Polityka Bezpieczeństwa przetwarzania danych osobowych

Transkrypt

1 Załącznik do Zarządzenia Nr 11 Rektora PP z dnia 14 kwietnia 2014 r. (RO/IV/11/2014) SPIS TREŚCI Polityka Bezpieczeństwa przetwarzania danych osobowych I Definicje... 2 II Źródła wymagań... 3 III Cel... 3 IV Deklaracja administratora danych Politechniki Poznańskiej... 3 V Dokumenty powiązane... 4 VI Zakres stosowania... 4 VII Organizacja przetwarzania danych osobowych w Politechnice Poznańskiej... 4 Schemat organizacji przetwarzania danych osobowych... 4 Schemat organizacji przetwarzania danych osobowych w projektach informatycznych... 5 Administrator danych... 6 Pełnomocnik ds. ochrony informacji... 6 Administrator bezpieczeństwa informacji... 6 Kierownik komórki organizacyjnej... 7 Osoby upoważnione do przetwarzania danych osobowych... 7 Inne osoby... 7 Kierownik projektu... 7 Administrujący zbiorem danych... 7 Administrator systemu informatycznego... 8 Zastępca Administratora bezpieczeństwa informacji... 8 VIII Dokumentacja zbiorów danych Politechniki Poznańskiej... 8 IX Poziom bezpieczeństwa przetwarzanych danych osobowych w Politechnice Poznańskiej... 8 X Zarządzanie ochroną danych osobowych... 8 XI Środki techniczne i organizacyjne w obiektach Politechniki Poznańskiej... 9 XII Zarządzanie incydentami XIII Przeglądy polityki bezpieczeństwa XIV Załączniki... 11

2 2 I DEFINICJE 1. Ustawa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z późn. zm.). 2. Rozporządzenie rozporządzenie Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024, z późn. zm.). 3. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 4. Zbiór danych osobowych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 5. Zbiór tradycyjny każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, prowadzony poza systemem informatycznym, w szczególności w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego. 6. Przetwarzanie danych osobowych operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 7. Lokalizacja - budynek, pomieszczenie lub część pomieszczenia, tworzące obszar, w którym przetwarzane są dane osobowe. 8. System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych. 9. Program część systemu informatycznego umożliwiająca użytkownikowi korzystanie z tego systemu i przetwarzanie danych. 10. Zabezpieczenie danych w systemie informatycznym wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 11. Administrator danych organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 Ustawy, decydujące o celach i środkach przetwarzania danych osobowych. 12. Pełnomocnik ds. ochrony informacji osoba wyznaczona przez Administratora danych, której Administrator danych powierzył określone obowiązki. 13. Administrator bezpieczeństwa informacji osoba wyznaczona przez Administratora danych nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych. 14. Osoby upoważnione do przetwarzania danych osobowych osoby, które otrzymały upoważnienie do przetwarzania danych osobowych. 15. Kierownik projektu osoba odpowiedzialna za prowadzenie projektu. 16. Administrujący zbiorem danych osobowych osoba wyznaczona przez Kierownika projektu (lub Administratora danych, jeżeli nie został określony Kierownik projektu) pełniąca funkcje Administratora danych dla określonego zbioru danych. 17. Administrator systemu informatycznego osoba zarządzająca systemem informatycznym, odpowiedzialna za jego eksploatację.

