POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Transkrypt

1 Załącznik nr 1 do Zarządzenia Nr 68 Rektora Akademii Sztuk Pięknych im. Jana Matejki w Krakowie z dnia 28 września 2017 roku POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH AKADEMII SZTUK PIĘKNYCH IM. JANA MATEJKI W KRAKOWIE 1

2 Spis treści: I. DEFINICJE II. ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH... 5 Administrator Bezpieczeństwa Informacji (ABI)... 5 Administrator Systemów Informatycznych (ASI) Lokalny Administrator Danych Osobowych (LADO) III. INFRASTRUKTURA PRZETWARZANIA DANYCH OSOBOWYCH Wykaz obszarów przetwarzania danych osobowych i sposobu ich zabezpieczania Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Sposób przepływu danych pomiędzy poszczególnymi systemami Gromadzenie danych osobowych IV. PRZETWARZANIE DANYCH OSOBOWYCH Ochrona przetwarzania danych osobowych Obowiązek informacyjny... 9 Udostępnianie danych osobowych Powierzenie przetwarzania danych osobowych V. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICALNOŚCI PRZETWARZANIA DANYCH Zabezpieczenia organizacyjne Zabezpieczenia fizyczne pomieszczeń Zabezpieczenia sprzętowe infrastruktury informatycznej oraz programów przetwarzających dane osobowe zasady ogólne Zabezpieczenia fizyczne procesu przetwarzania danych osobowych w dokumentacji papierowej Postępowanie przy rozpoczęciu, zawieszeniu i zakończeniu pracy Kontrola dostępu do danych osobowych VI. PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZEŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH VII. KONTROLA WEWNĘTRZNA STANU OCHRONY DANYCH OSOBOWYCH VIII. ZARZĄDZANIE SYSTEMEM OCHRONY DANYCH OSOBOWYCH Procedura trybu i nadzoru nad Polityką Bezpieczeństwa i Instrukcją Zarządzanie wewnętrznym rejestrem zbiorów

3 IX. SZKOLENIA LUB ZAPOZNAWANIE OSÓB Z ZASADMI OCHRONY DANYCH OSOBOWYCH X. POSTANOWIENIA KOŃCOWE XI. ZAŁĄCZNIKI: WPROWADZENIE Polityka Bezpieczeństwa Danych Osobowych Akademii Sztuk Pięknych im. Jana Matejki w Krakowie (zwana dalej: Polityką) jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu danych osobowych o których mowa w 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U z 2016 r., poz. 922 ze zm.) oraz określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024). Polityka dotyczy danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. Przetwarzanie danych osobowych w ASP jest dopuszczalne tylko pod warunkiem przestrzegania przepisów Ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych oraz niniejszej Polityki. Polityka określa również zadania oraz uprawnienia Administratora Bezpieczeństwa Informacji oraz Administratora Systemów Informatycznych. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych. Polityka zawiera ogólne zagadnienia i procedury z zakresu ochrony danych osobowych obowiązujące w Uczelni. 3

4 I. DEFINICJE. Ilekroć w niniejszym dokumencie jest mowa o: Polityce bezpieczeństwa lub dokumencie należy przez to rozumieć Politykę Bezpieczeństwa Danych Osobowych w Akademii Sztuk Pięknych im. Jana Matejki w Krakowie; 2. Ustawie należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U r. poz. 922 ze zm.); 3. Rozporządzeniu należy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024); 4. Uczelni, Akademii lub ASP należy przez to rozumieć Akademię Sztuk Pięknych im. Jana Matejki w Krakowie; 5. Danych osobowych należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; 6. Osobie możliwej do zidentyfikowania należy przez to rozumieć osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; 7. Zbiorze danych należy przez to rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 8. Administratorze Danych Osobowych (dalej również: ADO) należy przez to rozumieć Akademię Sztuk Pięknych im. Jana Matejki w Krakowie reprezentowaną przez Rektora decydującego o celach i środkach przetwarzania danych osobowych, w myśl art. 3 ustawy; 9. Lokalnym Administratorze Danych Osobowych (dalej również: LADO) - należy przez to rozumieć osoby, którym przekazano - odpowiednio do zakresu realizowanych przez nich celów statutowych - obowiązki i uprawnienia Administratora Danych Osobowych w rozumieniu pkt. 8 niniejszego paragrafu; 10. Administratorze Bezpieczeństwa Informacji (dalej również: ABI) należy przez to rozumieć osobę powołaną przez Rektora, nadzorującą przestrzeganie zasad i wymagań w zakresie ochrony danych osobowych określonych w powszechnie obowiązujących przepisach o ochronie danych osobowych oraz w niniejszej Polityce bezpieczeństwa; 11. Administratorze Systemów Informatycznych (dalej: ASI) należy przez to rozumieć osobę wyznaczoną przez Rektora do administrowania i zarządzania systemami informatycznymi w ASP; 12. Osobie upoważnionej lub Użytkowniku należy przez to rozumieć osobę, posiadającą pisemne upoważnienie do przetwarzania danych osobowych, w szczególności pracownika, współpracownika, praktykanta lub stażystę; 13. Przetwarzaniu danych należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, 4

