Zarządzenie Nr 8/2011 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 27 czerwca 2011 r.

Transkrypt

1 Zarządzenie Nr 8/2011 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 27 czerwca 2011 r. w sprawie: wykonywania ustawy o ochronie danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach Na podstawie art. 7, pkt 4, art. 36, ust. 1, 2 i 3, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.)., 3, ust. 1, 2 i 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024) 11 Statutu Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach zarządza się co następuje: 1 Wprowadza się do stosowania w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach: 1) Politykę bezpieczeństwa, która stanowi załącznik Nr 1 do niniejszego zarządzenia. 2) Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która stanowi załącznik Nr 2 do niniejszego zarządzenia 2 1. Zachowują swoją moc zbiory o nazwie Ewidencja klientów MGOPS w Myślenicach o numerze nadanym przez GIODO / Zachowują swoją moc upoważnienia wydane na mocy zarządzenia Nr 2/ 2000 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 21 stycznia 2000r. z późniejszymi zmianami. 3 Traci moc zarządzenie Nr 8/99 99 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 29 października 1999r. w sprawie wprowadzenia zasad bezpieczeństwa i zasad postępowania przy przetwarzaniu danych w MGOPS w Myślenicach oraz Nr 2/ 2000 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 21 stycznia 2000r. z późniejszymi zmianami w sprawie wprowadzenia instrukcji. Zarządzenie wchodzi w życie z dniem podpisania 3

2 Załącznik nr 1 do Zarządzenia nr 8/11 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 27 czerwca 2011r. POLITYKA BEZPIECZEŃSTWA Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach 1 Polityka bezpieczeństwa stanowi wykonanie obowiązku, o którym mowa w 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004r. Nr 100, poz. 1024), zwanego dalej rozporządzeniem. 2 Polityka dotyczy przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach i zawiera następujące dokumenty dotyczące rozpoznania procesów na danych osobowych oraz określające wprowadzone zabezpieczenia techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych: A. Wykaz pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), B. Wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych, C. Opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy nimi, D. Sposób przepływu danych pomiędzy poszczególnymi systemami, E. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Szczegółowy opis przetwarzania danych osobowych w MGOPS w Myślenicach: 3

3 A. Obszar przetwarzania danych osobowych Obszarem przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach są pomieszczenia znajdujące się na trzech kondygnacjach dwupiętrowego budynku w Myślenicach przy ul. Słowackiego 82,o numerach: - od 1 do 10 pokoje znajdujące się na parterze, - od 11 do13 pokoje znajdujące się na pierwszym piętrze, - od 14 do 15 pokoje znajdujące się na drugim piętrze. B. Wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych. Wykaz zbiorów danych osobowych przetwarzanych w Gminnym Ośrodku Pomocy Społecznej w Myślenicach i programów zastosowanych do przetwarzania danych stanowi załącznik nr 1 do niniejszego dokumentu - Wykaz przetwarzanych zbiorów danych. C. Opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy nimi. Opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy nimi zawarty jest w załączniku nr 1 do niniejszego dokumentu - Wykaz przetwarzanych zbiorów danych. D. Sposób przepływu danych pomiędzy poszczególnymi systemami. Oznaczenie systemów i aplikacji, które komunikują się z innymi i wymieniają dane, znajduje się w załączniku nr 1 do niniejszego dokumentu - Wykaz przetwarzanych zbiorów danych. E. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Do elementów zabezpieczenia danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach zalicza się: stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne), zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności dokumentów papierowych i informatycznych), nadzór Administratora Danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenia organizacyjne), kompleksowe i całościowe traktowanie zabezpieczenia danych przez wszystkie podmioty i osoby biorące udział w przetwarzaniu danych.

