w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim

Transkrypt

1 Załącznik Nr 1 do zarządzenia Nr 2/2016 Dyrektora Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim z dnia 2 lutego 2016 roku POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Rozdział I. Informacje wstępne 1. Polityka bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim, zwana dalej Polityką bezpieczeństwa określa zasady i tryb postępowania przy przetwarzaniu danych osobowych Polityka bezpieczeństwa została opracowana zgodnie z wymogami określonymi w 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). 2. Celem Polityki bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim (tj. zarówno danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych), odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną. Dokument ten określa: 1) osoby pełniące w Jednostce funkcje administratora danych osobowych i administratora bezpieczeństwa informacji oraz inne funkcje związane z zapewnieniem właściwej ochrony danych osobowych, 2) zasady dopuszczania pracowników Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim do przetwarzania danych osobowych, obowiązki nałożone na pracowników dopuszczonych do przetwarzania danych osobowych oraz zasady rejestracji/aktualizacji zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych, 3) zdarzenia naruszające ochronę danych osobowych, 4) instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych. 3. Polityka bezpieczeństwa obowiązuje wszystkich pracowników Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim z wyłączeniem pracowników Powiatowego Zespołu ds. Orzekania o Niepełnosprawności w Makowie Mazowieckim, który jest administratorem danych w prowadzonej przez siebie bazie danych osobowych, a także dostawców, podmioty współpracujące na zasadzie umów, mające jakikolwiek kontakt z danymi osobowymi objętymi ochroną, w tym: osoby realizujące zadania na podstawie umów zlecenia lub o dzieło, stażystów, praktykantów, serwisantów, itp. 1

2 4. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników. 5. Zastosowane zabezpieczenia, o których mowa w ust. 4 mają służyć zapewnieniu ochrony przetwarzanych danych osobowych, odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną poprzez zapewnienie: 1) poufności danych rozumianej jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, 2) integralności danych rozumianej jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 3) rozliczalności danych rozumianej jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, 4) integralności systemu rozumianej jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej Użyte w Polityce bezpieczeństwa określenia oznaczają: 1) ustawa ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U poz. 2135), 2) rozporządzenie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), 3) PCPR w Makowie Maz. Powiatowe Centrum Pomocy Rodzinie w Makowie Mazowieckim, 4) administrator danych - administrator danych osobowych (ADO) Dyrektor Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim, który decyduje o celach i środkach przetwarzania danych osobowych w PCPR w Makowie Maz. oraz monitoruje wdrożone zabezpieczenia systemu informatycznego, 5) administrator bezpieczeństwa informacji (ABI) osoba wyznaczona przez administratora danych osobowych, odpowiedzialna za nadzór nad zapewnieniem bezpieczeństwa danych osobowych, 6) administrator systemu informatycznego (ASI) osoba odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w tym w szczególności za przeciwdziałanie dostępowi osób nieupoważnionych do systemów oraz podejmowanie odpowiednich działań w przypadku stwierdzenia naruszeń w tych systemach, 7) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 8) osoba możliwa do zidentyfikowania każda osoba fizyczna, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, 9) zbiór danych osobowych posiadający strukturę zestaw danych o charakterze danych osobowych, które są dostępne według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcyjnie, 10) przetwarzanie danych osobowych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 2

3 11) system informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; za system informatyczny uważany jest również pojedynczy komputer wraz z oprogramowaniem, przy pomocy którego przetwarzane są dane osobowe, 12) zabezpieczenie danych osobowych środki administracyjne, techniczne i fizyczne wdrożone w celu zabezpieczenia zasobów technicznych oraz ochrony przed zniszczeniem, nieuprawnionym dostępem i modyfikacją, ujawnieniem lub pozyskaniem danych osobowych lub ich utratą, 13) Instrukcja Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim. 2. Polityka bezpieczeństwa jest zgodna z ustawą oraz aktami wykonawczymi wydanymi na podstawie niniejszej ustawy. Rozdział II. Określenie osób pełniących funkcje administratora danych osobowych i administratora bezpieczeństwa informacji oraz inne funkcje związane z zapewnieniem właściwej ochrony danych osobowych Funkcję administratora danych w PCPR w Makowie Maz. pełni Dyrektor. 2. Administrator danych zabezpiecza dane osobowe przed ich udostępnianiem osobom nieupoważnionym, pozyskaniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. W powyższym celu ADO obowiązany jest stosować środki techniczne i organizacyjne adekwatne do poziomu ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w PCPR w Makowie Maz., zgodnie z przepisami ustawy i rozporządzenia. 3. W celu ochrony interesów osób, których dane dotyczą administrator danych przetwarza dane osobowe zgodnie z prawem, a w szczególności: 1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem zmian w obowiązującym prawie oraz w organizacji Jednostki, w tym decyzje o: a) zbieraniu danych osobowych wyłącznie dla oznaczonych, przewidzianych prawem celów, b) przetwarzaniu danych osobowych w postaci umożliwiającej identyfikację osób, których dotyczą, c) informowaniu osoby, której dane zostały umieszczone w zbiorze danych, o przysługujących jej prawach, d) przetwarzaniu danych osobowych nie dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania oraz w zakresie niezbędnym do wypełnienia obowiązków nałożonych przepisami prawa, e) zapewnieniu kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane, f) udostępnianiu danych osobowych innym podmiotom wyłącznie w sposób zgodny z prawem, 2) nadaje upoważnienia do przetwarzania danych osobowych, 3