5 udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 14. Bazie danych osobowych należy przez to rozumieć zbiór danych uporządkowanych i powiązanych ze sobą tematycznie, zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze rekordów lub obiektów, w których są zapisywane dane osobowe; 15. Systemie informatycznym należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; 16. Systemie tradycyjnym należy przez to rozumieć zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze; 17. Zabezpieczeniu danych w systemie informatycznym należy przez to rozumieć wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 18. Usuwaniu danych należy przez to rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; 19. Zgodzie osoby, której dane dotyczą należy przez to rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli innej treści; 19. Odbiorcy danych należy przez to rozumieć każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a Ustawy, d) podmiotu, o którym mowa w art. 31 Ustawy, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. 20. Instrukcji należy przez to rozumieć Instrukcję Zarządzania Systemami Informatycznymi w ASP, stanowiącą załącznik nr 1 do Polityki bezpieczeństwa. II. ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH Administrator Bezpieczeństwa Informacji (ABI) 1. Do obowiązków ABI należy: 2. a) sprawdzanie zgodności przetwarzania danych osobowych z odpowiednimi przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) aktualizowanie niniejszej polityki bezpieczeństwa wraz z załącznikami, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, d) prowadzenie rejestru zbiorów danych przetwarzanych przez ADO, z wyjątkiem zbiorów zawierających dane wrażliwe, 5

6 e) nadzór i organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami Ustawy oraz niniejszą polityką bezpieczeństwa, f) nadzór nad wydawaniem i anulowaniem upoważnień do przetwarzania danych osobowych, g) nadzór nad prowadzeniem ewidencji osób upoważnionych do przetwarzania danych osobowych, h) prowadzenie ewidencji wniosków o udostępnienie danych osobowych, i) prowadzenie ewidencji umów o powierzenie przetwarzania danych osobowych, j) prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych, k) kontrola działań jednostek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych, l) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych 2. ADO zapewnia środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego zadań. 3. ABI ma prawo: a) wyznaczać, rekomendować i egzekwować wykonanie zadań związanych z ochroną danych osobowych w całej Uczelni, b) kontrolować jednostki organizacyjne Uczelni w zakresie właściwego przetwarzania danych osobowych, c) wstępu do pomieszczeń w których przetwarzane są dane osobowe lub zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, d) żądać złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego, e) żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli, f) żądać udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, g) wydawać polecenia kierownikom jednostek organizacyjnych Uczelni oraz wszystkim pracownikom w zakresie bezpieczeństwa danych osobowych, h) żądać od wszystkich pracowników Uczelni wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych. Administrator Systemów Informatycznych (ASI) ASI odpowiada za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych Uczelni. 2. ASI pełni funkcję zastępcy ABI i wykonuje zadania ABI podczas jego nieobecności. 3. Do obowiązków ASI należy: 6

7 a) zapewnienie bezawaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych w Uczelni; b) nadzór nad naprawami, konserwacją i likwidacją urządzeń komputerowych, na których zapisane są dane osobowe; c) nadzór nad przeglądami, konserwacją, uaktualnianiem systemów służących do przetwarzania danych osobowych; d) podejmowanie natychmiastowych działań zabezpieczających stan systemu informatycznego w Uczelni w przypadku otrzymania informacji o naruszeniu zabezpieczeń informatycznych; e) nadzór nad przesyłaniem danych osobowych drogą teletransmisji; f) nadzór nad przestrzeganiem zasad bezpieczeństwa w przypadku udostępniania danych osobowych innym podmiotom drogą teletransmisji danych; g) przeciwdziałanie dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe; h) podejmowanie działań w przypadku naruszeń w systemie zabezpieczeń; i) nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych; j) podejmowanie działań w zakresie ustalania i kontroli identyfikatorów dostępu do systemu informatycznego; k) nadzór i prowadzenie rejestru użytkowników i ich uprawnień w systemach informatycznych.. Lokalny Administrator Danych Osobowych (LADO) Obowiązki wynikające z ustawy i Polityki bezpieczeństwa powierza się Lokalnym Administratorom Danych Osobowych. 2. LADO podlega bezpośrednio ADO, a w zakresie funkcjonalnym wykonuje zalecenia ABI. 3. Rolę LADO pełnią: a) Dziekani w zakresie wszystkich podległych pracowników, doktorantów i studentów wydziałów, b) Kierownicy jednostek międzywydziałowych, ogólnowydziałowych i międzyuczelnianych w zakresie podległych pracowników i studentów, c) Kanclerz w zakresie pracowników administracji centralnej. 4. Do obowiązków LADO należy: a) Zapewnienie stosowania w podległych jednostkach środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, zgodnych z ustawą i Polityką bezpieczeństwa, b) Kontrola przestrzegania zasad przetwarzania danych osobowych w podległych jednostkach, c) Dopuszczenia do przetwarzania danych osobowych w podległych jednostkach wyłącznie osób upoważnionych, 7

