INSTRUKCJA URZĄD MIASTA TYCHY. ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI, SŁUśĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Transkrypt

1 Załącznik Nr 2 Do Dokumentacji przetwarzania danych osobowych URZĄD MIASTA TYCHY INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI, SŁUśĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH Luty 2009 rok

2 1 Podstawa prawna Instrukcja określająca sposób zarządzania systemami informatycznymi słuŝącymi do przetwarzania danych osobowych, zwana dalej Instrukcją, stanowi wykonanie obowiązku, o którym mowa w 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 2 Zakres Instrukcja określa zasady zarządzania systemami informatycznymi słuŝącymi do przetwarzania danych osobowych w Urzędzie Miasta Tychy, a w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz osoby odpowiedzialne za te czynności, 2) metody i środki uwierzytelnienia w systemie oraz procedury związane z ich zarządzaniem i uŝytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania, 5) sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, 6) środki ochrony systemu przed złośliwym oprogramowaniem, w tym wirusami komputerowymi, 7) zasady i sposób odnotowywania w systemie informacji: komu, kiedy i w jakim zakresie dane osobowe ze zbioru zostały udostępnione, 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji słuŝących do przetwarzania danych osobowych, 3 Definicje Ilekroć w niniejszej Instrukcji mowa o: 1) Urzędzie naleŝy przez to rozumieć Urząd Miasta Tychy, z siedzibą w Tychach, 2) jednostka organizacyjna - naleŝy przez to rozumieć kaŝde samodzielne, wyodrębnione w strukturze Urzędu Miasta ogniwo organizacyjne, np.: wydział, urząd, samodzielne stanowisko itp., 3) Administratorze Danych Osobowych (AD) naleŝy przez to rozumieć Prezydenta Miasta Tychy 4) Administratorze Bezpieczeństwa Informacji (ABI) naleŝy przez to rozumieć Sekretarza Miasta wyznaczonego przez Prezydenta do nadzorowania przestrzegania zasad ochrony przy przetwarzaniu danych osobowych w Urzędzie Miasta Tychy. 5) uŝytkowniku systemu naleŝy przez to rozumieć osobę upowaŝnioną i uprawnioną do przetwarzania danych osobowych w systemie. UŜytkownikiem moŝe być wyłącznie osoba posiadająca upowaŝnienie do przetwarzania danych osobowych nadane przez Administratora Bezpieczeństwa Informacji. 6) Administratorze Systemu Informatycznego (ASI) naleŝy przez to rozumieć Naczelnika Wydziału Informatyki lub Naczelnika Wydziału Geodezji odpowiedzialnego za funkcjonowanie systemów oraz stosowanie technicznych i organizacyjnych środków ochrony przewidzianych w tych systemach, 7) sieci lokalnej naleŝy przez to rozumieć połączenie systemów informatycznych Urzędu wyłącznie dla własnych jego potrzeb przy wykorzystaniu urządzeń i sieci wewnętrznej Urzędu. 8) osobach trzecich naleŝy przez to rozumieć kaŝdą osobę nieupowaŝnioną i przez to nieuprawnioną do dostępu do danych osobowych zbiorów będących w posiadaniu AD. Osobą trzecią jest równieŝ osoba posiadające upowaŝnienie wydane przez Administratora i podejmująca czynności w zakresie przekraczającym ramy tego upowaŝnienia. Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 2

