ZARZĄDZENIE Nr 89/2004 Rektora Uniwersytetu Wrocławskiego z dnia 3 grudnia 2004 r. w sprawie ochrony danych osobowych i baz danych w systemach informatycznych Uniwersytetu Wrocławskiego Na podstawie art. 49 ust.2 ustawy z dnia 12 września 1990 r. o szkolnictwie wyższym (Dz.U. Nr 65, poz. 385 z późniejszymi zmianami), art. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U. Nr 101, poz. 926 z późniejszymi zmianami) w związku z 1i 9 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100,poz. 1024) zarządza się, co następuje: 1 Przetwarzanie danych osobowych w Uniwersytecie Wrocławskim służy realizacji zadań wynikających z art.3 ust.2 ustawy o szkolnictwie wyższym. 2 1.Administratorem danych osobowych w Uniwersytecie Wrocławskim w rozumieniu ustawy o ochronie danych osobowych jest Uczelnia. 2.Obowiązki wynikające z ustawy o ochronie danych osobowych w zakresie nadzoru - Rektor powierza: 1/prorektorom w zakresie podległych im jednostek, 2/dziekanom w zakresie pracowników, doktorantów i studentów wydziałów, 3/dyrektorowi administracyjnemu w zakresie podległych mu jednostek, zwanych dalej lokalnymi administratorami danych osobowych. 3 1.Rektor wyznacza osobę, zwaną dalej administratorem bezpieczeństwa informacji, odpowiedzialną za bezpieczeństwo danych osobowych w systemach informatycznych Uniwersytetu Wrocławskiego. 2.Administrator bezpieczeństwa informacji wykonuje zadania ochrony danych osobowych zgodnie z przepisami ustawy o ochronie danych osobowych oraz wynikające z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z pomocą: a) lokalnych administratorów danych osobowych, b) Międzywydziałowego Laboratorium Sieci Komputerowych i Oprogramowania.
2 4 1.Administratora bezpieczeństwa informacji zobowiązuje się do prowadzenia dokumentacji odzwierciedlającej wykonywanie zadań z zakresu ochrony danych osobowych i baz danych. 2.Dokumentacja, o której mowa w ust. 1, obejmuje: a) prowadzenie ewidencji baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Wrocławskim, zgodnie z załącznikiem nr 1 do niniejszego zarządzenia, b) prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów, zgodnie z załącznikiem nr 2 do niniejszego zarządzenia, c) prowadzenie ewidencji miejsc przetwarzania danych osobowych w Uniwersytecie Wrocławskim i sposobu ich zabezpieczania, zgodnie z załącznikiem nr 4 do niniejszego zarządzenia. 3.Dział Kadr Uniwersytetu Wrocławskiego zobowiązuje się do uzupełniania akt osobowych pracowników Uczelni zatrudnionych przy przetwarzaniu danych osobowych o: a) imienne zaświadczenia o prawie dostępu do systemu informatycznego, w którym przetwarzane są dane osobowe, wydane przez administratora bezpieczeństwa informacji lub osobę uprawnioną, b) zobowiązanie w zakresie obowiązków dotyczące indywidualnej odpowiedzialności za przestrzeganie przepisów o ochronie danych osobowych, c)zobowiązanie o zachowaniu w tajemnicy zasad bezpieczeństwa danych osobowych stosowanych w czasie ich przetwarzania, nawet po ustaniu stosunku pracy, d) oświadczenia, z których wynika, że zapoznali się z aktualnymi przepisami dotyczącymi ochrony danych osobowych. 4.Udostępnienie danych osobowych pracowników, doktorantów i studentów Uniwersytetu Wrocławskiego do celów innych niż określone w 1 niniejszego zarządzenia, odbywa się wyłącznie za pośrednictwem Działu Kadr Uniwersytetu Wrocławskiego w przypadku pracowników, Działu Badań Naukowych w przypadku doktorantów lub Działu Nauczania Uniwersytetu Wrocławskiego w przypadku studentów, po uprzednim uzyskaniu zgody odpowiednio Rektora lub Prorektora do spraw Nauczania. 1.Szczegółowe zasady ochrony danych osobowych i baz danych przetwarzanych w zbiorach danych Uniwersytetu Wrocławskiego zawarte zostały w następujących instrukcjach: 1/ Instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych, służących do przetwarzania danych osobowych w Uniwersytecie Wrocławskim, stanowiąca załącznik nr 5 do niniejszego zarządzenia, 2/ Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Uniwersytecie Wrocławskim, stanowiąca załącznik nr 6 do niniejszego zarządzenia. 6 Lokalni administratorzy danych osobowych zobowiązani są do przestrzegania przepisów ustawy o ochronie danych osobowych, w szczególności poprzez: 1/ określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych, 2/ zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie, 5
3 3/ wykonywanie zaleceń administratora bezpieczeństwa informacji Uniwersytetu Wrocławskiego w zakresie ochrony danych osobowych i baz danych funkcjonujących w podległych im jednostkom systemach informatycznych, 4/ przekazywanie na bieżąco do administratora bezpieczeństwa informacji aktualnych danych w zakresie: a) wykazu informatycznych baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Wrocławskim, zgodnie z załącznikiem nr 3 do niniejszego zarządzenia, b) ewidencji pracowników zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów, zgodnie z załącznikiem nr 2 do niniejszego zarządzenia, c) lokalizacji pomieszczeń i budynków, w których te dane są przetwarzane, zgodnie z załącznikiem nr 4 do niniejszego zarządzenia, w przypadku zaistnienia jakichkolwiek zmian tych danych, 5/ wdrożenia i nadzorowania przestrzegania instrukcji, będącej załącznikiem nr 5 do niniejszego zarządzenia, 6/ działania zgodne z instrukcją, będącą załącznikiem nr 6 do niniejszego zarządzenia, 7/ stwarzania warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych w podległych im jednostkach. 