4 2. W Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych: a) Zabezpieczenia fizyczne Okna pomieszczeń znajdujących się na parterze budynku posiadają zabezpieczenie w postaci krat. Drzwi do wszystkich pomieszczeń są zamykane na oddzielne zamki. Dokumenty papierowe są przechowywane w szafach zamykanych na klucz. Kopie danych na nośnikach CD, DVD, dyskietkach, dyskach przenośnych są przechowywane w szafach zamykanych na klucz. b) Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej - Dokumenty w formie papierowej są przechowywane w szafach zamykanych na klucz. - Dokumenty są przechowywane zgodnie z instrukcją kancelaryjną. c) Zabezpieczenia organizacyjne Osobą odpowiedzialną za bezpieczeństwo danych jest Administrator Danych (AD); Wyznaczono Administratora Systemów Informatycznych (ADSI); Wyznaczono Administratora Bezpieczeństwa Informacji (ABI), nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych; ADSI na bieżąco kontroluje pracę systemów informatycznych z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami; Nie rzadziej, niż raz na tydzień są prowadzone przez ADSI kontrole stanu bezpieczeństwa systemów informatycznych i przestrzegania zasad ochrony informacji. W przypadkach wykrycia rażących zaniedbań ADSI podejmuje działania mające na celu niezwłoczne usunięcie uchybień. d) Pracownicy i organizacja pracy - Do pomieszczeń w których przetwarzane są dane osobowe osoby nieuprawnione mogą wchodzić jedynie w obecności osób upoważnionych do przetwarzania danych osobowych. W przypadku nieobecności osób upoważnionych pomieszczenia te są zamykane na klucz, tak aby uniemożliwić dostęp osób trzecich. - Klucze do pomieszczeń w których przetwarzane są dane osobowe są przechowywane w zamykanej szafie w pomieszczeniu nr 9 tj. sekretariat na parterze budynku. Klucze do szaf z dokumentacją przechowują osoby upoważnione do przetwarzania danych osobowych, - Pracownicy mogą przetwarzać dane osobowe poza godzinami pracy Ośrodka jedynie po uzyskaniu zezwolenia AD. 3. W ramach zabezpieczenia danych osobowych ochronie podlegają: sprzęt komputerowy: serwery, komputery, drukarki i inne urządzenia zewnętrzne, oprogramowanie: kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne, dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie, hasła użytkowników, pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa, użytkownicy i administratorzy, którzy obsługują i używają system, dokumentacja zawierająca opis systemu, jego zastosowanie oraz zasady przetwarzania informacji, wydruki, związana z przetwarzaniem danych dokumentacja papierowa, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują autonomicznie od niego.

5 4. AD przeprowadza okresową analizę zagrożenia i ryzyka w celu weryfikacji środków zabezpieczających. Oprócz tego okresowo dokonuje inwentaryzacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności opisu zawartego w punktach A-D polityki bezpieczeństwa. 5. W systemach informatycznych obowiązują zabezpieczenia na poziomach: - podstawowym, - podwyższonym, - wysokim. 6. W celu zabezpieczenia danych odpowiednio do zagrożeń, w systemach informatycznych przetwarzających dane osobowe stosuje się następujące środki bezpieczeństwa: 1) Obszar, w którym przetwarzane są dane osobowe zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych przez: zastosowanie krat w oknach pomieszczeń na parterze budynku, zamykanie pomieszczeń na klucz podczas nieobecności osób upoważnionych. 2) Przebywanie osób nieuprawnionych w obszarze, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych. 3) W systemach informatycznych służących do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych na poziomie programu BIOS, na poziomie systemu operacyjnego oraz na poziomie aplikacji. 4) Dostęp do aplikacji jest możliwy jedynie po podaniu identyfikatora i hasła. 5) Systemy informatyczne służące do przetwarzania danych osobowych zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego i innymi zagrożeniami pochodzącymi z sieci publicznej przez: zastosowanie programu antywirusowego, rejestrację nieudanych logowań do systemów, ograniczenie dostępu do poziomu poleceń systemowych i zakaz wykonywania poleceń systemowych, stosuje się system użytkowników i haseł. 6) Systemy informatyczne służące do przetwarzania danych osobowych zabezpiecza się przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej przez zastosowanie zasilaczy awaryjnych UPS. 7) Identyfikatora użytkownika, który utracił uprawnienia do przetwarzania danych nie przydziela się innej osobie. 8) Hasło składa się co najmniej z 6 znaków. 9) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.