8 d) Zgłaszanie ABI nowych obszarów przetwarzania danych osobowych, ich zmiany lub konieczności usunięcia danego obszaru z wykazu o którym mowa w 5 ust. 3 Polityki bezpieczeństwa. e) Zgłaszanie ABI konieczności utworzenia nowego zbioru danych osobowych, a także wszelkich informacji dotyczących zmian w zakresie i sposobie przetwarzania danych osobowych w istniejących już zbiorach, f) Informowanie ABI o zamiarze powierzenia danych osobowych do przetwarzania, zgodnie z 13 ust. 2 Polityki bezpieczeństwa. g) Podejmowanie, w uzgodnieniu z ABI decyzji odnośnie udostępniania danych osobowych, zgodnie z 11 ust. 2 Polityki bezpieczeństwa. 5. Do wykonywanie czynności o których mowa w ust. 4 powyżej LADO może wyznaczyć swojego zastępcę. Informację o wyznaczeniu zastępcy należy przekazać do ABI. III. INFRASTRUKTURA PRZETWARZANIA DANYCH OSOBOWYCH. Wykaz obszarów przetwarzania danych osobowych i sposobu ich zabezpieczania Obszar przetwarzania danych osobowych w ASP w Krakowie obejmuje budynki, pomieszczenia i części pomieszczeń, w których przetwarzane są dane osobowe (miejsca, w których wykonuje się operacje na danych osobowych, tj. wpisuje, zmienia, kopiuje), oraz miejsca, gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające elektroniczne nośniki informacji, pomieszczenia, w których składowane są uszkodzone nośniki danych). 2. Obszarem przetwarzania danych osobowych są pomieszczenia w ASP w Krakowie przy Pl. Matejki 13, ul. Karmelickiej 16, ul. Syrokomli 21, ul. Lea 27-29, ul. Smoleńsk 9, ul. Humberta 3, Mały Rynek 4 oraz w Zakopanem w pomieszczeniach Domu Pracy Twórczej oraz Domu Plenerowym, Harenda Wzór wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe i sposobu ich zabezpieczania w Akademii Sztuk Pięknych im. Jana Matejki w Krakowie stanowi załącznik nr 2 do Polityki bezpieczeństwa. 4. Warunki ochrony obszaru przetwarzania danych osobowych określone zostały w 15 Polityki bezpieczeństwa. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Wzór wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych stanowi załącznik nr 3 do Polityki Bezpieczeństwa. 2. Szczegółowe informacje dotyczące stosowanego sprzętu oraz oprogramowania danego systemu informatycznego są zawarte w Instrukcji. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. 7. 8

9 Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami stanowi załącznik nr 4 do Polityki Bezpieczeństwa. Sposób przepływu danych pomiędzy poszczególnymi systemami. 8. Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami, w których przetwarzane są dane osobowe przedstawiono w Wykazie zbiorów danych osobowych. Gromadzenie danych osobowych Dane osobowe przetwarzane w Uczelni mogą być uzyskiwane bezpośrednio od osób, których te dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa. 2. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą lub usunięte. 3. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych. 4. W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, ADO jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia. IV. PRZETWARZANIE DANYCH OSOBOWYCH. Ochrona przetwarzania danych osobowych Do przetwarzania danych mogą być dopuszczone osoby upoważnione. 2. ABI sprawuje nadzór nad: a) zbieraniem, ewidencjonowaniem i przechowywaniem upoważnień do przetwarzania danych osobowych. Wzór upoważnienia określa załącznik nr 5 do Polityki Bezpieczeństwa; b) prowadzeniem ewidencji osób upoważnionych do przetwarzania danych osobowych. Wzór ewidencji stanowi załącznik nr 6 do Polityki Bezpieczeństwa; c) zbieraniem, ewidencjonowaniem i przechowywaniem oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych; wzór formularza oświadczenia stanowi załącznik nr 7 do Polityki Bezpieczeństwa. Obowiązek informacyjny 11. 9