4 3) zgłasza zbiory danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, w przypadkach przewidzianych przepisami prawa, 4) w razie stwierdzenia lub podejrzenia naruszenia zasad przetwarzania i ochrony danych osobowych, a w szczególności zabezpieczeń systemu informatycznego, w tym na wniosek administratora bezpieczeństwa informacji - podejmuje odpowiednie działania w celu usunięcia zagrożenia lub minimalizacji jego skutków, 5) udostępnia dane osobowe ze zbioru, na żądanie uprawnionych podmiotów, w przypadkach wskazanych prawem. 4. Administrator danych może powołać administratora bezpieczeństwa informacji i administratora systemu informatycznego oraz określić ich zakresy czynności Administrator bezpieczeństwa informacji sprawuje nadzór nad przestrzeganiem zasad przetwarzania i ochrony danych osobowych w imieniu i na rzecz administratora danych. 2. Do obowiązków administratora bezpieczeństwa informacji należy: 1) prowadzenie oraz aktualizacja dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, tj. Polityki bezpieczeństwa oraz Instrukcji, 2) nadzorowanie przestrzegania zasad określonych w Polityce bezpieczeństwa oraz Instrukcji, 3) nadzorowanie prawidłowości udostępniania danych osobowych odbiorcom danych, 4) nadzorowanie zamieszczania w umowach z użytkownikami upoważnionymi do przetwarzania danych osobowych, firmami którym powierzono przetwarzanie danych osobowych lub konserwacje urządzeń służących do przetwarzania danych oraz pracownikami tych firm, a także w innych dokumentach, odpowiednich zapisów dotyczących ochrony danych osobowych, 5) nadzorowanie wdrożenia adekwatnych do zagrożeń środków fizycznych, a także organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa danych, 6) nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe w zakresie związanym z bezpieczeństwem tych danych osobowych, 7) podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu informatycznego oraz prowadzenie adekwatnej dokumentacji w tym zakresie, 8) opracowanie upoważnienia do przetwarzania danych osobowych, 9) prowadzenie ewidencji wskazanej w Polityce bezpieczeństwa oraz Instrukcji, 10) sporządzanie raportów z naruszenia bezpieczeństwa danych osobowych, 11) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, b) opracowywanie i aktualizację dokumentacji, o której mowa w art. 36 ust. 2 ustawy oraz przestrzeganie zasad w niej określonych, c) zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 12) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy. 3. W przypadku nie powołania w PCPR w Makowie Maz. administratora bezpieczeństwa informacji, jego obowiązki wykonuje administrator danych. 4

5 6. 1. Administrator systemu informatycznego realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym administratora danych, w szczególności: 1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z poziomu administratora danych, 2) zarządza systemem komunikacji w sieci komputerowej oraz przesyłania danych za pośrednictwem urządzeń teletransmisji, 3) nadzoruje funkcjonowanie mechanizmów uwierzytelniania użytkowników w systemie informatycznym służącym do przetwarzania danych osobowych oraz kontroli dostępu do danych osobowych, 4) wykonuje kopie bezpieczeństwa komputerowych zbiorów danych zgodnie z zasadami określonymi w Instrukcji oraz okresowo sprawdza je pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego, 5) przydziela każdemu użytkownikowi indywidualny identyfikator oraz hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także w porozumieniu z ABI usuwa konta użytkowników zgodnie z zasadami określonymi w Instrukcji, 6) zmienia okresowo hasła dostępu użytkowników do systemu informatycznego w przypadkach, gdy system informatyczny nie wymusza okresowej zmiany haseł użytkowników określonej w Instrukcji, 7) osobiście wykonuje lub sprawuje nadzór nad wykonywaniem: napraw, konserwacji oraz likwidacji urządzeń komputerowych, które mogą zawierać dane osobowe. 2. W uzasadnionych przypadkach obowiązki ASI może sprawować ABI lub też inna osoba spoza PCPR w Makowie Maz. pod warunkiem zawarcia z tą osobą umowy, w pełni respektującej przepisy ustawy i rozporządzenia. Rozdział III. Zasady dopuszczania pracowników Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim do przetwarzania danych osobowych oraz zgłaszania/aktualizacji zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Do przetwarzania danych osobowych, mogą być dopuszczone wyłącznie osoby posiadające imienne upoważnienie administratora danych, wydane na podstawie aktualnego zakresu obowiązków, zgodnie ze wzorem określonym w załączniku nr 2 do Polityki bezpieczeństwa. 2. Upoważnienia do przetwarzania danych osobowych dla pracowników PCPR w Makowie Maz. sporządza administrator bezpieczeństwa informacji, a podpisuje administrator danych. 3. Administrator bezpieczeństwa informacji prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Ewidencja zawiera następujące informacje: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 5