3 18. Zastępca Administratora bezpieczeństwa informacji osoba wyznaczona przez Kierownika projektu (lub Administratora danych, jeżeli nie został określony Kierownik projektu), nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych w określonym systemie informatycznym. Funkcje Kierownika projektu, Administrującego zbiorem danych osobowych, Administratora systemu informatycznego oraz Zastępcy Administratora bezpieczeństwa informacji w systemie informatycznym mogą być pełnione przez jedną osobę. 19. Rejestr osób upoważnionych dokument zawierający wykaz osób upoważnionych do przetwarzania danych osobowych. 20. Rejestr zbiorów danych dokument zawierający wykaz zbiorów danych tradycyjnych i informatycznych. 21. Instrukcja zarządzania systemem informatycznym dokument zawierający informacje określone w 5 Rozporządzenia. 3 II ŹRÓDŁA WYMAGAŃ Polityka bezpieczeństwa w Politechnice Poznańskiej spełnia wymagania poniższych aktów prawnych: 1) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z późn. zm.), a) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024, z późn. zm.), 2) ustawa z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. z 2012 r., poz. 572, z późn. zm.), 3) wytyczne dotyczące opracowania i wdrożenia polityki bezpieczeństwa Generalny Inspektor Ochrony Danych Osobowych. Do spraw nieuregulowanych niniejszą polityką bezpieczeństwa zastosowanie mają odpowiednie przepisy prawa. III CEL Niniejszy dokument określa zasady bezpieczeństwa przetwarzania danych osobowych jakie powinny być stosowane w Politechnice Poznańskiej przez osoby przetwarzające te dane. Stosowanie Polityki bezpieczeństwa ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Politechnikę Poznańską rozumianej jako ochronę danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem. IV DEKLARACJA ADMINISTRATORA DANYCH POLITECHNIKI POZNAŃSKIEJ Administrator danych osobowych w celu zapewnienia właściwej i skutecznej ochrony danych osobowych deklaruje: 1) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, 2) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Politechnice w zakresie problematyki bezpieczeństwa tych danych, 3) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. Administrator danych deklaruje stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 Ustawy).

4 4 V DOKUMENTY POWIĄZANE Z Polityką bezpieczeństwa przetwarzania danych osobowych w Politechnice Poznańskiej powiązane są instrukcje zarządzania systemami informatycznymi (dla każdego systemu informatycznego osobny dokument). VI ZAKRES STOSOWANIA Politykę bezpieczeństwa stosuje się do wszelkich zbiorów danych osobowych przetwarzanych tradycyjnie oraz w systemach informatycznych. Polityka bezpieczeństwa obowiązuje wszystkie osoby przetwarzające dane osobowe. VII ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH W POLITECHNICE POZNAŃSKIEJ Schemat organizacji przetwarzania danych osobowych

5 5 Schemat organizacji przetwarzania danych osobowych w projektach informatycznych

6 Administrator danych Administratorem przetwarzanych danych osobowych jest Politechnika Poznańska reprezentowana przez rektora. Do obowiązków Administratora danych należy: 1) podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, w szczególności wyznaczenie Administratora bezpieczeństwa informacji; 2) podejmowanie niezbędnych i odpowiednich kroków mających na celu zapewnienie prawidłowej ochrony danych osobowych; 3) wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych; 4) egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych; 5) zapewnienie niezbędnych środków potrzebnych dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych; 6) wydawanie upoważnień do przetwarzania danych osobowych; 7) zgłaszanie zbiorów danych osobowych do rejestracji w Ogólnokrajowym rejestrze zbiorów danych osobowych prowadzonym przez GIODO. Administrator danych wyznacza Pełnomocnika ds. ochrony informacji, któremu powierza czynności związane z ochroną danych osobowych. Pełnomocnik ds. ochrony informacji Do obowiązków Pełnomocnika ds. ochrony informacji należy: 1) nadzór nad wdrożeniem określonych przez Administratora danych środków technicznych i organizacyjnych; 2) przeprowadzanie szkoleń z zakresu bezpieczeństwa przetwarzanych danych osobowych. Ponadto Pełnomocnik ds. ochrony informacji wykonuje obowiązki Administratora danych, które zostały mu powierzone. Administrator bezpieczeństwa informacji Do obowiązków Administratora bezpieczeństwa informacji należy: 1) prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę danych; 2) prowadzenie Rejestru osób upoważnionych do przetwarzania danych osobowych; 3) prowadzenie Rejestru zbiorów danych; 4) prowadzenie Rejestru incydentów; 5) poddawanie przeglądom Polityki bezpieczeństwa przetwarzanych danych osobowych w Politechnice Poznańskiej; 6) zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia; 7) nadzorowanie przestrzegania zasad ochrony danych osobowych w Politechnice Poznańskiej; 8) nadzorowanie wdrożenia stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych; 9) kontrolowanie prawidłowego wykorzystania wdrożonych do stosowania dokumentów wewnętrznych; 10) kontrolowanie pracowników i innych osób upoważnionych pod względem wykonywania przez nich obowiązków związanych z ochroną przetwarzanych danych osobowych; 11) nadzór nad działaniami Administratorów systemów informatycznych w zakresie realizowanych przez nich obowiązków dotyczących ochrony danych osobowych; 12) kontrolowanie podmiotów trzecich, którym powierzono do przetwarzania dane osobowe, pod względem zabezpieczenia tych danych; 13) przeprowadzanie przeglądów bezpieczeństwa; 14) wskazywanie rekomendacji/zaleceń naprawczych w przypadku ustalenia niezgodności funkcjonowania poszczególnych komórek organizacyjnych oraz osób upoważnionych do przetwarzania danych z przepisami prawa z zakresu ochrony danych osobowych; 6