10 1. Kierownicy jednostek organizacyjnych Uczelni w których są zbieranie i przetwarzane dane osobowe oraz samodzielni pracownicy są odpowiedzialni za poinformowanie osób, których dane osobowe przetwarzają, o: a) adresie siedziby Uczelni, pod którym dane są zbierane i przetwarzane; b) celu zbierania danych; c) dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej; d) prawie wglądu do treści swoich danych oraz możliwości ich poprawiania. 2. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy dodatkowo poinformować o źródle danych oraz o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 Ustawy. 3. Materiały dotyczące innej niż ustawowa i statutowa działalności Uczelni mogą być wysyłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu. 4. Kandydaci do pracy w Uczelni składają oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych w dokumentach rekrutacyjnych. Osoby zatrudnione w uczelni na podstawie umów cywilnoprawnych składają oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych w umowach. 5. Dokumenty złożone w celu określonym w ust. 5 są przechowywane w Dziale Spraw Pracowniczych, który przetwarza te dane, i są włączane do akt osobowych. Udostępnianie danych osobowych ADO udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 2. Dane osobowe mogą być udostępniane w następujących przypadkach a) na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów prawa; b) na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych; c) na podstawie wniosku osoby, której dane dotyczą. 3. Wniosek o udostępnienie danych osobowych powinien zawierać informacje umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. Wzór wniosku stanowi załącznik nr 8 do Polityki Bezpieczeństwa. 4. Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 5. W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych na pisemny wniosek pochodzący od osoby, której dane dotyczą, odpowiedź na wniosek następuje w terminie 30 dni od daty jego otrzymania. 6. Wniosek o udostępnienie przekazywany jest do LADO, który podejmuje decyzję o udostępnieniu, w uzgodnieniu z ABI. 7. LADO jest odpowiedzialny za przygotowanie danych osobowych do udostępnienia w zakresie wskazanym we wniosku. 10

11 8. Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób oraz jeżeli dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy. Powierzenie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych odbywa się zgodnie z art. 31 Ustawy na podstawie umowy zawartej na piśmie pomiędzy ADO a danym podmiotem, któremu zleca się czynności związane z przetwarzaniem danych osobowych. 2. LADO informuje ABI o zamiarze powierzenia danych osobowych do przetwarzania. 3. ABI opiniuje projekt umowy powierzenia danych osobowych innemu podmiotowi. 4. W projekcie umowy należy wyspecyfikować zakres czynności związanych z przetwarzaniem powierzonych danych osobowych, zakres danych oraz wymagania dotyczące ochrony danych. 5. Każda osoba delegowana do wykonywania zadań na rzecz Uczelni związanych z powierzeniem przetwarzania danych osobowych, obowiązana jest podpisać oświadczenie o zachowaniu w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. W tym zakresie należy odpowiednio dostosować wzór oświadczenia z załącznika nr Projekt umowy parafują: a) ABI, b) LADO, c) ASI jeżeli zlecenie czynności dotyczyć będzie przetwarzania danych w systemie informatycznym, 7. Zaparafowany projekt umowy jest przedkładany do akceptacji i podpisu ADO. Przykładowy wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 9 do Polityki Bezpieczeństwa Informacji. V. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICALNOŚCI PRZETWARZANIA DANYCH. Zabezpieczenia organizacyjne ) Wyznaczenie Administratora Bezpieczeństwa Informacji, 2) Opracowania i wdrożenia Polityki bezpieczeństwa oraz Instrukcji, 3) Dopuszczanie do przetwarzania danych osobowych wyłącznie osób upoważnionych, 4) Prowadzenie ewidencji osób upoważnionych, 5) Zaznajamianie osób upoważnionych z powszechnie obowiązującymi przepisami dotyczącymi ochrony danych osobowych, niniejszą Polityką bezpieczeństwa oraz Instrukcją, 6) Zapewnienie przetwarzania danych osobowych w ASP w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, 11