7 Osoby nie przestrzegające przepisów w zakresie ochrony danych osobowych podlegają sankcjom przewidzianym w rozdziale 8 ustawy o ochronie danych osobowych. 8 Zobowiązuje się lokalnych administratorów danych osobowych w terminie 30 dni od dnia wejścia w życie zarządzenia do: 1/ przesłania do administratora bezpieczeństwa informacji danych osobowych wydziałowych administratorów sieci komputerowej, 2/ zgodnie z załącznikiem nr 2 przygotowanie i przesłanie do administratora bezpieczeństwa informacji o ewidencji informatycznych baz danych, w których przetwarzane są dane osobowe, 3/ zgodnie z załącznikiem nr 3, przygotowanie i przesłanie do administratora bezpieczeństwa informacji listy osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów, 4/ zgodnie z załącznikiem nr 4, przygotowanie i przesłanie do administratora bezpieczeństwa informacji wykazu miejsc przetwarzania danych osobowych w systemach informatycznych w podległych im jednostkach. 9 Zarządzenie wchodzi w życie z dniem podpisania.
4 Załączniki: 1. Nr 1 Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Wrocławskim, 2. Nr 2 Wykaz informatycznych baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Wrocławskim, 3. Nr 3 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatory, 4. Nr 4 Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych w Uniwersytecie Wrocławskim, 5. Nr 5 Instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych, służących do przetwarzania danych osobowych w Uniwersytecie Wrocławskim, 6. Nr 6 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Uniwersytecie Wrocławskim.
5 Załącznik Nr 1 do zarządzenia Nr 89/2004 z dnia 3 grudnia 2004 r. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Wrocławskim I. Władze Uniwersytetu Wrocławskiego świadome wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających Uniwersytetowi swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklarują: zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Uniwersytecie Wrocławskim w zakresie problematyki bezpieczeństwa tych danych, zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby, zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. II. Władze Uniwersytetu Wrocławskiego świadome są zagrożeń związanych z przetwarzaniem przez Uczelnię danych osobowych na dużą skalę w tym, w szczególności, z zagrożeń wynikających z dynamicznego rozwoju metod i technik przetwarzania tych danych w systemach informatycznych oraz sieciach telekomunikacyjnych. Jednocześnie Władze Uniwersytetu Wrocławskiego zamierzają doskonalić i rozwijać nowoczesne metody przetwarzania danych. Deklarują, że Uniwersytet Wrocławski będzie stale doskonalił i rozwijał organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom: - związanym z infekcjami wirusów i koni trojańskich, które instalując się na komputerze mogą wykradać zasoby tego komputera (zarówno stacjonarne jak i sieciowe), - związanym ze spamem, posiadającym niekiedy programy pozwalające wykradać zasoby komputera, - związanym z dostępem do stron internetowych, na części których zainstalowane są skrypty pozwalające wykradać zasoby komputera, - związanym z ogólnie dostępnymi komunikatorami internetowymi, w których występują luki, przez które można uzyskać dostęp do komputera, - związanym z użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza Uniwersytetem Wrocławskim, - związanym z możliwością niekontrolowanego kopiowania danych na dyski wymienne (np.: cdrom, pendrive, dvdrom), - związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane (oprogramowanie typu sniffer, które może być również instalowane przez wirusy),
6 - związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia (np.: bez wylogowania się lub bez zabezpieczenia wygaszacza hasłem), - związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy (osób nieuprawnionych do przetwarzania danych), - związanym z atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery), - związanym z działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści, - związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone, - związanym z przekazywaniem sprzętu z danymi do serwisu, - związanym z kradzieżami tożsamości umożliwiającymi podszywanie się pod inną osobę, - związanym z podszywaniem się przez osoby nieuprawnione pod witrynę internetową, która zbiera dane, - i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem technik i metod przetwarzania danych. III. Dlatego też na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U.Nr101, poz.926 z późniejszymi zmianami) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr100, poz.1024) ustala się następujące wytyczne polityki bezpieczeństwa danych osobowych przetwarzanych w Uniwersytecie Wrocławskim w związku z realizacją celów statutowych tej Uczelni. I. POSTANOWIENIA OGÓLNE Art. 1 1. Dane osobowe w Uniwersytecie Wrocławskiem przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: 1) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U.Nr101,poz.926 z późniejszymi zmianami) oraz przepisów wykonawczych z nią związanych, 2) przepisów art.22 1 1-5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy ( tekst jednolity z 1998 r.: Dz.U.Nr21, poz.94 z późniejszymi zmianami) i przepisów wykonawczych z nią związanych, 3) oraz innych przepisów ustaw i rozporządzeń normujących przetwarzanie danych osobowych określonych kategorii. 2. Dane osobowe w Uniwersytecie Wrocławskim przetwarzane są w celu realizacji statutowych celów szkoły wyższej. W szczególności dane osobowe przetwarza się: 1) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych i organizacyjnych Uczelni wynikających z przepisów ustawy z dnia 12 września 1990 r. o szkolnictwie wyższym (Dz.U. Nr65, poz.385 z późniejszymi zmianami), 2) w celu zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia
7 nawiązywanych przez Uczelnię działającą jako pracodawca w rozumieniu art. 3 kodeksu pracy lub strona innych stosunków zatrudnienia. 3) dla realizacji innych usprawiedliwionych celów i zdań Uniwersytetu Wrocławskiego - z poszanowaniem praw i wolności osób powierzających Uniwersytetowi swoje dane. Art. 2 Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Wrocławskim odnosi się do danych osobowych przetwarzanych w zbiorach danych: 1) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych. Art. 3 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Pod szczególną ochroną Uniwersytetu Wrocławskiego pozostają wrażliwe dane osobowe wymienione w art. 27 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym dopuszczalne jest tylko w związku z realizacją celów statutowych Uczelni i w granicach wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 4 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności: 1) zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, 2) zabraniem przez osobę nieuprawnioną, 3) przetwarzaniem z naruszeniem ustawy, 4) zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych. 3. W szczególności Uniwersytet Wrocławski zapewnia aktualizację informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym
8 dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych. Art. 5 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów. 2. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno w szczególności na: 1) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod, 2) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych osobowych i/lub ich zbiorów cech pozwalających na identyfikację osób fizycznych, których anonimizowane dane dotyczą. 3. Osoby przetwarzające dane osobowe w Uniwersytecie Wrocławskim mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych i/lub ich zbiorów. 4. Naruszanie przez zatrudnione, w ramach stosunku pracy, osoby upoważnione do dostępu i/lub przetwarzania danych osobowych stosowanych w Uniwersytecie Wrocławskim procedur niszczenia zbędnych danych osobowych i/lub ich zbiorów traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającym stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. 5. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów może w szczególności polegać na wprowadzeniu odpowiednich procedur niszczenia danych, a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych. Art. 6 Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki ochrony tych danych. W skład tej dokumentacji wchodzą w szczególności: 1) Zarządzenia Rektora Uniwersytetu Wrocławskiego odnoszące się do kwestii bezpieczeństwa danych osobowych, 2) Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Uniwersytecie Wrocławskim, 3) Instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych w Uniwersytecie Wrocławskim, 4) Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Uniwersytecie Wrocławskim. 5) inne zarządzenia, instrukcje, wytyczne i polecenia służbowe określające zasady i procedury mające znaczenie dla ochrony danych osobowych wydawane przez upoważnione podmioty w poszczególnych jednostkach organizacyjnych Uniwersytetu Wrocławskiego.
9 II. UDOSTĘPNIANIE DANYCH OSOBOWYCH Art. 7 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych udostępnia przetwarzane na jego obszarze dane osobowe wyłącznie osobom do tego upoważnionym na mocy uregulowań wewnętrznych obowiązujących w tym zakresie na jego obszarze. 2. Upoważnienie, o którym mowa w art. 7 pkt1, wynikać może w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy, lub b) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub c) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych. Art. 8 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia dostęp do przetwarzanych danych osobowych osobom fizycznym będącym dysponentami tych danych. 2. Dysponentami danych osobowych są osoby, które powierzyły swoje dane Uniwersytetowi w związku z podjęciem nauki, badań lub zatrudnienia w jednostkach organizacyjnych tej Uczelni. Art. 9 1. Osoby niezatrudnione przy przetwarzaniu danych osobowych określonej kategorii, w tym dysponenci danych osobowych, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych mogą mieć do nich wgląd wyłącznie w obecności upoważnionego pracownika Uniwersytetu Wrocławskiego. 2. Zasada wyrażona w art. 9 ust. 1ma także zastosowanie do przypadku korzystania przez związki zawodowe z uprawnień przysługujących im na mocy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy ( tekst jednolity z 1998 r.: Dz.U.Nr21, poz.94 z późniejszymi zmianami) i ustawy z dnia 23 maja 1991 r. o związkach zawodowych (tekst jednolity z 2001 r.:dz.u.nr79, poz.854 z późniejszymi zmianami). Art. 10 1. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia administratora danych osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii. 2. W szczególności dostęp do danych osobowych na wskazanej w art. 10 ust. 1 zasadzie mogą mieć: Państwowa Inspekcja Pracy, Zakład Ubezpieczeń Społecznych, organy skarbowe, Policja, Agencja Bezpieczeństwa Wewnętrznego, Wojskowe Służby Informacyjne, sądy powszechne, Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych i inne upoważnione przez przepisy prawa podmioty i organy, działające w granicach przyznanych im uprawnień - wszystkie ww. po okazaniu dokumentów potwierdzających te uprawnienia.