7 15) monitorowanie zgodności działania z aktualnie obowiązującymi przepisami prawa oraz wytycznymi i orzecznictwem GIODO oraz wskazywanie niezbędnych działań dostosowawczych w przypadku zmian przepisów; 16) reprezentowanie Administratora danych podczas kontroli GIODO; 17) przygotowywanie odpowiedzi na skargi osób dotyczące bezpieczeństwa danych osobowych; 18) podejmowanie działań w przypadku wystąpienia incydentów i naruszeń ochrony danych osobowych; 19) przygotowywanie projektów umów dotyczących powierzenia przetwarzania danych osobowych; 20) opiniowanie w sprawie możliwości oraz prawidłowości zbierania danych osobowych w celu utworzenia zbioru danych osobowych, zbierania nowych kategorii danych do istniejącego już zbioru lub przetwarzanie danych w celu innym niż ten, dla którego dane zostały zebrane; 21) opiniowanie w sprawie legalności przekazywania danych osobowych za granicę; 22) opiniowanie w sprawie udostępniania danych osobowych odbiorcom danych; 23) opiniowanie kwestii spornych dotyczących przetwarzania danych osobowych. Administrator bezpieczeństwa informacji ma dostęp do systemów informatycznych oraz pomieszczeń, w których przetwarzane są dane osobowe i jest upoważniony do przetwarzania danych osobowych w zbiorach Politechniki Poznańskiej. 7 Kierownik komórki organizacyjnej Do obowiązków Kierownika komórki organizacyjnej związanych z bezpieczeństwem danych osobowych należą: 1) zgłaszanie do Pełnomocnika ds. ochrony informacji wniosków o przeszkolenie i upoważnienie pracownika do przetwarzania danych osobowych ze wskazaniem, do jakich systemów informatycznych pracownik będzie miał dostęp wraz z podaniem identyfikatora użytkownika; 2) informowanie o zmianach w ramach zakresu systemów informatycznych, z których dany pracownik korzysta w przypadku poszerzenia zakresu Kierownik powinien złożyć nowy wniosek o wydanie upoważnienia; 3) zgłaszanie pracowników, którzy rozwiązali umowę lub, którym nie została ona przedłużona w celu odwołania upoważnienia do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych osobowych Do obowiązków osoby upoważnionej do przetwarzania danych osobowych należą: 1) ochrona danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem; 2) uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej, na której przetwarzane są dane osobowe; 3) przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami; 4) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia; 5) informowanie o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do Administratora bezpieczeństwa informacji lub przełożonego, który ma obowiązek poinformować Pełnomocnika ds. ochrony informacji lub Administratora bezpieczeństwa informacji. Inne osoby Dla każdego systemu informatycznego lub projektu mogą zostać określone, w zależności od potrzeb, osoby pełniące poniższe role: Kierownik projektu Kierownik projektu jest odpowiedzialny za przygotowanie Instrukcji zarządzania systemem informatycznym, który jest realizowany w ramach danego projektu. Administrujący zbiorem danych Administrujący zbiorem danych pełni określone obowiązki administratora danych w ramach jednego zbioru danych. Obowiązki administrujących zbiorami danych są określone oddzielnymi dokumentami.