12 7) Przebywanie osób nieuprawnionych lub nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej oraz w warunkach zapewniających bezpieczeństwo danych. Zabezpieczenia fizyczne pomieszczeń 15. 1) Wprowadzenie całodobowej ochrony budynków. 2) Pomieszczenia i części pomieszczeń są chronione zamknięciami na klucz. Prowadzona jest ewidencja dostępu do pomieszczeń i części pomieszczeń przy pomocy klucza. 3) W pomieszczeniach i częściach pomieszczeń obszaru przetwarzania danych osobowych nośniki z danymi (papierowe i informatyczne) przechowywane są w zamykanych szafach. 4) Pomieszczenie serwerowni jest dodatkowo zabezpieczone. Dostęp do tego pomieszczenia mają jedynie osoby upoważnione oraz uprawnione przez ASI. Wejście do pomieszczenie serwerowni następuje przy użyciu klucza. 5) W Uczelni prowadzony jest monitoring wizyjny, zgodny z zasadami ochrony danych osobowych. 6) Poszczególne obszary przetwarzania danych osobowych zostały wyposażone w alarm antywłamaniowy oraz czujniki przeciwpożarowe. 7) W uczelni obowiązuje następująca polityka kluczy: a) Dostęp do budynków, pomieszczeń lub części pomieszczeń możliwy jest wyłącznie przez osoby upoważnione; b) Klucze do pomieszczeń znajdują się na portierniach. Klucze mogą być pobierane od pracownika portierni, nadzorującego ich przechowywanie, jedynie przez osoby upoważnione. Po zakończeniu pracy są one zdawane do pracownika portierni. Klucze poza godzinami pracy zabezpieczone są w pomieszczeniach portierni; c) Klucze zapasowe przechowywane są w pomieszczeniach portierni; d) Wydawanie kluczy zapasowych upoważnionym pracownikom może odbywać się tylko w uzasadnionych sytuacjach lub w przypadkach awaryjnych, po uprzednim pisemnym odnotowaniu pobrania zapasowego klucza w protokole osobie upoważnionej. e) Klucze zapasowe po ich wykorzystaniu należy niezwłocznie zwrócić za poświadczeniem w protokole; f) Klucze służące do zabezpieczenia biurek i szaf muszą są jednoznacznie opisane; g) W godzinach pracy klucze pozostają pod nadzorem pracowników, którzy ponoszą pełną odpowiedzialność za ich należyte zabezpieczenie; h) Zabrania się pozostawiania kluczy w biurkach i szafach podczas chwilowej nieobecności osób upoważnionych w pomieszczeniu; i) Po zakończeniu pracy, klucze służące do zabezpieczenia biurek i szaf muszą być przechowywane w zabezpieczonym miejscu. 12

13 Zabezpieczenia sprzętowe infrastruktury informatycznej oraz programów przetwarzających dane osobowe zasady ogólne ) Wszelkie urządzenia i nośniki zawierające dane osobowe, takie jak serwery, komputery, urządzenia teletransmisyjne, szafy z nośnikami magnetycznymi zawierające kopie danych usytuowane są w pomieszczeniach uniemożliwiających dostęp do nich osób nieupoważnionych; 2) Dostęp do komputerów/laptopów zawierających dane osobowe odbywa się poprzez podanie loginu i hasła; 3) W przypadku wykorzystywania do pracy komputerów przenośnych jego użytkownik zobowiązany jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i używania poza wyznaczonym przez ADO obszarem przetwarzania danych osobowych. Użytkownik komputera przenośnego odpowiada za powierzone mu urządzenie oraz wszelkie operacje wykonywane przy jego użyciu. 4) Dostęp do danych osobowych przez internet odbywa się poprzez podanie loginu i hasła; 5) Zastosowano licencjonowany system antywirusowy. System antywirusowy musi być aktywny i zabrania się jego wyłączania. System antywirusowy musi zawierać aktualną bazę wirusów; 6) Zastosowano system Firewall do ochrony dostępu do sieci komputerowej; 7) W przypadku dostępu do danych osobowych przez internet stosuje się szyfrowanie tego połączenia. 8) Dostęp do danych osobowych w programach w których przetwarzane są dane osobowe wymaga podania nazwy użytkownika/loginu i hasła. Użytkownicy tych programów posiadają w nich konta z określonymi uprawnieniami; 9) Zastosowano wygaszacze ekranu, uruchamiane hasłem po dłuższej nieaktywności użytkownika; 10) Zmiana haseł jest wymuszana przez system; 11) Lokalizacja urządzeń komputerowych (np. komputerów, drukarek) powinna uniemożliwiać dostęp do nich osób nieuprawnionych oraz wgląd do danych wyświetlanych na monitorach komputerowych; 12) W przypadku konieczności naprawy sprzętu komputerowego dane należy zabezpieczyć, natomiast w przypadku naprawy sprzętu poza obszarem przetwarzania danych osobowych ASP, po zabezpieczeniu danych należy je trwale usunąć z dysku. Gdy nie ma możliwości usunięcia danych, naprawa powinna być nadzorowana przez osobę upoważnioną przez ASP. 13) Szczególnemu nadzorowi podlegają w Uczelni urządzenia umożliwiające tworzenie i przenoszenie dużych ilości danych, w tym nagrywarki DVD, dyski zewnętrzne oraz nośniki typu pendrive, a także inne nośniki komputerowe zawierające dane osobowe. Do ich ochrony i zabezpieczenia zobowiązani są wszyscy ich użytkownicy. 14) W przypadku uszkodzenia nośników komputerowych, o których mowa w pkt 13), użytkownicy zobowiązani są do powiadomienia ASI. Uszkodzone nośniki komputerowe (w tym dyski twarde), zawierające dane osobowe, powinny być fizycznie niszczone w sposób uniemożliwiający dostęp do danych osób niepowołanych. Do czasu zniszczenia nośniki komputerowe powinny być zabezpieczone przed dostępem osób nieupoważnionych. 15) Dopuszcza się ponowne wykorzystanie urządzeń i nośników komputerowych zawierających dane osobowe. 13