6 4. W przypadku zmiany zakresu czynności pracownika, do wykonywania których został upoważniony na mocy wydanego upoważnienia, administrator bezpieczeństwa informacji opracowuje nowe upoważnienie do przetwarzania danych osobowych. 5. Każdy pracownik przed dopuszczeniem go do przetwarzania danych osobowych, z wyłączeniem pracowników Powiatowego Zespołu ds. Orzekania o Niepełnosprawności w Makowie Mazowieckim, musi zostać przeszkolony przez administratora bezpieczeństwa informacji, a w przypadku jego nie powołania przez administratora danych, w zakresie przepisów dotyczących ochrony danych osobowych oraz Polityki bezpieczeństwa i Instrukcji. 8. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do: 1) bezwzględnego przestrzegania zasad bezpieczeństwa przetwarzania danych osobowych określonych w Polityce bezpieczeństwa, Instrukcji i innych procedurach obowiązujących w PCPR w Makowie Maz., 2) przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach służbowych, 3) zabezpieczania zbiorów danych osobowych oraz dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych za pomocą środków określonych w Polityce bezpieczeństwa, Instrukcji oraz w innych procedurach obowiązujących w PCPR w Makowie Maz., 4) niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie, 5) nieudzielania informacji o danych osobowych innym podmiotom, chyba że obowiązek taki wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w takich przepisach zostały spełnione, 6) niezwłocznego zawiadamiania administratora bezpieczeństwa informacji o wszelkich przypadkach naruszenia bezpieczeństwa danych osobowych, a także o przypadkach utraty lub kradzieży dokumentów lub innych nośników zawierających te dane osobowe Administrator danych zobowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a ustawy. 2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych każdą zmianę informacji w zgłoszonym zbiorze w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. 3. Administrator danych opracowuje i podpisuje wnioski zgłoszeniowe o zarejestrowanie/zaktualizowanie zbioru danych osobowych. Rozdział IV. Opis zdarzeń naruszających ochronę danych osobowych Ochronę danych osobowych naruszają następujące zagrożenia: 1) zagrożenia losowe zewnętrzne np.: klęski żywiołowe, przerwy w zasilaniu energii elektrycznej - ich występowanie może prowadzić do utraty integralności lub zniszczenia danych, uszkodzenia infrastruktury technicznej systemu lub zakłócenia ciągłości systemu, nie dochodzi do naruszenia poufności danych, 6

7 2) zagrożenia losowe wewnętrzne np.: niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania - może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych, 3) zagrożenia zamierzone, świadome i celowe najpoważniejsze zagrożenia naruszenia poufności danych (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej oraz zakłócenie ciągłości pracy). Zagrożenia te obejmują: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 2. Za przypadki naruszające lub uzasadniające podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe uważa się: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp., 2) niewłaściwe parametry środowiska, np. niewłaściwa wilgotność, temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje, 3) awaria sprzętu lub oprogramowania, wyraźnie wskazująca na umyślne działanie w kierunku naruszenia ochrony danych lub sabotaż, 4) niewłaściwe działanie serwisu, w tym także pozostawienie serwisantów bez nadzoru, 5) pojawienie się komunikatu alarmowego pochodzącego od części systemu zapewniającej ochronę zasobów lub innego komunikatu o podobnym znaczeniu, 6) zła jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego, wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie, 7) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, 8) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze danych bez upoważnienia, 9) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie informatycznym, 10) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedur ochrony przetwarzania lub innych chronionych elementów systemu zabezpieczeń, 11) funkcjonowanie systemu lub jego sieci komputerowej wskazujące odstępstwa od założonego rytmu pracy, uprawdopodobniające przełamanie lub zaniechanie ochrony danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie jest dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., 12) obecność w obszarze bezpieczeństwa osób postronnych bez dozoru pracowników zatrudnionych przy przetwarzaniu danych osobowych, 13) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki, itp., 14) podmiana lub zniszczenie nośników z danymi osobowymi bez zachowania procedury (skasowanie lub skopiowanie danych osobowych w sposób niedozwolony), 15) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie wydrukowanych danych osobowych w drukarce, nie wykonanie w określonym terminie kopii bezpieczeństwa, itp.). 3. Za naruszenie ochrony danych osobowych uważa się również stwierdzenie nieprawidłowości w zakresie: 1) zabezpieczenia fizycznego miejsc przetwarzania danych osobowych np. pozostawienie otwartego pomieszczenia, w którym przetwarzane są dane osobowe, umożliwienie nieautoryzowanego dostępu do urządzeń archiwizujących, 7