3 4 Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz osoby odpowiedzialne za te czynności 1. Procedura nadawania upowaŝnień do przetwarzania danych osobowych. 1) kierownik jednostki organizacyjnej przekazuje do Wydziału Organizacyjnego, Kadr i Szkolenia wniosek o nadanie upowaŝnienia do przetwarzania danych osobowych zawierający imię i nazwisko pracownika (staŝysty lub praktykanta) ze wskazaniem czy będzie on przetwarzać dane osobowe w systemie informatycznym, 2) Wydział Organizacyjny, Kadr i Szkolenia przygotowane upowaŝnienie przekazuje do podpisu ABI, 3) ewidencję osób upowaŝnionych do przetwarzania danych osobowych prowadzi Wydział Organizacyjny, Kadr i Szkolenia, 4) upowaŝnienia tracą waŝność z dniem ustania stosunku pracy, ukończenia staŝu lub praktyki. 2. Procedura nadawania uprawnień do systemu informatycznego: 1) kierownik jednostki organizacyjnej występuje z wnioskiem do ASI o nadanie uprawnień do pracy w systemie informatycznym. We wniosku zamieszczone są następujące informacje: a) imię i nazwisko upowaŝnionego do przetwarzania danych osobowych, b) nazwę systemu informatycznego, c) zakres dostępu, Uwaga: W przypadku uprawnień do systemu informatycznego, nad którym nadzór pełni inna jednostka organizacyjna, konieczna jest akceptacja wniosku przez kierownika tej jednostki. 2) ASI weryfikuje wniosek pod względem moŝliwości nadania uprawnienia w systemie, 3) po pozytywnej weryfikacji ASI nadaje uprawnienia do przetwarzania danych osobowych w systemach informatycznych, 4) ewidencję osób uprawnionych do pracy w systemie informatycznym prowadzą Wydział Informatyki i Wydział Geodezji, 5) w przypadku utraty waŝności upowaŝnienia, ASI blokuje uprawnienia w systemie informatycznym. 3. Ewidencja osób upowaŝnionych do przetwarzania danych osobowych oraz ewidencja uprawnionych do pracy w systemie informatycznym prowadzona jest w jednym wspólnym systemie. 5 Stosowane metody i środki uwierzytelnienia w systemie oraz procedury związane z ich zarządzaniem i uŝytkowaniem 1. W systemie informatycznym stosuje się uwierzytelnianie trzystopniowe na poziomie: 1) dostępu do stacji roboczej (równoznaczne z dostępem do sieci lokalnej), 2) dostępu do serwera, 3) dostępu do aplikacji na serwerze, 2. W przypadku stacji roboczych włączonych do środowiska domenowego, uwierzytelnianie ogranicza się do dwóch poziomów: 1) dostęp do domeny, 2) dostęp do aplikacji na serwerze. 3. Do uwierzytelnienia uŝytkownika na wszystkich poziomach stosuje się hasła, za wyjątkiem systemów, w których do uwierzytelniania słuŝą karty mikroprocesorowe. W przypadku weryfikacji toŝsamości uŝytkownika przy uŝyciu karty mikroprocesorowej uŝytkownik jest zobowiązany do: 1) umieszczenia karty mikroprocesorowej w czytniku kart, 2) wpisania indywidualnego kodu PIN. 4. Hasła składają się, co najmniej z 8 znaków, zawierają małe i wielkie litery oraz cyfry i znaki specjalne. Początkowe hasło dostępu nadawane jest przez pracownika Wydziału Informatyki i przekazywane pracownikom w formie ustnej. Hasło to powinno zostać niezwłocznie zmienione przez uŝytkownika przy uŝyciu odpowiednich narzędzi informatycznych. 5. Hasła nie mogą być powszechnie uŝywanymi słowami. W szczególności nie naleŝy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów. Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 3

4 6. Zabrania się ujawniania haseł jakimkolwiek osobom trzecim oraz zapisywania haseł lub takiego z nimi postępowania, które umoŝliwia lub ułatwia dostęp do haseł osobom trzecim. Punkt ten obowiązuje równieŝ w odniesieniu do haseł, których waŝność wygasła. 7. Zmiana hasła do systemu, jak równieŝ kodu PIN w przypadku uŝycia karty mikroprocesorowej, następuje nie rzadziej, niŝ co 30 dni albo niezwłocznie w przypadku podejrzenia, Ŝe hasło mogło zostać ujawnione. W systemach, które to umoŝliwiają hasła są zmieniane przez UŜytkowników, a w pozostałych przypadkach przez pracowników Wydziału Informatyki. 8. Hasła uŝytkowników systemów informatycznych nie są przechowywane. W przypadku zagubienia hasła uŝytkownik zwraca się do ASI o nadanie nowego hasła. 