14 16) Urządzenia i nośniki komputerowe zawierające dane osobowe, przeznaczone do ponownego wykorzystania lub przekazania innemu podmiotowi należy, przed ich wykorzystaniem lub przekazaniem, pozbawić zapisu w sposób gwarantujący trwałe usunięcie danych (za pomocą specjalistycznego oprogramowania). Zabezpieczenia fizyczne procesu przetwarzania danych osobowych w dokumentacji papierowej ) Za bezpieczeństwo danych osobowych zapisanych w formie papierowej odpowiedzialne są osoby je przetwarzające oraz kierownicy poszczególnych jednostek organizacyjnych Uczelni. 2) Dokumentacja papierowa zawierająca dane osobowe przechowywana jest w zamykanych szafach i biurkach oraz w zamykanym archiwum; 3) Dokumentacja papierowa zawierająca dane osobowe udostępniana jest jedynie osobom upoważnionym; 4) Niszczenie dokumentacji papierowej zawierającej dane osobowe odbywa się przy pomocy niszczarek; Postępowanie przy rozpoczęciu, zawieszeniu i zakończeniu pracy ) Użytkownik obowiązany jest logować się do komputerów/laptopów zawierających dane osobowe poprzez podanie loginu i hasła; 2) Użytkownik obowiązany jest logować się do programu w których przetwarzane są dane osobowe przy pomocy identyfikatora i hasła; 3) Użytkownik obowiązany jest stosować politykę tzw. czystego ekranu, tj. uniemożliwić osobom nieupoważnionym wglądu do danych wyświetlonych na monitorze; 4) W razie czasowego opuszczenie stanowiska pracy Użytkownik obowiązany jest wylogować się z systemu lub zablokować komputer; 5) Po zakończeniu pracy Użytkownik obowiązany jest wylogować się z systemu lub wyłączyć komputer oraz stosować tzw. politykę czystego biurka. Kontrola dostępu do danych osobowych ) Wszystkie programy w których przetwarzane są dane osobowe są wyposażone w mechanizmy uwierzytelniania użytkowników oraz kontroli dostępu. 2) Do obsługi programów w których przetwarzane są dane osobowe, a także do obsługi dokumentacji zawierającej dane osobowe przetwarzanych w formie papierowej mogą zostać dopuszczone wyłącznie osoby upoważnione, z zastrzeżeniem postanowienia pkt 3) poniżej. 3) Dopuszcza się możliwość dostępu do danych przez podmioty zewnętrzne w przypadku zaistnienia okoliczności wynikających z obowiązujących przepisów prawa oraz zawartych umów. 4) Szczegółowy opis procesu zarządzania uprawnieniami do dostępu do danych osobowych i obsługi programów w których przetwarzane są dane osobowe oraz nadawania, modyfikacji i 14

15 anulowania uprawnień użytkowników, znajduje się w Instrukcji. 5) Ewidencję osób upoważnionych do przetwarzania danych osobowych nadzoruje ABI 6) Osoby upoważnione obowiązane są do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia. VI. PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZEŃ BEZPIECZEŃ- STWA DANYCH OSOBOWYCH Procedura niniejsza definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych w ASP oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości. 2. Każda osoba upoważniona oraz zobowiązania do zachowania poufności danych osobowych w przypadku pozyskania informacji o fakcie nieprawnego przetwarzania, ujawnienia lub nienależytego zabezpieczenia przed osobami nieuprawnionymi danych osobowych lub stwierdzenia innego zagrożenia lub naruszenia ochrony danych osobowych, zobowiązana jest poinformować o tym fakcie bezpośredniego przełożonego lub ABI. 3. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów, b) niewłaściwe zabezpieczenie sprzętu IT lub oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 4. Do typowych incydentów bezpieczeństwa danych osobowych należą: a) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności), b) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych), c) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 5. W przypadku stwierdzenia wystąpienia zagrożenia, ABI przeprowadza postępowanie wyjaśniające w toku którego: a) Ustala zakres i przyczyny zagrożenia i jego ewentualne skutki; b) inicjuje ewentualne działania dyscyplinarne, c) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości, d) dokumentuje prowadzone postępowanie. 6. W przypadku stwierdzenie incydentu (naruszenia) ABI prowadzi postępowanie wyjaśniające w toku którego: 15