8 2) zabezpieczenia organizacyjnego np. przetwarzanie danych osobowych przez pracowników nieposiadających upoważnienia do przetwarzania danych osobowych. Rozdział V. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych określa sposób postępowania w przypadku: 1) stwierdzenia naruszenia zabezpieczenia danych w systemie informatycznym, 2) zaistnienia prawdopodobieństwa naruszenia zabezpieczeń danych osobowych w systemie informatycznym na co wskazuje: stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej, 3) stwierdzenia naruszenia zabezpieczenia danych przetwarzanych poza systemem informatycznym. 2. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych ma zastosowanie w szczególności wówczas, gdy stwierdzono: 1) zakłócenia toku pracy ustalonych procedur działania przy przetwarzaniu danych osobowych, 2) stan urządzeń wchodzących w skład systemu wskazuje na zakłócenie jego pracy, 3) stan przeglądu danych osobowych lub urządzeń wchodzących w skład systemu informatycznego wskazuje na obecność wirusa zakłócającego normalny tok pracy, 4) włamanie lub innego rodzaju naruszenie zabezpieczeń stosowanych w obszarze przetwarzania danych osobowych, 5) ujawnienie osobom nieuprawnionym danych osobowych ze zbioru danych objętych systemem zabezpieczeń, 6) rażące naruszenie zasad i dyscypliny pracy w zakresie bezpieczeństwa danych osobowych chronionych przepisami ustawy o ochronie danych osobowych, 7) zniszczenie, uszkodzenie lub zniknięcie zbioru danych osobowych lub jego poszczególnych części. 12. W przypadku stwierdzenia, przez osobę przetwarzającą dane osobowe lub jej przełożonego, zaistnienia choćby jednej z przesłanek, o których mowa w 11, osoby te są zobowiązane natychmiast zawiadomić o tym administratora bezpieczeństwa informacji, a w przypadku gdy naruszenie dotyczy danych w systemie informatycznym, także administratora systemu informatycznego. 13. Administrator bezpieczeństwa informacji, a w przypadku jego nie powołania administrator danych, w obecności osoby, która stwierdziła naruszenie zabezpieczeń lub zasad ochrony danych osobowych przeprowadza oględziny miejsca stwierdzenia naruszenia i sporządza na tę okoliczność stosowny raport. Wzór raportu stanowi załącznik nr 3 do Polityki bezpieczeństwa. 14. Raport, o którym mowa w 13 powinien zawierać w szczególności: 1) datę, godzinę i miejsce jego sporządzenia, 2) określenie osób obecnych przy jego sporządzaniu, 8