8 Administrator systemu informatycznego Administrator systemu informatycznego zarządza powierzonym systemem informatycznym w sposób zapewniający ochronę danych osobowych w nim przetwarzanych. Nadaje użytkownikom uprawnienia do korzystania z systemu. W przypadku wykrycia zajścia incydentu informuje Administratora bezpieczeństwa informacji o wykrytym problemie. Zastępca Administratora bezpieczeństwa informacji Administrator bezpieczeństwa informacji w systemie informatycznym realizuje zadania powierzone przez Administratora bezpieczeństwa informacji w zakresie nadzoru nad danym systemem. Osoby te, na żądanie Pełnomocnika ds. ochrony informacji lub Administratora bezpieczeństwa informacji, składają raport ze swoich działań, a także umożliwiają im dostęp do lokalizacji oraz systemów informatycznych, w których przetwarzane są dane osobowe, w celu przeprowadzenia przeglądu bezpieczeństwa. 8 VIII IX X DOKUMENTACJA ZBIORÓW DANYCH POLITECHNIKI POZNAŃSKIEJ Wykaz zbiorów danych, wykaz lokalizacji, opis struktury zbiorów danych oraz sposób przepływu danych pomiędzy poszczególnymi systemami znajdują się w Rejestrze zbiorów danych, który jest prowadzony przez Administratora bezpieczeństwa informacji. POZIOM BEZPIECZEŃSTWA PRZETWARZANYCH DANYCH OSOBOWYCH W POLITECHNICE PO- ZNAŃSKIEJ Przy przetwarzaniu danych osobowych w systemach informatycznych stosuje się wysoki poziom bezpieczeństwa w rozumieniu 6 ust. 4 Rozporządzenia. ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH 1. Podstawowe zasady 1.1. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych osobowych Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia Administrator danych oraz Pełnomocnik ds. ochrony informacji zobowiązani są do stosowania adekwatnych do zmieniających się warunków i technologii poziomów bezpieczeństwa przetwarzania danych osobowych. 2. Procedury postępowania z danymi osobowymi 2.1. Dostęp do danych osobowych powinien być przyznawany zgodnie z zasadą wiedzy koniecznej Dane osobowe powinny być chronione przed nieuprawnionym dostępem i modyfikacją Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych. 3. Upoważnienie do przetwarzania danych osobowych 3.1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie na mocy art. 37 Ustawy Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Pełnomocnika ds. ochrony informacji W celu upoważnienia osoby do przetwarzania danych osobowych należy dostarczyć do Pełnomocnika ds. ochrony informacji podpisany przez kierownika jednostki wniosek o przeszkolenie w zakresie ochrony danych osobowych, którego wzór stanowi załącznik 1 do Polityki bezpieczeństwa Na podstawie otrzymanego wniosku i uczestnictwa w szkoleniu Pełnomocnik ds. ochrony informacji upoważnia formalnie osobę wskazaną we wniosku do przetwarzania danych osobowych i wydaje upoważnienie sporządzone zgodnie z wzorem stanowiącym załącznik 2 do Polityki bezpieczeństwa.