10 III. OSOBY PRZETWARZAJĄCE DANE OSOBOWE Art. 11 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza osoby odpowiedzialne za bieżącą realizację tej polityki na terenie Uczelni oraz jej poszczególnych jednostek organizacyjnych. W szczególności wyznaczeni zostają: 1) administrator danych osobowych w rozumieniu art. 7 pkt4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 2) osoby odpowiedzialne za nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikającym z przepisów prawa oraz uregulowań wewnętrznych, 3) administrator bezpieczeństwa informacji, 4) lokalni administratorzy danych osobowych, 5) inne osoby wykonujące zadania ochrony danych osobowych. 2. Wyżej wymienieni wyznaczeni zostają w szczególności w drodze zarządzeń Rektora Uniwersytetu Wrocławskiego. Art. 12 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dopuszcza do ich przetwarzania w systemie informatycznym i/lub tradycyjnym wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych lub inną upoważnioną do tego osobę. 2. Upoważnienie, o którym mowa w art. 12 pkt1, wynikać może w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy lub b) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub c) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych. Art. 13 Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia kontrolę nad dostępem do tych danych. Kontrola ta w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych. Art. 14 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zaznajomienie osób upoważnionych do dostępu i/lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w Uniwersytecie Wrocławskim. 2. W szczególności osoby, wskazane w art. 14 ust. 1, zaznajamiane są z kwestiami wymienionymi w tym przepisie przed dopuszczeniem do pracy na stanowiskach związanych z przetwarzaniem danych osobowych, a także odpowiednio, w trakcie trwania zatrudnienia -
11 w przypadku zmian w obowiązujących przepisach prawa, uregulowaniach wewnętrznych lub technikach i środkach ochrony danych stosowanych w Uniwersytecie Wrocławskim. 3. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w Uniwersytecie Wrocławskim może odbywać się w szczególności poprzez: 1) instruktaż na stanowisku pracy, 2) szkolenie wewnętrzne realizowane na terenie Uczelni, 3) szkolenie zewnętrzne. Art. 15 Osoby upoważnione przez Uniwersytet Wrocławski do przetwarzania danych osobowych zostają zaznajomione z zakresem informacji objętych tajemnicą w związku z wykonywaną przez siebie pracą. W szczególności są one informowane o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych w Uniwersytecie Wrocławskim. Art. 16 Naruszanie przez zatrudnione w ramach stosunku pracy osoby upoważnione do dostępu i/lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania, traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. IV. PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE PRZEZ UNIWERSYTET WROCŁAWSKI Art. 17 1. Uniwersytet Wrocławski gwarantuje osobom fizycznym, których dane osobowe są przetwarzane w związku z realizacją jego celów statutowych, realizację uprawnień gwarantowanych im przez obowiązujące przepisy prawa. 2. W szczególności każdej osobie fizycznej, której dane osobowe są przetwarzane w związku z realizacją celów statutowych Uczelni, przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art. 32 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 3. Osoby fizyczne, których dane osobowe są przetwarzane w związku z realizacją celów statutowych Uczelni, uzyskują informację o przysługujących im prawach w sposób przyjęty w poszczególnych jednostkach organizacyjnych Uniwersytetu Wrocławskiego.