9 3) precyzyjne wskazanie stwierdzonego naruszenia zasad związanych z ochroną przetwarzania danych osobowych lub zabezpieczeń stosowanych w tym zakresie w systemie informatycznym, gdzie przetwarzane są dane, lub poza systemem informatycznym, 4) wskazanie terminu stwierdzenia naruszenia ochrony danych, 5) określenie szkód i zagrożenia dla danych przetwarzanych w zbiorze, 6) wskazanie osób odpowiedzialnych za naruszenie zabezpieczeń, 7) podpisy osób obecnych przy oględzinach Po sporządzeniu raportu, o którym mowa w 13, administrator bezpieczeństwa informacji przekazuje go do administratora danych osobowych. 2. Administrator danych lub administrator bezpieczeństwa informacji wspólnie z administratorem danych, dokonuje/dokonują analizy i oceny całokształtu stwierdzonego naruszenia zasad ochrony danych osobowych, a następnie zarządza/zarządzają wprowadzenie środków eliminujących w przyszłości podobne zdarzenia. 16. W przypadku stwierdzenia ewidentnego naruszenia dyscypliny pracy przez osobę zatrudnioną przy przetwarzaniu danych osobowych, administrator danych podejmuje stosowne środki dyscyplinujące. Rozdział VI. Postanowienia końcowe Wszelkie zmiany w Polityce bezpieczeństwa wymagają zatwierdzenia przez administratora danych. 2. Integralną część Polityki bezpieczeństwa stanowią załączniki do niniejszego dokumentu. 3. Aktualizacja załączników do Polityki bezpieczeństwa dokonywana będzie w miarę potrzeb, jednakże nie rzadziej niż raz do roku. 4. Odpowiedzialność karną za przetwarzanie danych osobowych niezgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U poz. 2135), oraz przepisami wykonawczymi do tej ustawy określają przepisy art ww. ustawy. 5. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z Polityki bezpieczeństwa traktowane są jako ciężkie naruszenie obowiązków pracowniczych. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w Polityce bezpieczeństwa, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z zasadami określonymi w 12, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne. 6. Orzeczona kara dyscyplinarna wobec osoby uchylającej się od powiadomienia osób, o których mowa w 12 o naruszeniu zabezpieczeń systemu informatycznego lub o uzasadnionym domniemaniu takiego naruszenia, nie wyklucza odpowiedzialności karnej tej osoby, wynikającej z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. 9

10 2015 poz. 2135), oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez administratora danych o zrekompensowanie poniesionych strat. 7. Osoby, które zostały zapoznane z Polityką bezpieczeństwa zobowiązane są do bezwzględnego stosowania zasad w niej zawartych (oświadczenie o bezwzględnym stosowaniu zapisów Polityki bezpieczeństwa zawarte zostało w upoważnieniu do przetwarzania danych osobowych). 8. Upoważnienia do przetwarzania danych osobowych przechowywane są w aktach personalnych pracowników. 9. Wszystkie regulacje określone w Polityce bezpieczeństwa dotyczą przetwarzania danych osobowych w bazach PCPR w Makowie Maz., prowadzonych zarówno w formie elektronicznej, jak i w formie papierowej. 10. W przypadku konieczności udostępnienia danych osobowych, administrator danych udostępnia posiadane w zbiorze dane osobowe, osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 11. Dane osobowe udostępnia się na pisemny wniosek, chyba że przepis innej ustawy stanowi inaczej. 12. Udostępnione dane osobowe można wykorzystywać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 13. Niezależnie od zasad i regulacji zawartych w Polityce bezpieczeństwa, mają zastosowanie wszelkie wewnętrzne regulaminy lub instrukcje dotyczące bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualne zakresy zadań osób zatrudnionych przy przetwarzaniu danych osobowych. Załączniki do Polityki bezpieczeństwa: - Załącznik nr 1: wzór Oświadczenia o zachowaniu poufności danych osobowych; - Załącznik nr 2: wzór Upoważnienia do przetwarzania danych osobowych; - Załącznik nr 3: wzór Raportu z naruszenia bezpieczeństwa ochrony danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim; - Załącznik nr 4: Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; - Załącznik nr 5: Wykaz zbiorów danych osobowych znajdujących się w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych osobowych przetwarzanych w PCPR w Makowie Maz., wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz określenie sposobu przepływu danych pomiędzy systemami; - Załącznik nr 6: Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 10

11 Załącznik Nr 1 do Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Wzór Oświadczenia o zachowaniu poufności danych osobowych. miejscowość, data Oświadczenie o zachowaniu poufności danych osobowych Ja, niżej podpisana/y...zatrudniona/y na stanowisku / na podstawie umowy nr z dnia... zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania, pod rygorem odpowiedzialności karnej określonej w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U poz. 2135), przetwarzanych przeze mnie w związku z świadczeniem pracy na rzecz Powiatowego Centrum Pomocy Rodzinie w Makowie Mazowieckim. Jednocześnie zobowiązuję się do stosowania przepisów ww. ustawy, zapisów Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim.... (data i czytelny podpis) 11