9 3.5. Upoważnienia, o których mowa powyżej, przechowywane są w aktach osobowych pracownika i obowiązują do czasu ustania stosunku pracy lub obowiązków związanych z przetwarzaniem danych osobowych. 4. Ewidencja osób upoważnionych 4.1. Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona przez Pełnomocnika ds. ochrony informacji i zawiera w szczególności imię, nazwisko i stanowisko osoby upoważnionej do przetwarzania danych osobowych, zakres upoważnienia, data nadania i odebrania upoważnienia oraz dla osób przetwarzających dane osobowe w systemach informatycznych identyfikator użytkownika w systemie informatycznym Przełożeni osób upoważnionych odpowiadają za natychmiastowe zgłoszenie do Pełnomocnika ds. ochrony informacji osób, które utraciły uprawnienia dostępu do danych osobowych. 5. Zachowanie danych osobowych w tajemnicy 5.1. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania, do których uzyskały dostęp w trakcie zatrudnienia, jak również po ustaniu zatrudnienia. 6. Znajomość regulacji wewnętrznych 6.1. Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w Politechnice Poznańskiej, w szczególności z Polityką bezpieczeństwa danych osobowych oraz Instrukcją zarządzania systemem informatycznym odpowiednią do systemu, z którego osoba będzie korzystała. 7. Zgodność 7.1. Polityka bezpieczeństwa powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach Politechniki Poznańskiej, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne Przegląd Polityki bezpieczeństwa wykonywany według potrzeb powinien mieć na celu stwierdzenie, czy postanowienia Polityki odpowiadają aktualnej i planowanej działalności Politechniki Poznańskiej oraz stanowi prawnemu aktualnemu w momencie dokonywania przeglądu Zmiany Polityki bezpieczeństwa wymagają przeglądu innych dokumentów dotyczących ochrony danych osobowych obowiązujących w Politechnice Poznańskiej, w szczególności polityk bezpieczeństwa systemów informatycznych oraz instrukcji zarządzania systemami informatycznymi. 9 XI ŚRODKI TECHNICZNE I ORGANIZACYJNE W OBIEKTACH POLITECHNIKI POZNAŃSKIEJ 1. Ochrona pomieszczeń, w których są przetwarzane dane osobowe 1.1. Dane osobowe w Politechnice Poznańskiej przetwarzane są wyłącznie w określonych obszarach, na które składają się budynki, pomieszczenia biurowe oraz części pomieszczeń, gdzie Politechnika Poznańska prowadzi działalność. Do takich pomieszczeń, zalicza się w szczególności: serwerownie, pomieszczenia biurowe, w których zlokalizowane są stacje robocze służące do przetwarzania danych osobowych w systemach komputerowych oraz pomieszczenia techniczne; pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe; pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe Budynki i wszystkie pomieszczenia, w których są przetwarzane dane osobowe zabezpieczone są przed dostępem osób nieuprawnionych Osoby upoważnione zobowiązane są do zamykania na klucz (nie dotyczy pomieszczeń chronionych systemem Kontroli dostępu) wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po zakończeniu pracy, a klucze nie mogą być pozostawione w zamku drzwi. Klucze należy prze-

10 chowywać w sposób uniemożliwiający dostęp do nich osobom postronnym W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe część ta powinna zostać wyraźnie oddzielona od części ogólnodostępnej Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieupoważnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych lub za zgodą Administratora danych Dostęp do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych jest rejestrowany Dostęp osób trzecich do serwerowni lub innych pomieszczeń, w których znajdują się główne elementy systemów informatycznych służących do przetwarzania danych osobowych nadzoruje pracownik Uczelni przez cały czas ich pobytu. 2. Ochrona danych osobowych 2.1. Wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, znajdujących się w obszarach przetwarzania danych osobowych Niepotrzebne wydruki lub inne dokumenty należy niszczyć w sposób uniemożliwiający odczytanie ich zawartości Kopie zapasowe zawierające dane osobowe przechowywane są w innej lokalizacji (budynku) w bezpiecznej odległości od lokalizacji podstawowej W przypadku korzystania z usług zewnętrznych podmiotów oferujących zbieranie i niszczenie dokumentów, urządzeń lub nośników zwierających dane osobowe, wybierani są wykonawcy z odpowiednimi certyfikatami i doświadczeniem W przypadku powierzenia przetwarzania danych osobowych firmie zewnętrznej zastosowanie mają zapisy umowy powierzenia. 3. Zabezpieczenia sprzętu komputerowego 3.1. Sprzęt komputerowy służący jako serwer systemu informatycznego jest zabezpieczany przed awarią zasilania lub zakłóceniami w sieci zasilającej Zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych Kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności Urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe, przeznaczone do: likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie; naprawy pozbawia się wcześniej tych danych w sposób uniemożliwiający odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych. 4. Ochrona transmisji danych 4.1. W celu ochrony systemów informatycznych służących do przetwarzania danych osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem Transmisja danych osobowych przez publiczną sieć telekomunikacyjną jest zabezpieczona szyfrowaniem. 5. Zabezpieczenia oprogramowania systemów informatycznych 5.1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło W przypadku, gdy do uwierzytelniania użytkowników używa się identyfikatora i hasła, składa się ono z co najmniej 8 znaków, w tym wielkie litery, małe litery oraz cyfry lub znaki specjalne Hasła służące do uwierzytelniania w systemach informatycznych, w których są przetwarzane dane osobowe należy zmieniać co najmniej raz na 30 dni System informatyczny powinien wymuszać zmianą hasła informując po upływie jego ważności. 10