12 V. BUDYNKI, POMIESZCZENIA I CZĘŚCI POMIESZCZEŃ, TWORZĄCE OBSZAR UNIWERSYTETU WROCŁAWSKIEGO, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE Art. 18 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza budynki, pomieszczenia i części pomieszczeń, tworzące obszar Uniwersytetu Wrocławskiego, w którym przetwarzane są dane osobowe. 2. W przypadku, gdy w pomieszczeniu znajduje się cześć ogólnodostępna oraz część, w której przetwarzane są dane osobowe część, w której są przetwarzane dane osobowe powinna być wyraźnie oddzielona od ogólnodostępnej. 3. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe może być w szczególności dokonane poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych uniemożliwiające lub co najmniej ograniczające niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu. 4. Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego Uniwersytetu Wrocławskiego. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego systemu, powinny być umiejscawiane w sposób uniemożliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń służących do przetwarzania, a zwłaszcza kopiowania danych. 5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe określa zarządzenie Rektora Uniwersytetu Wrocławskiego. 6. W budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar Uniwersytetu Wrocławskiego, w którym przetwarzane są dane osobowe mają prawo przebywać wyłącznie osoby upoważnione do dostępu i/lub przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem przetwarzania tych danych. 7. Osoby nie upoważnione do przetwarzania danych osobowych określonej kategorii, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych lub wykonujące inne czynności nie mające związku z dostępem do tych danych mogą przebywać w budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar Uniwersytetu Wrocławskiego, w którym przetwarzane są dane osobowe - wyłącznie w obecności upoważnionego pracownika Uniwersytetu Wrocławskiego, lub w razie jego nieobecności - na podstawie wydanego przez administratora danych osobowych lub inną upoważnioną osobę upoważnienia. Art. 19 1. Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych. 2. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych obowiązany jest on umieść zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich
13 przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym. 3. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia budynku i/lub pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych. Art. 20 1. Dostęp do budynków i pomieszczeń Uniwersytetu Wrocławskiego, w których przetwarzane są dane osobowe podlega kontroli. 2. Kontrola dostępu polegać może w szczególności na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się : imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia / budynku oraz godzinę pobrania lub zdania klucza. 3. Klucze do budynków li/lub pomieszczeń, w których przetwarzane są dane osobowe wydawane być mogą wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom upoważnionym do dostępu do tych budynków, lub pomieszczeń na innych zasadach. 4. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych. 5. Szczegółowe zasady kontroli dostępu do poszczególnych obszarów (budynków, pomieszczeń) Uniwersytetu Wrocławskiego, w których przetwarzane są dane osobowe określane są przez osoby kierujące poszczególnymi jednostkami organizacyjnymi Uczelni, w których takie obszary występują. VI. ZBIORY DANYCH OSOBOWYCH TWORZONE W UNIWERSYTECIE WROCŁAWSKIM Art. 21 1. Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje nadzór nad rodzajami oraz zawartością zbiorów danych osobowych tworzonych na jego obszarze. 2. Wykaz zbiorów danych osobowych wraz ze wskazaniem: 1) struktury zbiorów danych, 2) zawartości poszczególnych pól informacyjnych i powiązań między nimi, 3) programów zastosowanych do przetwarzania tych danych określa zarządzenie Rektora Uniwersytetu Wrocławskiego. Art. 22 Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zgodną z przepisami rozdziału 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ochronę zbiorom danych osobowych sporządzanym doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką realizowaną na Uczelni, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji.
14 Art. 23 Uniwersytet Wrocławski realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zabrania tworzenia zbiorów danych osobowych, a także gromadzenia w zbiorach lub poza nimi kategorii danych osobowych innych niż niezbędne dla realizacji celów statutowych Uczelni.
15 Załącznik Nr 2 do zarządzenia Nr 89/2004 z dnia 3 grudnia 2004 r.. Nazwa jednostki organizacyjnej Wykaz informatycznych baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Wrocławskim Lp. 1/ Nazwa bazy danych (1) Numer wersji bazy danych Forma bazy danych/system operacyjny serwera (2) Sposób zabezpieczenia informatycznego (3) Liczba miejsc/stanowisk z prawem przetwarzania bazy danych 2/ 3/ 4/ 5/ 6/ 7/ 8/ 9/ 10/ 11/ 12/ 13/ 14/ 15/ (1) nazwa bazy danych zwyczajowa nazwa np.: kadry, płace, dziekanat, (2) np.: plik Excel/Windows 98 lub Postgresql/Mandrake 10, (3) np.: (H) - hasło wraz z identyfikatorem logowania, (S) - plik lub baza szyfrowana, (L) - wydzielona sieć, (K) - wydzielony komputer, (N) - komputer przenośny. Dane aktualne na dzień:... Sporządził
16 Załącznik Nr 3 do zarządzenia Nr 89/2004 z dnia 3 grudnia 2004 r.. Nazwa jednostki organizacyjnej Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów w Uniwersytecie Wrocławskim Lp. Nazwa bazy danych (1) Nazwisko i imię użytkownika Nazwa identyfikatora Rodzaj uprawnień (2) Data zarejestrowania Data wyrejestrowania Lokalizacja Uwagi 1/ 2/ 3/ 4/ 5/ 6/ 7/ 8/ 9/ 10/ 11/ 12/ (1) nazwa bazy danych nazwa z załącznika nr 2, (2) rodzaj uprawnień: Z - pełne uprawnienia wraz z prawem do administrowania/zarządzania bazą, E - prawo do edycji danych, K - prawo do zakładania nowych kont dostępu do bazy, D - prawo do dadawania danych, P prawo do przeglądania danych na ekranie, T prawo do drukowania danych, B prawo do wykonywania kopii zapasowych, (uprawnienia mogą występować łącznie np.: DPT lub PD) Dane aktualne na dzień:... Sporządził