12 Załącznik Nr 2 do Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Wzór upoważnienia do przetwarzania danych osobowych ul.... (miejscowość, data) U P O W A Ż N I E N I E D O P R Z E T W A R Z A N I A D A N Y C H O S O B O W Y C H Na podstawie art. 7 pkt 4 oraz art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U poz. 2135), upoważniam zatrudnioną/nego na stanowisku, na podstawie umowy nr.. z dnia do przetwarzania danych osobowych w zakresie:.. Niniejszego upoważnienia udziela się do dnia ustania zatrudnienia w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim. Niniejsze upoważnienie może zostać cofnięte w każdym czasie. Po utracie ważności upoważnienia zobowiązuję ww. osobę do zwrotu upoważnienia administratorowi danych osobowych. Osoba upoważniona do przetwarzania danych osobowych ponosi odpowiedzialność karną za przetwarzanie danych osobowych niezgodnie z ustawą o ochronie danych osobowych, zgodnie z postanowieniamii rozdziału 8 ww. ustawy.... Administrator danych osobowych Ja niżej podpisana/y zobowiązuję się do: 1) zachowania w tajemnicy danych osobowych, do których zostałem upoważniona/ny oraz sposobów ich zabezpieczenia (art. 39 ust. 2 ustawy o ochronie danych osobowych). Przyjmuję do wiadomości i stosowania, że ww. obowiązek trwa również po ustaniu zatrudnienia w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim, 2) bezwzględnego stosowania przepisów ustawy o ochronie danych osobowych oraz aktów wykonawczych do ww. ustawy, zapisów Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim. Otrzymałam/em:.. (data i podpis pracownika). (data i podpis pracownika) 12

13 Załącznik Nr 3 do Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Wzór Raportu z naruszenia bezpieczeństwa ochrony danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Raport z naruszenia bezpieczeństwa ochrony danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim 1. Data:..., godzina:... (dd.mm.rr) (00:00) 2. Osoba powiadamiająca o zaistniałym zdarzeniu:... (imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)) 3. Lokalizacja zdarzenia:... (np. numer pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: Podjęte działania: Przyczyny wystąpienia zdarzenia: Postępowanie wyjaśniające: (data i podpis administratora bezpieczeństwa informacji lub administratora danych) 13

14 Załącznik Nr 4 do Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe Za obszar przetwarzania danych uznaje się obszar, w którym wykonywane są operacje na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Lp. Nazwa Lokalizacja (adres) Nr pokoju (piętro) 1. Powiatowe Centrum Pomocy Rodzinie w Makowie Mazowieckim ul. Duńskiego Czerwonego Krzyża Maków Mazowiecki parter pokoje: nr 1, nr 2, nr 3, nr 7, nr 8 I piętro pokoje: nr 9, nr 10, nr 11, nr Składnica akt ul. Duńskiego Czerwonego Krzyża 3A Maków Mazowiecki I piętro 3. Serwerownia ul. Duńskiego Czerwonego Krzyża Maków Mazowiecki I piętro 14

15 Załącznik Nr 5 do Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Wykaz zbiorów danych osobowych znajdujących się w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych osobowych przetwarzanych w PCPR w Makowie Maz., wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz określenie sposobu przepływu danych pomiędzy systemami. I. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Lp. Nazwa zbioru Sposób przetwarzania danych w zbiorze (tradycyjny, komputerowy) 1. Rejestr skarg i wniosków Tradycyjny 2. Ewidencja osób ubiegających się o miejsce w domu pomocy społecznej 3. Ewidencja osób korzystających ze środków PFRON 4. Dofinansowanie ze środków PFRON w ramach programu Aktywny samorząd 5. Ewidencja osób korzystajacych z pomocy społecznej 6. Wspieranie rodziny i rodzinna piecza zastępcza Tradycyjny i komputerowy Tradycyjny i komputerowy Tradycyjny i komputerowy Tradycyjny i komputerowy Tradycyjny i komputerowy 7. Wnioski o udostępnienie informacji publicznej Tradycyjny i komputerowy 8. Petycje Tradycyjny i komputerowy Nazwa, rodzaj programu zastosowanego do przetwarzania danych Program Microsoft Word Programy: - Microsoft Word - Microsoft Excel - PUMA-FK Programy: - Microsoft Word - Microsoft Excel - PUMA-FK Programy: - Pomost - Microsoft Word - PUMA-FK - Rodziny zastępcze ewidencja rodzin, dzieci i ich świadczeń Programy: - Pomost - Microsoft Word - PUMA-KADRY - PUMA-PŁACE - PUMA-FK - Rodziny zastępcze ewidencja rodzin, dzieci i ich świadczeń Program Microsoft Word Program Microsoft Word Uwagi 15