6 10) Kopie zapasowe: dane zapisywane są na płyty kompaktowe lub urządzenia zwane PenDrive i przechowywane w zamykanej szafie, usuwa się je niezwłocznie po ustaniu ich użyteczności. 11) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 12) Urządzeń i nośników danych o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie przekazuje się poza obszar przetwarzania danych osobowych. 13) Przy przesyłaniu danych z programu HELIOS, NEMEZIS, AMAZIS, DM, PŁATNIK, HOMENET, WKDPL, FK stosuje się środki ochrony kryptograficznej lub mechanizmy uwierzytelnienia, które są przewidziane dla tych programów. 7. Dokumentem, który normuje procedury zarządzania systemami, w których przetwarzane są dane osobowe jest Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Załącznik nr 1 do

7 Polityki bezpieczeństwa Wykaz przetwarzanych zbiorów danych Zbiór I Nazwa zbioru: EWIDENCJA KLIENTÓW MGOPS W MYŚLENICACH Forma zbioru: - Teczki osobowe, rejestry, rodzin i osób korzystających ze świadczeń ; - Kartoteki papierowe dotyczące opłat składek ZUS za świadczeniobiorców; - Komputerowa baza danych program HELIOS pomoc społeczna; - Komputerowa baza danych program AMAZIS świadczenia rodzinne, - Komputerowa baza danych program NEMEZIS fundusz alimentacyjny, - Komputerowa baza danych program PŁATNIK, - Komputerowa baza danych - program DM dodatki mieszkaniowe, Zawartość pól informacyjnych (zakres danych) i powiązania pomiędzy nimi, oraz sposób przepływu danych pomiędzy poszczególnymi systemami: jest opisany w instrukcjach do programu. Jednostki organizacyjne wykorzystujące zbiór danych: - Miejsko Gminny Ośrodek Pomocy Społecznej w Myślenicach, - Małopolski Urząd Wojewódzki w Krakowie. Lokalizacja zbioru danych: Pokoje o numerach: od 1 do 10 pokoje znajdujące się na parterze, od 11 do13 pokoje znajdujące się na pierwszym piętrze, od 14 do 15 pokoje znajdujące się na drugim piętrze. Inne aplikacje, z którymi komunikuje się i wymienia dane: Program HELIOS, AMAZIS, NEMEZIS eksportuje dane do systemu Małopolskiego Urzędu Wojewódzkiego w Krakowie. Szyfrowanie wiadomości: System HELIOS, AMAZIS, NEMEZIS - szyfruje dane na zasadach określonych przez Ministerstwo Polityki Społecznej w ramach homologacji. Możliwość przyznawania indywidualnych identyfikatorów: Dostęp tylko po podaniu właściwego identyfikatora i hasła.

8 Możliwość gradacji uprawnień: Tak. Odnotowanie daty pierwszego wprowadzenia danych w systemie: Tak Odnotowanie identyfikatora użytkownika wprowadzającego dane: Tak Odnotowanie sprzeciwu określonego w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych: zgodnie z przepisami ustawy o pomocy społecznej nie ma możliwości sprzeciwu. Odnotowanie źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą: - W kartotekach papierowych w postaci wywiadów alimentacyjnych - W systemie HELIOS w postaci odnotowania źródła informacji. Odnotowanie informacji o odbiorcach, którym dane zostały udostępnione: Poza organami państwowymi i organami samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem nie udostępnia się przetwarzanych danych. Możliwość sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o historii przetwarzania danych: TAK. Załącznik nr 2 do

9 Zarządzenia nr 8/11 Kierownika Miejsko Gminnego Ośrodka Pomocy Społecznej w Myślenicach z dnia 27 czerwca 2011r. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myśleniach: 1 Cel instrukcji Instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej Instrukcją, stanowi wykonanie obowiązku, o którym mowa w 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024). Zakres instrukcji 2 Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenie pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu. Określenie obszaru przetwarzania danych 3 1. Obszarem przetwarzania danych osobowych z użyciem stacjonarnego sprzętu komputerowego są pomieszczenia znajdujące się na trzech kondygnacjach dwupiętrowego budynku w Myślenicach przy ul. Słowackiego 82, o numerach: od 1 do 10 pokoje znajdujące się na parterze, od 11 do13 pokoje znajdujące się na pierwszym piętrze, od 14 do 15 pokoje znajdujące się na drugim piętrze. 2. Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych są zamykane na klucz. W czasie, gdy nie znajdują się w nich osoby upoważnione, pomieszczenia są zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym. Osoby nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą Administratora Danych lub w obecności osób upoważnionych. 3. Klucze do pomieszczeń w których przetwarzane są dane osobowe są przechowywane w szafie w pomieszczeniu nr 9 na parterze budynku.