16 a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały, b) zabezpiecza ewentualne dowody, c) ustala osoby odpowiedzialne za naruszenie, d) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody), e) inicjuje ewentualne działania dyscyplinarne, f) wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości, g) dokumentuje prowadzone postępowania. 7. O wynikach postępowanie wyjaśniającego, o którym mowa w pkt 5 i 6 powyżej ABI powiadamia Rektora ASP. 8. ABI podejmuje decyzję czy zdarzenie lub incydent spełnia przesłanki przestępstwa określonego w Ustawie oraz, czy ADO zobowiązany jest zgłosić sprawę do organów ścigania. 9. W trakcie prowadzenia postępowania wyjaśniającego ABI lub osoba przez niego upoważniona ma prawo do pełnej swobody działania, dostępu do dokumentów, wglądu do operacji wykonywanych w systemach informatycznych, otrzymywania wyjaśnień od pracowników i osób mogących mieć wpływ na wyniki postępowania oraz podejmowania wszelkich czynności mających na celu wyjaśnienie przyczyn, okoliczności i skutków zdarzenia oraz wskazania osób z nim powiązanych. 10. Postępowanie w przypadkach zagrożeń bezpieczeństwa danych w systemach informatycznych: a) W przypadku nieprawidłowości w działaniu systemu, uszkodzenia, lub podejrzenia o uszkodzenie sprzętu, oprogramowania, sieci telekomunikacyjnej lub danych, należy bezzwłocznie powiadomić bezpośredniego przełożonego oraz zgłosić incydent do ABI lub ASI. b) W razie włamania lub podejrzenia o włamanie do systemu ASI podejmuje działania w celu zabezpieczenia systemu i danych: i. zmienia hasła administracyjne, ii. iii. iv. określa rodzaj i sposób włamania, podejmuje działania w celu uniemożliwienia ponownego włamania tego samego typu, szacuje straty, v. przywraca stan systemu sprzed włamania. 11. W przypadku uszkodzenia sprzętu lub programów z danymi ASI podejmuje działania w celu: a) określenia przyczyny uszkodzenia, b) oszacowania strat wynikających z ww. uszkodzenia, c) naprawy uszkodzeń, a w szczególności naprawy sprzętu, ponownego zainstalowania danego programu, odtworzenie jego pełnej konfiguracji oraz wczytania danych z ostatniej kopii zapasowej. 12. W przypadku uszkodzenia danych ASI podejmuje następujące działania: a) ustala przyczynę uszkodzenia danych, 16

17 b) określa wielkość i jakość uszkodzonych danych, c) podejmuje działania w celu odtworzenia danych z ostatniej kopii zapasowej. VII. KONTROLA WEWNĘTRZNA STANU OCHRONY DANYCH OSOBOWYCH Celem procedury jest przedstawienie czynności związanych ze sprawdzaniem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO. 2. Za przeprowadzenie kontroli odpowiada ABI. 3. Kontroli podlegają zbiory, systemy informatyczne przetwarzające dane osobowe, zabezpieczenia fizyczne, zabezpieczenia organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu faktycznego z wymaganiami Ustawy. Kontrolę systemów informatycznych ABI przeprowadza wraz z ASI lub osobą przez niego upoważnioną. 4. ABI przygotowuje plan kontroli sprawdzeń (możliwy kwartalny lub roczny) uwzględniając zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. 5. ABI ma obowiązek przedstawienia ADO planu kontroli najpóźniej na 2 tygodnie przed dniem rozpoczęcia okresu objętego planem. 6. ABI prowadzi kontrole zgodnie z planem lub może wszcząć kontrole doraźne na skutek podejrzenia lub naruszenia ochrony danych osobowych. 7. ABI zobowiązany jest do powiadomienia kierowników kontrolowanych jednostek o kontroli w terminie co najmniej 7 dni przed jej przeprowadzeniem. 8. ABI może dokumentować przebieg kontroli w postaci danych i wydruków z kontrolowanych systemów (programów) oraz poprzez sporządzanie: notatek z czynności, protokołów odebrania ustnych wyjaśnień, protokołów z oględzin, kopii dokumentów, printscreenów, logów systemowych, zapisów konfiguracji technicznych środków zabezpieczeń systemów. 9. Po dokonanej kontroli, ABI przygotowuje i przekazuje do ADO raport pokontrolny. W przypadku sprawdzenia planowego, sprawozdanie powinno być przekazane ADO nie później niż w terminie 30 dni od zakończenia sprawdzenia. W przypadku sprawdzenia doraźnego, sprawozdanie powinno być dostarczone do ADO niezwłocznie po zakończeniu sprawdzenia. VIII. ZARZĄDZANIE SYSTEMEM OCHRONY DANYCH OSOBOWYCH. Procedura trybu i nadzoru nad Polityką bezpieczeństwa i Instrukcją ) ABI odpowiada za weryfikację dokumentacji, aby Polityka i Instrukcja były opracowane, kompletne oraz zgodne z przepisami prawa, 2) ABI odpowiada za weryfikację stanu faktycznego w zakresie przetwarzania danych osobowych, 3) ABI odpowiada za weryfikację skuteczności zabezpieczeń techniczno-organizacyjnych opisanych w Polityce i Instrukcji, 17