9. Hasła uŝytkowników posiadających uprawnienia administratorów przechowywane są w sejfie Wydziału Informatyki. O awaryjnym ich uŝyciu decyduje kaŝdorazowo ASI. 6 Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu 1. Przed przystąpieniem do pracy w systemie informatycznym uŝytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych uŝytkownik niezwłocznie powiadamia ABI za pośrednictwem ASI. 2. UŜytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności: 1) włączenia komputera, 2) uwierzytelnienia się ( zalogowania ) do komputera/serwera za pomocą identyfikatora i hasła, 3) uruchomienia aplikacji i uzyskania dostępu do określonej funkcjonalności tej aplikacji przez podanie identyfikatora i hasła dostępu, lub weryfikacji toŝsamości uŝytkownika przy uŝyciu karty mikroprocesorowej. 3. Niedopuszczalna jest praca w systemie informatycznym na koncie innego uŝytkownika. 4. Po zalogowaniu się w systemie uŝytkownik ma obowiązek ocenić pracę systemu i stan zbioru danych a w przypadku jakichkolwiek wątpliwości zgłosić ten fakt ASI. 5. UŜytkownicy zobowiązani są do natychmiastowego stosowania się do komunikatów pojawiających się na monitorach. 6. W trakcie pracy uŝytkownik powinien stosować przedsięwzięcia zapewniające bezpieczeństwo przetwarzania danych osobowych w systemie, a w szczególności: a) ustawić ekrany monitorów w sposób uniemoŝliwiający podgląd osobom nieupowaŝnionym, b) dopilnować aby w pomieszczeniach, stanowiących obszar przetwarzania danych nie przebywały jakiekolwiek osoby trzecie, a jeśli przebywają to tylko za zgodą przełoŝonych i w obecności osób uprawnionych. 7. Zakończenie pracy uŝytkownika w systemie następuje po wylogowaniu się z systemu oraz wyłączeniu wszystkich urządzeń. Po zakończeniu pracy uŝytkownik zabezpiecza swoje stanowisko pracy, a w szczególności nośniki informatyczne, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób nieupowaŝnionych. 8. Praca uŝytkownika w systemie komputerowym po godzinach pracy Urzędu wymaga wcześniejszego zgłoszenia przełoŝonemu i ASI. 9. W przypadku dłuŝszego opuszczenia stanowiska pracy, uŝytkownik zobowiązany jest wylogować się z systemu informatycznego lub zablokować komputer. Dopuszczalne jest zaktywowanie wygaszacza ekranu zabezpieczonego hasłem, którego wpisanie daje moŝliwość wznowienia pracy na stacji roboczej. 10. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania ( logowaniu się w systemie), uŝytkownik niezwłocznie powiadamia o nich ASI. 7 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania 1. Kopiowanie danych osobowych na nośniki informacji, robienie wydruków oraz wykorzystywanie tych danych w celach innych niŝ wynikających z nałoŝonych na uŝytkowników obowiązków lub wynikających z odrębnych przepisów prawa jest zabronione. 2. Przynajmniej raz w tygodniu tworzy się pełne kopie systemów sieciowych (programy wraz z bazami) na odpowiednio oznaczone nośniki danych. Sposób oznaczenia nośników a takŝe Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 4

5 szczegółowy sposób tworzenia kopii zapasowych oraz ich magazynowania i likwidacji opisuje odrębna procedura tworzenia kopii zapasowych, za której opracowanie odpowiedzialny jest ASI. 3. Za tworzenie tych kopii, rejestrowanie ich zawartości, przechowywanie i sprawdzanie odpowiedzialny jest ASI lub osoba upowaŝniona do zastępstwa. 4. Kopie baz i programów zainstalowanych na dyskach lokalnych zobowiązani są tworzyć i zabezpieczać uŝytkownicy komputerów w sposób uzgodniony z ASI. 5. Sporządzający kopie zapasowe zobowiązani są do okresowego ich sprawdzania pod kątem dalszej przydatności. Dane nieprzydatne naleŝy usunąć. 