10 4 Procedura wydawania upoważnień do przetwarzania danych osobowych. 1. Użytkownikiem systemu informatycznego przetwarzającego dane osobowe (osobą upoważnioną) może być: a) Osoba zatrudniona w Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach, która posiada upoważnienie Kierownika Ośrodka. b) Pracownik innego podmiotu lub przedsiębiorca będący osobą fizyczną prowadzącą działalność na podstawie wpisu do ewidencji działalności gospodarczej, który świadczy na podstawie stosowanych umów usługi związane z pracą w systemie informatycznym (serwis, zlecenie przetwarzania danych osobowych itp.), oraz posiada upoważnienie Kierownika Ośrodka do przetwarzania danych osobowych. 2. Upoważnienia do przetwarzania danych osobowych wydaje Kierownik Ośrodka. Wzór upoważnienia stanowi załącznik nr 1 do niniejszej Instrukcji. 3. Administrator Danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania upoważnienia do przetwarzania danych osobowych. 4. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 5. Uzyskanie uprawnień do pracy w systemie następuje na dwóch poziomach: a) dostępu do systemu operacyjnego z poziomu BIOS po podaniu hasła. b) nadanie określonych uprawnień do systemów aplikacyjnych. 6. Hasło na poziomie BIOS wprowadza ADSI i podaje osobom upoważnionym do pracy w systemie informatycznym. 7. Uprawnienia do systemów aplikacyjnych rejestruje AD zgodnie z udzielonym upoważnieniem do przetwarzania danych osobowych. 8. W przypadku zakończenia pracy w Ośrodku wygasa upoważnienie do przetwarzania danych osobowych. AD niezwłocznie usuwa uprawnienia do przetwarzania danych w systemie informatycznym. 5 Mechanizmy uwierzytelnienia użytkownika systemu. 1. Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu identyfikatora i hasła. 2. Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego identyfikator w systemie.

11 3. W Miejsko Gminnym Ośrodku Pomocy Społecznej w Myślenicach obowiązują następujące zasady korzystania z haseł: o Hasła składają się co najmniej z sześciu znaków. o Zabrania się ujawniania haseł jakimkolwiek osobom trzecim. o Zabrania się zapisywania haseł lub takiego z nimi postępowania, które umożliwia lub ułatwia dostęp do haseł osobom trzecim. o Zabrania się używania identyfikatora lub hasła innego użytkownika. 4. Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników z haseł nadzoruje ADSI. Nadzór ten w szczególności polega na obserwacji (monitorowaniu) funkcjonowania mechanizmu uwierzytelniania i przywracania stanu prawidłowego w przypadku nieprawidłowości. 6 Procedury rozpoczęcia i zakończenia pracy w systemie informatycznym. 1. Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powiadamia Administratora Danych. 2. Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności: 1) włączenia komputera, 2) podania hasła dostępu do programu BIOS, 3) uwierzytelnienia się ( zalogowania w systemie) za pomocą identyfikatora i hasła. 3. Niedopuszczalne jest uwierzytelnianie się na hasło i identyfikator innego użytkownika lub praca w systemie informatycznym na koncie innego użytkownika. 4. Zakończenie pracy użytkownika w systemie następuje po wylogowaniu się z systemu. Po zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy, w szczególności nośniki danych, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób nieupoważnionych. 5. W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest wylogować się lub zaktywizować wygaszacz ekranu z opcją ponownego logowania się do systemu. 6. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania ( logowaniu się w systemie), użytkownik niezwłocznie powiadamia o nich Administratora Danych. 7 Procedury tworzenia kopii archiwalnych i kopii zapasowych. 1. Kopie zapasowe są tworzone przez pracowników upoważnionych do archiwizacji raz w tygodniu, lub częściej w przypadku wprowadzenia większej ilości danych. 2. Kopie te tworzy się na dyskietkach, płytach CD (DVD) lub urządzeniach zwanych PenDrive. 3. Kopie zapasowe i archiwalne są przechowywane w oddzielnej szafie zamykanej na klucz.