17 Załącznik Nr 4 do zarządzenia Nr 89/2004 z dnia 3 grudnia 2004 r.. Nazwa jednostki organizacyjnej Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych w Uniwersytecie Wrocławskim Lp. 1/ Nazwa bazy Lokalizacja (adres) Nr pokoju danych (1) /piętro Funkcja lokalizacji (2) Zabezpieczenie fizyczne (3) 2/ 3/ 4/ 5/ 6/ 7/ 8/ 9/ 10/ 11/ 12/ (1) nazwa bazy danych nazwa z załącznika nr 2, (2) (S) pomieszczenie z serwerem lub z serwerami, (A) miejsce przechowywania kopii bezpieczeństwa, (W) pomieszczenie, w którym przetwarzane są dane, (G) pomieszczenie administratora danych, (3) (K) kraty w oknach, (A) alarm, (D) drzwi antywłamaniowe, (B) brak dodatkowych zabezpieczeń Dane aktualne na dzień:... Sporządził
18 Załącznik Nr 5 do zarządzenia Nr 89/2004 z dnia 3 grudnia 2004 r. Instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych, służących do przetwarzania danych osobowych w Uniwersytecie Wrocławskim 1 Niniejsza instrukcja określa ogólne zasady zarządzania każdym systemem informatycznym służącym do przetwarzania danych osobowych, realizację zadań bezpieczeństwa zbiorów danych przetwarzanych w Uniwersytecie Wrocławskim oraz stanowi podstawę do opracowania instrukcji szczegółowych uwzględniających specyfikę poszczególnych systemów informatycznych funkcjonujących na Uczelni. 2 1. Administrator bezpieczeństwa informacji Uniwersytetu Wrocławskiego realizuje następujące zadania: a) sprawuje nadzór nad wdrażaniem niniejszej instrukcji we wszystkich systemach informatycznych Uniwersytetu Wrocławskiego, w których przetwarzane są dane osobowe oraz dba o bieżące jej przystosowanie do zmieniających się technologii informatycznych oraz zagrożeń bezpieczeństwa systemów informatycznych Uczelni, b) wytycza strategię zabezpieczania systemów informatycznych Uczelni, c) identyfikuje i aktualizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych Uczelni, d) określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe, e) monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych oraz ich przetwarzania. 3 1.Głównym zadaniem lokalnych administratorów danych osobowych jest przeciwdziałanie dostępowi osób niepowołanych do systemów informatycznych, w którym przetwarzane są dane osobowe poprzez zapewnienie właściwych warunków organizacyjno technicznych gwarantujących bezpieczeństwo systemów informatycznych w podległych im jednostkach organizacyjnych Uczelni oraz podejmowanie odpowiednich działań w przypadku wykrycia takich naruszeń w systemach. 2.Do szczególnych zadań lokalnych administratorów danych osobowych należy: 1/ wyznaczanie administratorów poszczególnych systemów informatycznych funkcjonujących w podległych im jednostkach, 2/ stosowanie się do zaleceń administratora bezpieczeństwa informacji Uniwersytetu Wrocławskiego lub uwzględnianie w miarę możliwości finansowo lokalnych zaleceń administratora bezpieczeństwa informacji w zakresie: a )wskazania budynków, pomieszczeń lub części pomieszczeń tworzących obszary, w których przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego,
19 b) nadzoru nad technicznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrola przebywania w nich osób, c) określenia miejsca i sposobu przechowywania kopii awaryjnych zbiorów danych osobowych, d) wskazania sposobu zabezpieczeń : krat, systemów monitoringu i awaryjnych adekwatnych do zagrożenia systemów informatycznych, e) dokonywania zakupu systemów operacyjnych, baz danych, oprogramowania antywirusowego oraz systemów kryptograficznych, które podwyższają bezpieczeństwo danych osobowych oraz gwarantują spełnienie wymogów określonych ustawą o ochronie danych osobowych, f) dokonywania zakupu pamięci masowych, streamerów oraz innych urządzeń i nośników, które umożliwiają wykonywanie kopii zapasowych danych osobowych w systemach informatycznych, g) właściwego prowadzenia i zabezpieczenia okablowania sieci komputerowej przeznaczonej do przetwarzania danych osobowych w systemach informatycznych, w celu uniemożliwienia stosowania podsłuchu lub narażenia infrastruktury sieciowej na zniszczenia, h) dokonywania zakupu niszczarek jako wyposażenia do pomieszczeń, w których generowane są wydruku zawierające dane osobowe lub uzgodnienia innego dopuszczalnego sposobu niszczenia wydruków zawierających dane osobowe, i) dokonywania zakupu szaf pancernych do przechowywania kopii zapasowych danych osobowych z systemów informatycznych. 3/ w przypadku, gdy systemy informatyczne działają w środowisku sieciowym mają oni za zadanie: a) zalecanie stosowania wskazanej technologii, która minimalizuje zagrożenie uzyskania dostępu do sieci osobom nieupoważnionym, b) dokonywanie zakupu oprogramowania umożliwiającego wykorzystanie identyfikatorów przez logujących się do sieci, c) nadzorowanie procesu monitorowania sieci pod kątem zabezpieczenia przed dostępem osób nieupoważnionych. 4/ zapewnienie odpowiedniego zabezpieczenia budynków oraz pomieszczeń, w których przetwarzane są dane osobowe w systemach informatycznych przed dostępem osób niepowołanych, w zakresie: a) określenia listy osób upoważnionych do pobierania kluczy i przebywania w pomieszczeniach, w których przetwarzane są dane osobowe wraz z kontrolą ewidencji czasu pobierania i zdawania kluczy, b) określenia trybu szkoleń portierów w budynkach, w których przetwarzane są dane osobowe w systemach informatycznych oraz osób sprzątających pomieszczenia, w których przetwarzane są dane osobowe w systemach informatycznych. 5/ przygotowania zasad i ewidencji wykonywania czynności serwisowych w systemach informatycznych w podległych jednostkach w celu wyeliminowania: a) możliwości wykonania kopii danych osobowych przez osoby nieupoważnione, b) przemieszczania urządzeń komputerowych i ich części służących do przetwarzania danych osobowych poza obszar objęty ochroną, c) podmiany elementów sprzętu komputerowego lub oprogramowania na inny, który zawiera cechy ukryte.