11 6. Ochrona baz danych 6.1. W celu ochrony zbiorów danych osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych danych System zapewnia automatyczne odnotowywanie informacji o identyfikatorze użytkownika, który wprowadził lub zmienił dane osobowe oraz dacie i godzinie tego zdarzenia. 7. Ochrona stacji roboczej 7.1. W celu ochrony danych osobowych przetwarzanych na stacjach roboczych na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się mechanizm blokady stacji roboczej Na stacjach roboczych, które służą do przetwarzania danych osobowych, użytkownicy nie posiadają uprawnień do instalacji nieautoryzowanego oprogramowania Stosuje się oprogramowanie antywirusowe z automatyczną aktualizacją w celu ochrony systemu przed działaniem oprogramowania, uzyskującego nieuprawniony dostęp do systemu informatycznego Należy korzystać z najnowszej, stabilnej wersji oprogramowania W systemie operacyjnym powinny być zainstalowane najnowsze aktualizacje związane z bezpieczeństwem. 8. Środki organizacyjne 8.1. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Dostęp do danych osobowych możliwy jest jedynie po uzyskaniu pisemnego upoważnienia do przetwarzania danych osobowych wydanego przez Administratora danych Dla systemów informatycznych służących do przetwarzania danych osobowych wprowadzono odpowiednie dokumenty. 11 XII XIII XIV ZARZĄDZANIE INCYDENTAMI Osoba, która zauważyła wystąpienie incydentu lub uchybienia związanego z ochroną danych osobowych, zobowiązana jest niezwłocznie poinformować Administratora bezpieczeństwa informacji o tym. W przypadku wystąpienia incydentu stosuje się procedurę reagowania na incydenty (załącznik 5). PRZEGLĄDY POLITYKI BEZPIECZEŃSTWA Polityka bezpieczeństwa jest poddawana przeglądowi na polecenie Administratora danych. W razie istotnych zmian dotyczących przetwarzania danych osobowych, administrator bezpieczeństwa informacji może zarządzić przegląd bezpieczeństwa stosownie do potrzeb. W trakcie przeglądu administrator bezpieczeństwa informacji analizuje, czy polityka bezpieczeństwa i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do zmian w budowie systemu informatycznego, zmian organizacyjnych administratora danych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych oraz zmian w obowiązującym prawie. ZAŁĄCZNIKI 1. Wzór wniosku o przeszkolenie w zakresie ochrony danych osobowych 2. Wzór upoważnienia do przetwarzania danych osobowych 3. Wzór rejestru zbiorów danych zawierający w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemam. 4. Wzór rejestru osób upoważnionych 5. Procedura reagowania na incydenty

12 12 Załącznik 1. Wzór wniosku o przeszkolenie w zakresie ochrony danych osobowych Poznań,. Politechnika Poznańska Dział Ochrony Informacji i Spraw Obronnych pl. Marii Skłodowskiej-Curie Poznań Wniosek o przeszkolenie w zakresie ochrony danych osobowych Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z późn. zm.), proszę o przeszkolenie następujących osób w zakresie ochrony danych osobowych. (imię i nazwisko pracownika).. (stanowisko).. (jednostka organizacyjna).. (systemy informatyczne, do których osoba powinna mieć dostęp, identyfikator użytkownika) pieczęć i podpis kierownika jednostki organizacyjnej

13 13 Załącznik 2. Wzór upoważnienia do przetwarzania danych osobowych Politechnika Poznańska Poznań,... Nr rejestru... Egz. Nr... U P O W A Ż N I E N I E Na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z późn. zm.), a także rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024, z późn. zm.) u p o w a ż n i a m pana/panią (imię i nazwisko, zajmowane stanowisko służbowe) do dostępu do wiadomości stanowiących tajemnicę służbową z zakresu spraw dotyczących przetwarzania danych osobowych w systemach informatycznych wymienionych poniżej:... (nazwa systemu, identyfikator w systemie) (podpis administratora danych) Zobowiązuję się do przetwarzania danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z późn. zm.) oraz zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczania.... (podpis osoby upoważnionej)