12 4. Kopie są okresowo, sprawdzane pod kątem ich przydatności do odtworzenia danych, a jeżeli ustanie ich użyteczność są niezwłocznie likwidowane. 8 Sposób, czas przechowywania i sposoby likwidacji nośników informacji, w tym kopii informatycznych i wydruków. 1. Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w zamykanych szafach. Okres przechowywania oraz sposób likwidacji tych wydruków określa instrukcja kancelaryjna. 2. Osoba sporządzająca wydruk zawierający dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w wykonywanej pracy, a w przypadku jego nieprzydatności niezwłocznie wydruk zniszczyć. 3. Elektroniczne nośniki informacji z danymi osobowymi oraz kopie zapasowe są przechowywane w szafie zamykanej na klucz. Dostęp do tych nośników ma Administrator Danych Systemów Informatycznych oraz Administrator Danych. 4. Nośniki zawierające kopie zapasowe są likwidowane po sporządzeniu dwóch kolejnych kopii awaryjnych. 5. Fizyczna likwidacja uszkodzonych lub niepotrzebnych elektronicznych nośników informacji z danymi osobowymi odbywa się w sposób uniemożliwiający odczyt danych osobowych, to jest przez formatowanie, złamanie dyskietki lub nośnika CD albo rozbicie dysku twardego. 9 Sprawdzanie obecności wirusów komputerowych. 1. Sprawdzanie obecności wirusów komputerowych dokonywane jest poprzez zainstalowanie programów antywirusowych, który skanuje automatycznie, bez udziału użytkownika przetwarzane pliki na obecność wirusów. Program jest zainstalowany na wszystkich serwerach i stacjach roboczych przetwarzających dane osobowe. 2. Po każdej naprawie i konserwacji komputera należy dokonać sprawdzenia pod kątem występowania wirusów i ponownie zainstalować program antywirusowy. 3. Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu programem antywirusowym przed rozpoczęciem korzystania z nich.

13 10 Ochrona przed oprogramowaniem mającym na celu nieuprawniony dostęp do danych. 1. W celu zabezpieczenia przed działalnością oprogramowania, którego celem jest nieuprawniony dostęp do danych, dostęp do sieci Internet jest zabezpieczony za pomocą routera z wbudowanym Fire Wall sprzętowym. 2. Pracownicy odbierający pocztę elektroniczną zostali poinformowani o konieczności usuwania wszelkiej podejrzanej korespondencji, szczególnie zawierającej załączniki z plikami wykonywalnymi. 3. Pracowników obowiązuje zakaz samodzielnego instalowania programów. 11 Zasady przeglądów i konserwacji systemu. 1. Przegląd i konserwacja zbiorów danych dokonywane są poprzez: badanie spójności bazy danych, uruchamianie zapytań do bazy danych w celu analizy danych, przegląd wydruków po wyznaczonych procesach, sprawdzanie zgodności danych z dokumentami, analiza zgłaszanych uwag użytkowników. 2. Przeglądu i konserwacji dokonuje Administrator Danych Systemów Informacyjnych. Załącznik Nr 1 do Instrukcji zarządzania systemem informatycznym

14 służącym do przetwarzania danych osobowych UPOWAŻNIENIE Upoważniam Pana(ą).. zamieszkałego(ą). na stanowisku. do obsługi systemu informatycznego służącego do przetwarzania danych osobowych podopiecznych.... podpis Kierownika Pouczenie: Osoba upoważniona zobowiązana jest do zachowania w tajemnicy informacji uzyskanych w trakcie dokonywania operacji związanych z przetwarzaniem danych osobowych. Obowiązek ten istnieje również po ustaniu zatrudnienia. Podstawa prawna: art. 37 i art. 39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.). Przyjąłem(łam) do wiadomości i stosowania:... data i podpis pracownika