POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Podobne dokumenty
INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Rozdział I Zagadnienia ogólne

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Instrukcja Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Rozdział I Postanowienia ogólne

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Marcin Soczko. Agenda

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

PARTNER.

KAPITAŁ LUDZKI NARODOWA STRATEGIA SPÓJNOŚCI

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Polityka prywatności wraz z instrukcją

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

Zarządzenie Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

osobowych w Urzędzie Gminy Duszniki Postanowienia ogólne Podstawa prawna Definicje

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM STAROSTWA POWIATOWEGO W OSTROWCU ŚWIĘTOKRZYSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

POLITYKA BEZPIECZEŃSTWA OCHRONY I PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Rozdział I Zasady ogólne

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

1. Polityka Bezpieczeństwa

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

REGULAMIN OCHRONY DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. ROZDZIAŁ 1 Postanowienia ogólne

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Załącznik nr 3 do Polityki Ochrony Danych Osobowych Toruń, dnia 25 maja 2018 r.

ZARZĄDZENIE NR 27/2011 STAROSTY RAWSKIEGO. z dnia 27 lipca 2011 r.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

a) po 11 dodaje się 11a 11g w brzmieniu:

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU POMOCY SPOŁECZNEJ W ŁAZACH

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

ZARZĄDZENIE NR 120/38/15 PREZYDENTA MIASTA TYCHY. z dnia 30 kwietnia 2015 r.

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Transkrypt:

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Wykaz osób upoważnionych do PRZETWARZANIA DANYCH OSOBOWYCH zawiera załącznik nr 1 do niniejszej Polityki bezpieczeństwa.

Instrukcja określająca sposób postępowania z dokumentami zawierającymi dane osobowe oraz użytkowania systemu informatycznego, służącego do przetwarzania dokumentacji ZCDN-u zawierającej dane osobowe, ze szczególnym uwzględnieniem zasad bezpieczeństwa informacji (Opracowano w oparciu o wytyczne zawarte w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) 1. Administratorem danych osobowych jest Województwo Zachodniopomorskie, Zachodniopomorskie Centrum Doskonalenia Nauczycieli 2. W imieniu administratora działa Urszula Pańka, dyrektor Zachodniopomorskiego Centrum Doskonalenia Nauczycieli 3. Niniejsza instrukcja stanowi wiążący dokument i wchodzi w życie z dniem jej przyjęcia. 4. Dane osobowe przetwarzane przez administratora danych wykorzystywane są wyłącznie w celu prowadzenia działalności szkoleniowej, doradczej, udostępniania zbiorów bibliotecznych, wystawienia faktur, sprawozdawczości wynikającej z zapisów programu, rachunku prowadzenia sprawozdawczości finansowej oraz rozliczeń wymaganych przepisami prawa. 5. Dane osobowe wykorzystywane przez administratora danych nie są wykorzystywane w celu prowadzenia działalności marketingowej. 6. Administrator nie przetwarza danych szczególnie wrażliwych w rozumieniu przepisu artykułu 27 ustawy o ochronie danych osobowych. 7. Administrator może wykorzystać dane osobowe do realizacji prawnie umotywowanych celów administratora, w tym dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej. 8. Dane osobowe wykorzystywane przez administratora danych, poza przypadkami określonymi w przepisach prawa, nie podlegają dalszemu udostępnieniu.

9. Wszelkie materiały i dokumenty zawierające dane osobowe mogą być wykorzystywane jedynie na obszarze określonym przez administratora danych osobowych. Wyjątki od tej zasady są ściśle określone w niniejszej instrukcji. 10. Obszarem, na którym dopuszcza się przetwarzanie dokumentacji są pomieszczenia siedziby administratora położone w budynku przy ulicy Generała Józefa Sowińskiego 68, 70-236 Szczecin oraz w Oddziałach Zamiejscowych. 11. Obszar, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieupoważnionych w obszarze, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 12. Każdy pracownik administratora danych potwierdza zapoznanie się z treścią niniejszej instrukcji własnoręcznym podpisem. 13. Ewidencję przyjęcie i zapoznania poszczególnych pracowników z instrukcją prowadzi się w oddzielnym wykazie. 14. Każdy pracownik administratora danych jest zobowiązany do zachowania w tajemnicy danych osobowych wykorzystywanych przez administratora w ramach działalności statutowej. Obowiązek ten rozciąga się także po ustaniu zatrudnienia u administratora danych. 15. Stosowane zobowiązania (klauzule) są podpisywane przez poszczególnych pracowników i stanowią dodatkową kategorię obowiązków pracowniczych. 16. Administrator danych osobowych udziela poszczególnym pracownikom, w formie pisemnej pełnomocnictwa do pracy z danymi osobowymi. 17. Ewidencję udzielonych pełnomocnictw administrator prowadzi w formie oddzielnego wykazu. 18. Administrator w formie pisemnej wyznacza osobę odpowiedzialną za wdrożenie zasad przetwarzania danych osobowych oraz udziela tej osobie pełnomocnictwa, o którym mowa w pkt. 16. Pełnomocnictwo to obejmuje dodatkowo prowadzenie wymaganych przepisami prawa ewidencji i wykazów związanych z przetwarzaniem danych osobowych. 19. Osobą tą jest Roman Szymański Kierownik Działu Administracji i Obsługi wyznaczony jako administrator bezpieczeństwa informacji.