16 9. Zamówienia publiczne Tradycyjny i komputerowy 10. Ewidencja pracowników i stażystów w PCPR w Makowie Maz. 11. Zleceniobiorcy, wykonawcy i dostawcy PCPR w Makowie Maz. Tradycyjny i komputerowy Tradycyjny i komputerowy Programy: Microsoft Word Microsoft Excel Programy: - Microsoft Word - PUMA-KADRY - PUMA-PŁACE - PUMA-FK Programy: - Microsoft Word - PUMA-KADRY - PUMA-PŁACE - PUMA-FK II. Opis struktury zbiorów danych osobowych przetwarzanych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi Zbiór: - Ewidencja osób korzystających ze środków PFRON Program PUMA-FK umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko wnioskodawcy, numer dowodu osobistego, PESEL, miejsce zamieszkania, numer rachunku bankowego. - Dofinansowanie ze środków PFRON w ramach programu Aktywny samorząd Program PUMA-FK umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko wnioskodawcy, numer dowodu osobistego, miejsce zamieszkania, numer konta bankowego. Program Microsoft Excel umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko wnioskodawcy, PESEL, miejsce zamieszkania, kwota przyznanego dofinansowania, dane uczelni. - Ewidencja osób korzystajacych z pomocy społecznej Program PUMA-FK umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko, 16

17 numer dowodu osobistego, PESEL, miejsce zamieszkania, numer rachunku bankowego. Program Rodziny zastępcze ewidencja rodzin, dzieci i ich świadczeń umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko rodziny zastępczej, adres zamieszkania rodziny zastępczej, numer telefonu rodziny zastępczej, numer rachunku bankowego rodziny zastępczej, data i miejsce urodzenia dziecka/rodziców zastępczych, imię i nazwisko pełnoletniej wychowanki, adres zamieszkania pełnoletniej wychowanki, numer telefonu pełnoletniej wychowanki, numer rachunku bankowego pełnoletniej wychowanki, kwoty świadczeń. Program Pomost umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko, PESEL, data urodzenia, adres zamieszkania. - Wspieranie rodziny i rodzinna piecza zastępcza Programy PUMA-FK, PUMA-KADRY, PUMA-PŁACE umożliwiają pośredni dostęp do następujących danych osobowych: imię i nazwisko, numer dowodu osobistego, PESEL, miejsce zamieszkania, numer rachunku bankowego. Program Rodziny zastępcze ewidencja rodzin, dzieci i ich świadczeń umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko rodziny zastępczej, adres zamieszkania rodziny zastępczej, numer telefonu rodziny zastępczej, numer rachunku bankowego rodziny zastępczej, imiona i nazwiska dzieci w rodzinach zastępczych, data i miejsce urodzenia dzieci przebywających w rodzinie zastępczej, imię i nazwisko pełnoletniej wychowanki, 17

18 adres zamieszkania pełnoletniej wychowanki, numer telefonu pełnoletniej wychowanki, numer rachunku bankowego pełnoletniej wychowanki, kwoty świadczeń. Program Pomost umożliwia pośredni dostęp do następujących danych osobowych: imię i nazwisko, PESEL, data urodzenia, adres zamieszkania. Program Microsoft Excel umożliwia pośredni dostęp do następujących danych osobowych: imiona i nazwiska dzieci w rodzinach zastępczych, data urodzenia dzieci przebywających w rodzinie zastępczej, kwoty świadczeń za dany miesiąc, imię i nazwisko rodziny zastępczej, adres zamieszkania rodziny zastępczej, imię i nazwisko pełnoletniej wychowanki, adres zamieszkania pełnoletniej wychowanki, kwoty świadczeń. - Ewidencja pracowników i stażystów w PCPR w Makowie Maz. Programy PUMA-FK, PUMA-KADRY, PUMA-PŁACE umożliwiają pośredni dostęp do następujących danych osobowych: imię i nazwisko, numer dowodu osobistego, PESEL, miejsce zamieszkania, numer rachunku bankowego. - Zleceniobiorcy, wykonawcy i dostawcy PCPR w Makowie Maz. Programy PUMA-FK, PUMA-KADRY, PUMA-PŁACE umożliwiają pośredni dostęp do następujących danych osobowych: imię i nazwisko, numer dowodu osobistego, PESEL, miejsce zamieszkania, numer rachunku bankowego. 18

19 Sposób przepływu danych osobowych przetwarzanych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim pomiędzy systemami Przepływ danych pomiędzy systemami odbywa się w: - zbiorze: ewidencja osób korzystających z pomocy społecznej Pomost Przesyłane dane osobowe: (imię i nazwisko, PESEL) Statystyczna Aplikacja Centralna - zbiorze: wspieranie rodziny i rodzinna piecza zastępcza Program PUMA-FK Przesyłane dane osobowe: (imię i nazwisko, składki przekazywane do ZUS) Płatnik (program zusowski) 19

20 Pomost Przesyłane dane osobowe: (imię i nazwisko, PESEL) Statystyczna Aplikacja Centralna Program PUMA-KADRY Przesyłane dane osobowe: (imię i nazwisko, PESEL, kwota wynagrodzenia) Program PUMA-PŁACE - zbiorze: ewidencja pracowników i stażystów w PCPR w Makowie Maz. Program PUMA-KADRY Przesyłane dane osobowe: 20

