sprawach nie uregulowanych niniejszym Regulaminem zastosowanie znajdują: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.); 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024); 3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025). 4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923).

9 Załącznik nr 1 do Regulaminu organizacji i przetwarzania danych (pieczęć jednostki organizacyjnej) Warszawa, dn. W N I O S E K Rektor Szkoły Głównej Handlowej w Warszawie Warszawa, Al. Niepodległości 162 Zgodnie z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w n i o s k u j ę o nadanie /odwołanie/zmianę/* Pani /Panu/*... upoważnienia do przetwarzania danych osobowych w Szkole Głównej Handlowej w Warszawie z powodu: /przyjęcia do pracy, przejścia na inne stanowisko, zwolnienia z pracy, zmiany uprawnień, lub innego - jakiego/*: Upoważnienie wydaje się na okres: /stały/czasowy - do kiedy/* Zakres przetwarzania... danych osobowych Uprawnienia: użytkownika /użytkownika uprzywilejowanego/ ASI* z tytułu zajmowanego stanowiska - jakiego: Sposób przetwarzania danych osobowych: /papierowy/ informatyczny/* 4. Obszar przetwarzania /adres siedziby/... danych osobowych /piętro, nr pokoju/ Uprawnienia obejmują przetwarzanie danych sensytywnych /art. 27 Ustawy/ 6. Osoba została zapoznana z przepisami o ochronie danych osobowych: /tak/nie/* /tak/nie/* /* niepotrzebne proszę skreślić... (przełożony osoby)

10 Załącznik nr 2 do Regulaminu organizacji i przetwarzania danych... (imię i nazwisko osoby)... (stanowisko i nazwa jednostki organizacyjnej) O Ś W I A D C Z E N I E Ja, niżej podpisana(y), oświadczam, że zapoznała(e)m się z przepisami dotyczącymi przetwarzania i ochrony danych osobowych i zobowiązuję się do ich przestrzegania. Jednocześnie oświadczam, że: a) zapewnię ochronę danym osobowym przetwarzanym Szkole Głównej Handlowej w Warszawie, a w szczególności zabezpieczę je przed dostępem osób nieupoważnionych, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem, b) zachowam w tajemnicy, także po ustaniu stosunku pracy, wszelkie informacje dotyczące przetwarzania oraz sposobów zabezpieczenia danych osobowych w SGH, c) natychmiast zgłoszę przełożonemu i Administratorowi Bezpieczeństwa Informacji w SGH, stwierdzenie próby lub faktu naruszenia ochrony lub bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe.... (podpis osoby ubiegającego się o dostęp) Warszawa, dnia Oświadczenie wypełnia osoba, która wykonując swoje obowiązki musi posiadać dostęp do danych osobowych przetwarzanych w SGH. Oświadczenie jest zgodne z art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

11 Załącznik nr 3 do Regulaminu organizacji i przetwarzania danych SZKOŁA GŁÓWNA HANDLOWA W WARSZAWIE Warszawa, dnia.. U P O W A Ż N I E N I E do przetwarzania danych osobowych w Szkole Głównej Handlowej w Warszawie Stwierdza się, że Pan/Pani: zgodnie z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) otrzymał(a) dostęp do danych osobowych przetwarzanych w szkole Głównej Handlowej w Warszawie, w ramach działań macierzystej jednostki organizacyjnej, w zakresie...., z uprawnieniami: /użytkownika/ użytkownika uprzywilejowanego/ ASI lub LASI/*. Upoważnienie jest ważne na czas zatrudnienia w... (Upoważnienie ważne do dnia...). (Upoważnienie ważne przez okres wykonywania zadania - jakiego?). Podpis Wydano zgodnie z upoważnieniem nr Rektora SGH z dnia.

12 Załącznik nr 4 do Regulaminu organizacji i przetwarzania danych Warszawa, dnia... GP -... U P O W A Ż N I E N I E Na podstawie art. 66 ust.2 ustawy z dnia 27 lipca 2005 roku Prawo o szkolnictwie wyższym. (Dz. U. z 2005 r. Nr 164, poz. 1365, z późn. zmianami) oraz art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniam Panią/ Pana/*... do wykonywania w imieniu Administratora Danych zadań związanych z przetwarzaniem i ochroną danych osobowych w niżej wymienionych jednostkach organizacyjnych Szkoły Głównej Handlowej w Warszawie:... w zakresie określonym w / 10, 11, 12, 13/* Regulaminu organizacji i przetwarzania danych osobowych stanowiącego załącznik nr 2 do Zarządzenia Rektora SGH Nr... z dnia r. w sprawie dokumentacji przetwarzania i ochrony danych osobowych w SGH. Upoważnienie niniejsze nie upoważnia do udzielania dalszych upoważnień i wygasa z dniem odwołania z funkcji...(wpisać), a ponadto może być w każdym czasie zmienione lub odwołane. Podpis.... * niepotrzebne skreślić