18 4) ABI odpowiada za weryfikację przestrzegania obowiązków nałożonych na osoby opisane w Polityce i Instrukcji, 5) Weryfikacja realizowana jest poprzez kontrole wewnętrzne, wnioski lub nieprawidłowości zgłaszane przez osoby wykonujące obowiązki określone w Polityce i Instrukcji, poprzez własne inicjatywy ABI oraz na podstawie zgłoszenia osoby trzeciej, 6) W przypadku wykrycia podczas weryfikacji nieprawidłowości, ABI zawiadamia ADO o nieopracowaniu lub brakach w dokumentacji oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu (np. projekty aktualizacji dokumentacji), 7) Jeśli nieprawidłowości dotyczą konkretnych osób, ABI instruuje osoby o prawidłowych procedurach działania, poucza osoby naruszające zasady ochrony danych osobowych lub zawiadamia administratora danych, wskazując osobę odpowiedzialną za naruszenie zasad oraz jego zakres. Zarządzanie wewnętrznym rejestrem zbiorów ) Prowadzenie rejestru jest wyłączną rolą ABI, 2) W stosunku do każdego zbioru danych w rejestrze dokumentowane są podstawowe dane informacyjne o zbiorze, 3) ABI jest zobowiązany do wpisu w rejestrze nowego zbioru, odnotowania zmiany informacji w zbiorze oraz odnotowaniu faktu zaprzestania przetwarzania danych w zbiorze (nowy wpis, aktualizacja, wykreślenie), 4) W przypadku prowadzenia rejestru w postaci elektronicznej, ABI udostępnia rejestr do przeglądania, przez stronę www lub w systemie informatycznym w siedzibie administratora danych, 5) W przypadku prowadzenia rejestru w postaci papierowej, ABI udostępnia każdemu zainteresowanemu jego treść w siedzibie administratora danych. IX. SZKOLENIA LUB ZAPOZNAWANIE OSÓB Z ZASADMI OCHRONY DANYCH OSOBOWYCH Każda osoba przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami w wersji papierowej winna być poddana przeszkoleniu lub zapoznana z: a) przepisami Ustawy oraz przepisami wydanych do niej aktów wykonawczych, b) zasadami ochrony danych osobowych zawartych w Polityce Bezpieczeństwa i Instrukcji. 2. Za przeprowadzenie szkolenia lub zapoznania z zasadami ochrony danych osobowych odpowiada ABI. 3. Po zakończeniu szkolenia słuchacz podpisuje oświadczenie (załącznik nr 7 do Polityki bezpieczeństwa). 4. Podpisane oświadczenia powinny być zarchiwizowane, np. w aktach osobowych lub w segregatorze. 5. Oświadczenie stanowi podstawę do nadania upoważnienia do przetwarzania danych 18

19 osobowych. X. POSTANOWIENIA KOŃCOWE Polityka Bezpieczeństwa jest dokumentem wewnętrznym i nie może być udostępniania osobom i instytucjom postronnym w żadnej formie bez zgody ABI. 2. Polityka Bezpieczeństwa może być udostępniania osobom i instytucjom postronnym bez zgody ABI, jeżeli nie zawiera w treści informacji o zabezpieczeniach danych osobowych, a wszelkie załączniki występują w formie niewypełnionych szablonów. XI. ZAŁĄCZNIKI: 1) Instrukcja zarządzania systemami informatycznymi; 2) Wzór wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe i sposobu ich zabezpieczania w ASP; 3) Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 4) Opis struktury zbiorów danych osobowych; 5) Wzór upoważnienia do przetwarzania danych osobowych; 6) Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych; 7) Wzór oświadczenia osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych; 8) Wzór wniosku o udostępnienie danych osobowych; 9) Przykładowy wzór umowy powierzenia przetwarzania danych osobowych; 19