20 4 4.1. Wydziałowi administratorzy sieci komputerowej mają za zadanie opracowanie i bieżące uaktualnianie, z pomocą administratorów poszczególnych systemów informatycznych, szczegółowych instrukcji dotyczących zarządzania systemami informatycznymi w podległych im systemach informatycznych, które powinny zawierać w szczególności: a) zasady przydziału haseł dla użytkowników poszczególnych systemów informatycznych i częstotliwość ich zmiany oraz wskazanie osoby odpowiedzialnej za te czynności, b) sposób rejestrowania i wyrejestrowywania użytkowników oraz wskazanie osoby odpowiedzialnej za te czynności, c) procedury rozpoczęcia i zakończenia pracy, d) metody i częstotliwość wykonywania kopii awaryjnych, e) metody i częstotliwość sprawdzania systemów informatycznych na obecność wirusów komputerowych oraz metodę ich usuwania, f) sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków, g) sposób postępowania w zakresie komunikacji w sieci komputerowej. 4.2. Wydziałowi administratorzy sieci komputerowej są zobowiązani do: 1/ wykonywania poleceń administratora bezpieczeństwa informacji Uniwersytetu Wrocławskiego w zakresie zarządzania podległymi systemami informatycznymi, 2/ czuwania nad właściwym eksploatowaniem podległych im systemów informatycznych, 3/ prowadzenia, uaktualniania na bieżąco oraz przesyłania administratorowi bezpieczeństwa informacji Uniwersytetu Wrocławskiego, danych w zakresie: a) listy osób uczestniczących w przetwarzaniu danych osobowych, b) lokalizacji pomieszczeń, w których te dane są przetwarzane, w przypadku zaistnienia jakichkolwiek zmian tych danych, c) rodzaju systemów informatycznych funkcjonujących w zakresie ich działalności, d) listy identyfikatorów osób uczestniczących w przetwarzaniu danych osobowych w podległych im systemach informatycznych, e) czynności serwisowych wykonywanych w podległych systemach informatycznych, f) zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym między innymi: - wykrytych wirusów, koni trojańskich itp., - oprogramowania nielegalnego lub zainstalowanego bez upoważnienia, - awarii systemu informatycznego lub jego nieprawidłowego działania, - stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną, - awarii zasilania 4/ kontrolowania i zabezpieczania prawidłowości przebiegu czynności serwisowych w podległych systemach informatycznych, przy czym urządzenia, dyski lub inne nośniki zawierające dane osobowe, przed naprawą zobowiązani są do pozbawienia zapisu tych danych lub do osobistego nadzoru ich naprawy, 5/ pozbawiania zapisu danych osobowych tych nośników, które przeznaczone są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych. 6/ pozbawiania zapisu danych osobowych lub uszkadzania w sposób uniemożliwiający odczytanie tych nośników, które przeznaczone są do likwidacji, 7/ instalowania zabezpieczeń w podległych systemach informatycznych, wynikających z zaleceń administratora bezpieczeństwa informacji Uniwersytetu Wrocławskiego,
21 8/ zgłaszania wydziałowym administratorom danych oraz administratorowi bezpieczeństwa informacji Uniwersytetu Wrocławskiego potrzeb w zakresie zabezpieczenia podległych im systemów informatycznych, 9/ postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych, 10/ kontrolowania procesu okresowego sprawdzania przez administratorów poszczególnych systemów informatycznych kopii awaryjnych pod kątem prawidłowości ich wykonania oraz ich dalszej przydatności do odtworzenia w przypadku awarii, 11/ znajomości oraz posiadania dokumentacji funkcji poszczególnych systemów informatycznych, ze szczególnym uwzględnieniem procedur: a/ dostępu do i modyfikowania do danych osobowych, b/ zarządzania identyfikatorami i hasłami użytkowników, c/ wykonywania kopii awaryjnych oraz odtwarzania danych z tych kopii, d/ generowania wydruków danych osobowych, e/ dostępu do plików rejestrujących identyfikatory oraz czas logowania użytkowników. 5 Administratorzy poszczególnych systemów informatycznych służących do przetwarzania danych osobowych odpowiadają za ich bieżącą eksploatację, a w szczególności za: a) wszystkie czynności związane z ich funkcjonowaniem i modernizacją, b) rejestrowanie i wyrejestrowywanie z systemu użytkowników oraz projektantów i programistów w czasie instalowania systemu oraz jego modyfikacji, c) przydzielanie uprawnień do poszczególnych funkcji systemu oraz określenie trybu i częstotliwości zmiany haseł, d) procedury wykonywania kopii awaryjnych, określanie ich częstotliwości, zmianę nośników oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i likwidację, e) lokalizację sprzętu komputerowego, ustawienie monitorów i drukarek uniemożliwiające wgląd w dane osobowe osobom nieupoważnionym lub kradzież wymiennych nośników danych, f) postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych. 6 1.W czasie realizacji zasad bezpieczeństwa zbiorów danych osobowych przetwarzanych w Uniwersytecie Wrocławskim wprowadza się obowiązek prowadzenia dokumentacji odzwierciedlającej wykonywanie zadań z zakresu ochrony danych osobowych. 