8 Sposób, miejsce i okres przechowywania elektronicznych nośników oraz kopii zapasowych 1. Elektroniczne nośniki informacji zawierające dane osobowe: 1) wymienne elektroniczne nośniki danych powinny być oznaczone i uŝywane zgodnie z Instrukcją kancelaryjną dla organów gmin, 2) wymienne elektroniczne nośniki informacji są przechowywane w pokojach budynków stanowiących obszar przetwarzania danych osobowych, określony w Wykazie przetwarzanych zbiorów danych osobowych w Urzędzie Miasta Tychy, 3) po zakończeniu pracy przez uŝytkowników systemu, wymienne elektroniczne nośniki informacji są przechowywane w zamykanych na klucze szafach biurowych lub kasetkach, 4) dane osobowe w postaci elektronicznej naleŝy usunąć z nośnika informacji w sposób uniemoŝliwiający ich ponowne odtworzenie, po utracie ich przydatności dla uŝytkownika, 5) jeŝeli z przyczyn technicznych danych nie moŝna usunąć z nośnika w sposób trwały, naleŝy nośnik zniszczyć fizycznie w sposób uniemoŝliwiający odczyt danych. 6) uŝytkownik komputera przenośnego obowiązany jest do zachowania szczególnej ostroŝności podczas jego transportu i przechowywania poza obszarem Urzędu, w celu zapobieŝenia dostępowi do danych na nim zgromadzonych osobom niepowołanym. 2. Sposób, miejsce i okres przechowywania kopii zapasowych: 1) Kopie zapasowe a) kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi programowych zastosowanych do przetwarzania danych są przechowywane w sejfach w Wydziale Informatyki (Al. Niepodległości 49) oraz w Wydziale Komunikacji (ul. Budowlanych 59), b) dostęp do sejfów mają tylko upowaŝnieni pracownicy, 3. Wydruki: 1) wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w zamykanych na klucz szafach, 2) osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający dane osobowe ma obowiązek na bieŝąco sprawdzać przydatność wydruku w wykonywanej pracy, a w przypadku jego nieprzydatności niezwłocznie wydruk zniszczyć. 4. Dane wejściowe do systemu. Dane osobowe zapisane w formie papierowej innej niŝ wydruki z systemów (pisma, ankiety itp.) są przechowywane na podobnych zasadach jak wydruki. 9 Sposób zabezpieczenia systemu informatycznego przed złośliwym oprogramowaniem, w tym wirusami komputerowymi 1. Ochrona antywirusowa: 1) za ochronę antywirusową odpowiada ASI. 2) czynności związane z ochroną antywirusową systemu informatycznego wykonują pracownicy Wydziału Informatyki, wykorzystując w trakcie pracy systemu informatycznego moduł programu antywirusowego w aktualnej wersji, sprawdzający na bieŝąco zasoby systemu informatycznego. Moduł programu antywirusowego działający w tle naleŝy zainstalować na kaŝdym komputerze działającym w sieci lokalnej Urzędu. 3) ochroną antywirusową objęto następujące punkty infrastruktury Urzędu: a. punkt styku sieci rozległej z siecią lokalną, b. stacje robocze uŝytkowników, c. serwer pocztowy urzędu. Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 5

6 4) program antywirusowy zainstalowany na stacjach roboczych jest zasilany automatycznie nowymi definicjami wirusów nie rzadziej niŝ raz na dzień. 5) uŝytkownik systemu na stanowisku komputerowym, uŝywający w trakcie wykonywanej pracy informatycznych nośników danych (płytka CD, dyskietka, pendrive i inne) jest odpowiedzialny za sprawdzenie tych nośników pod kątem moŝliwości występowania wirusów, 6) uŝytkownik ma obowiązek zgłosić pracownikom wydziału informatyki kaŝdy fakt, który moŝe świadczyć o obecności w systemie szkodliwego oprogramowania, 7) naleŝy zachować szczególną ostroŝność na stacjach roboczych, z których moŝliwe jest korzystanie z sieci Internet. Aby ograniczyć ryzyko przedostania się szkodliwego oprogramowania do systemów informatycznych nie naleŝy: instalować dodatkowych programów narzędziowych i dodatków do przeglądarek internetowych, unikać otwierania stron o nieznanym pochodzeniu i podejrzanej treści, otwierać załączników pocztowych od nieznanych adresatów. 2. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej 1) ASI jest odpowiedzialny za monitorowanie sieci lokalnej w celu wykrycia prób nieautoryzowanego dostępu, skanowania sieci itp. 2) ASI jest odpowiedzialny za zapewnienie bezpieczeństwa wymiany danych na styku: a) sieci lokalnej i sieci rozległej, b) stanowiska komputerowego uŝytkownika systemu i pozostałych urządzeń wchodzących w skład sieci lokalnej. 10 Zasady i sposób odnotowywania w systemie informacji, komu, kiedy i w jakim zakresie dane osobowe ze zbioru zostały udostępnione 1. W systemach informatycznych odnotowywane są informacje o odbiorcach. 2. Odbiorcą danych jest kaŝdy, komu udostępnia się dane osobowe, z wyłączeniem: 1) osoby, której dane dotyczą, 2) osoby uŝytkownika systemu lub innej osoby upowaŝnionej do przetwarzania danych osobowych w Urzędzie, 3) podmiotu, któremu powierzono przetwarzanie danych, 4) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. 3. Odnotowanie obejmuje informacje o: 1) nazwie jednostki organizacyjnej lub imieniu i nazwisku osoby, której udostępniono dane, 2) zakresie udostępnianych danych, 3) dacie udostępnienia, 4) obowiązek odnotowania ww. informacji spoczywa na uŝytkowniku systemu, w tym celu wypełnia on odpowiednie pole w bazie danych osobowych, arkuszu kalkulacyjnym lub tabele w edytorze tekstu. 4. Odnotowanie informacji powinno nastąpić niezwłocznie po udostępnieniu danych. 5. Udostępnienie danych osobowych moŝe nastąpić wyłącznie na pisemną prośbę odbiorcy danych. 6. Nadzór nad prawidłowością odnotowywania w systemie ww. informacji sprawuje kierownik jednostki organizacyjnej, który merytorycznie odpowiada za funkcjonowanie danego systemu informatycznego. 11 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji słuŝących do przetwarzania danych osobowych 1. Celem przeglądu i konserwacji systemów informatycznych oraz nośników informacji jest zapewnienie bezawaryjnej pracy Urzędu i przeciwdziałanie utracie danych osobowych przetwarzanych przez uŝytkowników systemu. 2. Przegląd i konserwacja systemów oraz nośników informacji wykonywane są w przypadku: 1) zgłoszenia przez uŝytkowników systemu nieprawidłowości w ich działaniu, 2) po wymianie elementów składowych systemu, 3) po awarii systemu informatycznego lub serwera, na którym umieszczone były zbiory danych przetwarzanych przez system. 3. Przeglądu i konserwacji dokonują pracownicy Wydziału Informatyki lub pracownicy firm posiadających prawa autorskie do systemów na podstawie umów konserwacyjnych. Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 6

7 4. W przypadku zlecenia wykonywania czynności, o których mowa wyŝej, podmiotowi zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem pracowników Wydziału Informatyki. 5. Przed wykonaniem przeglądu i konserwacji pracownik Wydziału Informatyki sporządza odpowiednie kopie bezpieczeństwa. 6. Po dokonaniu zmian w systemie informatycznym sprawdzenie jego funkcjonowania powinno obejmować: 1) poprawność logowania się do systemu, w zaleŝności od posiadanych uprawnień, 2) poprawność działania wszystkich elementów aplikacji. 7. BieŜące przeglądanie danych osobowych wykonują osoby zatrudnione przy ich przetwarzaniu. 8. Urządzenia, dyski lub inne informatyczne nośniki informacji, przeznaczone do napraw w firmach zewnętrznych, lub przeznaczone do przekazania podmiotom nieupowaŝnionym do przetwarzania danych osobowych, pozbawia się wcześniej zapisu danych. Dopuszczalne jest przeprowadzenie napraw pod nadzorem ASI, wtedy zapis danych nie musi być usuwany. 9. Urządzenia, dyski lub inne informatyczne nośniki informacji posiadające zapis danych osobowych, które przeznaczone są do likwidacji pozbawia się zapisu lub uszkadza mechanicznie w sposób uniemoŝliwiający ich odczytanie. 