21 (imię i nazwisko, PESEL, kwota wynagrodzenia, nieobecności pracowników) Program PUMA-PŁACE - zbiorze: zleceniobiorcy, wykonawcy i dostawcy PCPR w Makowie Maz Program PUMA-KADRY Przesyłane dane osobowe: (imię i nazwisko, PESEL, kwota wynagrodzenia) Program PUMA-PŁACE Załącznik Nr 6 do Polityki bezpieczeństwa danych osobowych w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych I. Środki ochrony fizycznej 1. Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych. 21

22 2. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych. II. Środki sprzętowe, informatyczne i telekomunikacyjne 1. Zastosowano kontrolowane otwieranie i zamykanie pomieszczeń, w których są przetwarzane dane osobowe, polegające na otwarciu pomieszczenia przez pierwszą osobę, która rozpoczyna pracę oraz zamknięciu pomieszczenia przez ostatnią osobę kończącą pracę i wychodzącą z tego pomieszczenia i nie pozostawianiu pomieszczenia w czasie godzin pracy bez nadzoru. 2. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. 3. Co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną. 4. Lokalizacja urządzeń komputerowych (komputerów typu PC, terminali, drukarek) uniemożliwia osobom niepowołanym dostęp do nich oraz wgląd do danych wyświetlanych na monitorach komputerowych. 5. System operacyjny zapewnia odpowiednie restrykcje w zakresie dostępu do danych i aplikacji. 6. Zastosowano urządzenia typu UPS, chroniące system informatyczny służący do przetwarzania danych osobowych przed awarią zasilania. a. Środki ochrony w ramach oprogramowania urządzeń teletransmisji Proces teletransmisji zabezpieczony jest za pomocą środków uwierzytelnienia. b. Środki ochrony w ramach oprogramowania systemu 1. Zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do zasobów informatycznych dla poszczególnych użytkowników systemu informatycznego. 2. W systemie operacyjnym, w którym nie następuje okresowo automatyczne wymuszanie zmiany hasła, do zmiany hasła zobowiązany jest użytkownik systemu. 3. Serwery obsługujące bazę danych oraz stanowiska komputerowe służące do przetwarzania danych osobowych dostępne są wyłącznie po przeprowadzeniu prawidłowego procesu autoryzacji (system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń systemowych lub zakaz wykonywania poleceń systemowych (restricted Shell). 4. W programach PUMA i Pomost zastosowano system rejestracji dostępu do zbioru danych osobowych. 5. Zastosowano oprogramowanie umożliwiające wykonanie kopii zapasowych zbiorów danych osobowych. 6. Zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu informatycznego firewall, program antywirusowy. c. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych 1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. 2. W programach PUMA i Pomost zastosowano funkcję umożliwiającą rejestrację identyfikatora użytkownika wprowadzającego dane osobowe. 3. Wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych osobowych. 4. Zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych. 5. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji. 6. Dla każdego użytkownika systemu jest ustalony odrębny identyfikator. 22

23 7. W systemie operacyjnym, w którym nie następuje okresowo automatyczne wymuszanie zmiany hasła dostępu do zbioru danych osobowych, do zmiany hasła zobowiązany jest użytkownik systemu. d. Środki ochrony w ramach systemu użytkowego Zastosowano zabezpieczone hasłem wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika. e. Środki organizacyjne 1. Opracowano i wdrożono Politykę bezpieczeństwa i Instrukcję. 2. Wdrożono odpowiedni podział obowiązków i kontroli dostępu. 3. Do danych osobowych mają dostęp jedynie osoby posiadające upoważnienie nadane przez administratora danych osobowych. 4. Pracownik wyznaczony przez administratora danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. 5. Wprowadzono mechanizmy autoryzacji odpowiednio zabezpieczone przed dostępem osób trzecich. 6. Osoby upoważnione do przetwarzania danych osobowych przed dopuszczeniem do tych danych są szkolone w zakresie: 1) obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych, 2) bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych. 7. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane są do zachowania ich w tajemnicy. 8. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom nieupoważnionym. 9. Tymczasowe wydruki z danymi osobowymi są po ustaniu ich przydatności niszczone w niszczarce. 10. Zapewniono klauzule poufności z wszystkimi podmiotami zewnętrznymi mającymi dostęp do danych osobowych. 11. Zapewnia się bezpieczne przechowywanie lub niszczenie uszkodzonych nośników zawierających dane osobowe (np. dysk twardy) szczególnie, gdy sprzęt, w którym zamontowany jest dany nośnik przekazywany jest do naprawy do firmy zewnętrznej. 23