2. Dokumentacja, o której mowa w ust.1, obejmuje: a)wykaz informatycznych baz danych, w których przetwarzane są dane osobowe w Uniwersytecie Wrocławskim, b)ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów, c)wykaz miejsc przetwarzania danych osobowych w systemach informatycznych w Uniwersytecie Wrocławskim, 3. Dokumentację, o której mowa w ust. 2, prowadzą osoby uprawnione.
22 7 1.Niniejsza Instrukcja przeznaczona jest dla użytkowników i ich przełożonych, którzy nadzorują przetwarzanie danych osobowych i realizację zasad bezpieczeństwa zbiorów baz danych w Uniwersytecie Wrocławskim. 2. Wykonanie postanowień niniejszej Instrukcji ma na celu wprowadzenie jednolitego systemu bezpieczeństwa przetwarzania danych osobowych w Uniwersytecie Wrocławskim. 3. Określenie w niniejszej Instrukcji zakresu czynności administracyjnych osób uprawnionych do realizacji przedsięwzięć z zakresu bezpieczeństwa zbiorów danych osobowych, umożliwi administratorowi danych osobowych realizowanie przepisów o ochronie danych osobowych w warunkach funkcjonowania Uniwersytetu Wrocławskiego. 8 W sprawach nie uregulowanych niniejszą Instrukcją znajdują zastosowanie przepisy ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami) i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024). 9 Wszelkie zmiany w Instrukcji mogą być wprowadzone na podstawie zarządzeń Rektora Uniwersytetu Wrocławskiego.
23 Załącznik Nr 6 do zarządzenia Nr 89/2004 z dnia 3 grudnia 2004 r. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Uniwersytecie Wrocławskim 1 Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy: a) stwierdzono naruszenie zabezpieczenia systemu informatycznego, lub b) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2 Pracownik lub doktorant Uniwersytetu Wrocławskiego, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym Uniwersytetu Wrocławskiego zobowiązany jest, a student uprawniony, do niezwłocznego poinformowania o tym administratora tego systemu, lokalnego administratora danych osobowych, a w przypadku jego nieobecności administratora bezpieczeństwa informacji Uniwersytetu Wrocławskiego. 3 1. Administrator bazy danych osobowych, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego: 1/ zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu, 2/ jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania, 3/ przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itd., 4/ podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym między innymi: a) fizycznego odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej, b) wylogowania użytkownika podejrzanego o naruszenie ochrony danych, c) zmianę hasła na konto administratora i użytkownika, poprzez którego uzyskano nielegalny dostęp, w celu uniknięcia ponownej próby uzyskania takiego dostępu. 5/ szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych, 6/ przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków
24 ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą sama drogą. 4 Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę, w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. -Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych. -Jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości. -Jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych. 5 Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych, w porozumieniu z właściwym lokalnym administratorem danych osobowych zobowiązany jest do przygotowania szczegółowego raportu o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 14 dni od daty jego zaistnienia, przekazania go lokalnemu administratorowi bezpieczeństwa Uniwersytetu Wrocławskiego. 6 Administrator bezpieczeństwa informacji w Uniwersytecie Wrocławskim zobowiązany jest do przeprowadzania analiz raportów pochodzących od wydziałowych administratorów bezpieczeństwa informacji i uwzględniania ich przy opracowywaniu corocznego raportu dla administratora danych osobowych w Uniwersytecie Wrocławskim.