12 Korzystanie z sieci komputerowej W zakresie korzystania z sieci komputerowej w Urzędzie Miasta Tychy obowiązują następujące zasady: 1) pracownicy nie są uprawnieni do instalacji jakiegokolwiek prywatnego oprogramowania (w tym równieŝ oprogramowania typu freeware, shareware itp.) bez odpowiedniej pisemnej zgody ABI po zaopiniowaniu przez ASI, 2) instalacja oprogramowania na komputerach Urzędu przez podmioty zewnętrzne wymaga obecności pracowników Wydziału Informatyki, 3) pracownicy mogą uŝywać połączenia z Internetem jedynie w celach słuŝbowych. 4) osoby nie upowaŝnione nie mogą uŝywać sprzętu komputerowego będącego na stanie Urzędu, 5) jeŝeli w jakiejkolwiek fazie pracy UŜytkownik podejmie podejrzenie o ingerencji z zewnątrz (nieprawidłowe działanie programu, niezgodności w danych, podejrzany wygląd sprzętu) jest zobowiązany zgłosić ten fakt przełoŝonemu i ASI 13 Zasady postępowania w sytuacji naruszenia ochrony danych osobowych 1. W przypadku naruszenia danych osobowych w systemach informatycznych uŝytkownik bezzwłocznie zgłasza o tym przełoŝonemu, ABI lub ASI. 2. ABI przy pomocy ASI oraz przełoŝonego uŝytkownika niezwłocznie dokonuje czynności mających na celu sprawdzenie zasadności podejrzenia i dokumentuje wykonane czynności w notatce słuŝbowej, która zawiera: datę, opis stanu faktycznego, stopień naruszenia danych (ewentualne uszkodzenie sprzętu, itp.) i (w miarę moŝliwości) sposób usunięcia naruszenia. Notatkę tę podpisuje uŝytkownik, przełoŝony uŝytkownika, ABI oraz ASI. 3. ABI powiadamia Administratora Danych i ewentualnie inne organy o fakcie naruszenia danych osobowych i, o ile jest to moŝliwe, podejmuje kroki przeciwdziałające rozpowszechnieniu chronionych danych. Podejmuje takŝe działania mające na celu zapobieganie podobnym naruszeniom w przyszłości. 4. W przypadku gdy dane zostały zniszczone (uszkodzone) ASI podejmuje następujące czynności: dokonuje uzupełnienia, uaktualnienia lub odtworzenia danych osobowych z nośników archiwalnych i w zaleŝności od konkretnego przypadku dokonuje innych czynności niezbędnych do zabezpieczenia systemu tj. zmienia identyfikator uŝytkownika i hasło dostępu. 5. W sytuacji permanentnego naruszania ochrony danych osobowych, gdy pomimo działań ABI podjętych wskutek naruszenia ochrony informacji, stan się nie poprawia i następują ponownie przypadki naruszenia tej ochrony, ABI powiadamia Administratora Danych i Generalnego Inspektora Ochrony Danych Osobowych, ewentualnie inne organy, a ASI zabezpiecza kopie archiwalne danych oraz wyrejestrowuje wszystkich uŝytkowników. Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 7

8 6. W przypadku stwierdzenia naruszenia danych osobowych w pozostałych zbiorach np. skorowidzach, wykazach mogą wskazywać między innymi uszkodzenia dokumentów, ślady włamania itp. uŝytkownik bezzwłocznie zgłasza ten fakt przełoŝonemu oraz ABI, który: powiadamia Administratora Danych, ewentualnie inne organy, dokonuje oględzin i zabezpieczenia miejsca zdarzenia, spisuje notatkę słuŝbową, podejmuje działania niezbędne do odtworzenia treści danych i podejmuje działania mające na celu zapobieganie podobnym naruszeniom w przyszłości. 14 Odpowiedzialność uŝytkownika związana z obowiązywaniem instrukcji 1. KaŜdy uŝytkownik systemu przetwarzający dane osobowe zobowiązany jest zapoznać się z niniejszą instrukcją i stosować jej przepisy na swoim stanowisku pracy. 2. Naruszenie postanowień niniejszej instrukcji moŝe zostać potraktowane jako naruszenie obowiązków i powodować określoną przepisami odpowiedzialność uŝytkownika systemu. Administrator Danych PREZYDENT MIASTA TYCHY ( ) Andrzej Dziuba Instrukcja Zarządzania Systemami Informatycznymi, słuŝącymi do przetwarzania danych osobowych Strona 8