20. Osoba odpowiedzialna prowadzi nadzór nad przestrzeganiem zasad przetwarzania danych. 21. Poszczególni pracownicy administratora także są odpowiedzialni za stosowanie zasad określonych w niniejszej instrukcji.

Sposób postępowania z dokumentacją nieelektroniczną zawierającą chronione dane osobowe 22. Umocowany pracownik wykorzystujący dokumentację zawierającą dane osobowe dokłada szczególnej staranności w zakresie zabezpieczenia jej przed dostępem osób niepowołanych ich utraty lub zniszczenia. 23. Zabrania się: a. pozostawiania bez nadzoru dokumentacji zawierającej dane osobowe w tym w szczególności w miejscach i pomieszczeniach przeznaczonych do obsługi interesantów; b. udzielania telefonicznych informacji co do poszczególnych osób których dane są przez administratora wykorzystywane; c. umożliwienia wglądu osobom postronnym w dokumentację zawierającą dane osobowe; d. wynoszenia bez zgody administratora dokumentacji zawierającej dane osobowe poza obszar określony przez administratora danych; e. wykorzystywania danych osobowych do celów innych niż określone w pkt. 4; f. podejmowania innych działań mogących mieć wpływ na bezpieczeństwo danych osobowych. 24. Przetwarzanie i praca z dokumentacją zawierającą dane osobowe poza obszarem określonym przez administratora może mieć miejsce tylko w wypadku uzyskania zgody administratora danych oraz w związku z wykonywaniem obowiązków służbowych. Zgoda powyższa może być udzielona w formie pisemnej. 25. Umocowany pracownik powinien dołożyć szczególnej staranności w zakresie zabezpieczenia danych w tym: a. sprawować stały nadzór nad dokumentacją zawierającą dane osobowe; b. przenosić dokumentację zawierającą dane osobowe w oddzielnie zamykanej teczce lub aktówce; c. nie pozostawiać dokumentacji zawierającej dane osobowe w niezabezpieczonych pojazdach mechanicznych lub na widoku;

d. dbać aby organizacja pracy poza obszarem określonym przez administratora uniemożliwiała osobom postronnym wgląd w dane osobowe oraz zapewniała ich zabezpieczenia przed utratą i zniszczeniem. 26. Dokumentacja zawierająca dane osobowe jest przechowywana w zamykanych na klucz szafach i sejfach. 27. Klucze do poszczególnych szaf lub sejfów, w których przechowywana jest dokumentacja zawierająca dane osobowe mogą posiadać jedynie umocowani do pracy z danymi osobowymi pracownicy administratora. 28. Kopie zapasowe kluczy przechowuje administrator danych. 29. Po zakończonej pracy dokumentację należy umieścić we właściwych szafach lub sejfach zamykanych na klucz. 30. W przypadkach szczególnych administrator może wprowadzić obowiązek dodatkowego plombowania szaf lub sejfów. 31. W przypadku utraty lub zniszczenia dokumentacji danych osobowych pracownik, który miał nad nimi pieczę niezwłocznie zawiadamia administratora, przedstawiając okoliczności zdarzenia, zakres utraconej lub zniszczonej dokumentacji oraz inne mogące mieć znaczenie dla odzyskania dokumentacji. 32. Z powyższych sporządza się pisemny protokół zawierający oświadczenie pracownika oraz podpis administratora. 33. Jeśli utrata lub zniszczenie danych nastąpiło w wyniku lub pozostaje w związku z popełnieniem czynu stanowiącego przestępstwo administrator zawiadamia stosowne organy Policji. 34. Administrator bada, czy w związku z utratą lub zniszczeniem dokumentacji zawierającej dane osobowe nie doszło do naruszenia obowiązków pracowniczych.

Sposób postępowania z dokumentacją mającą formę elektroniczną zawierającą chronione dane osobowe 35. Dokumentacja zawierająca dane osobowe jest przetwarzana przy użyciu systemów komputerowych. 36. Na system komputerowy służący do przetwarzania dokumentacji zawierającej dane osobowe składają się: a. 1 stanowisk1 komputerowe (komputer przenośny) niepołączony siecią lokalną, znajdujący się w pokoju Biura Projektu w siedzibie Zachodniopomorskiego Centrum Doskonalenia Nauczycieli, przy ul. Gen. J. Sowińskiego 68, 70-236 Szczecin. 37. Umocowani pracownicy administratora mogą przetwarzać elektroniczne dokumentację zawierająca dane osobowe jedynie z zachowaniem zasad określonych w niniejszej instrukcji. 38. Umocowany pracownik użytkujący komputer przenośny zawierający dokumentację o charakterze danych osobowych zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem. Komputery przenośne korzystają z systemów plików zawierających możliwość szyfrowania danych. 39. Zakazuje się przesyłania dokumentacji zawierającej dane osobowe do sieci publicznej. 40. Monitory komputerowe powinny być usytuowane w sposób uniemożliwiający wgląd osób postronnych. 41. W razie przerwy w pracy lub odejścia od stanowiska umocowany pracownik jest zobowiązany do zapisania pracy i wylogowania się z systemu komputerowego. 42. Wprowadza się obowiązek zastosowania wygaszaczy ekranu zabezpieczonych hasłem. Czas po jakim wygaszasz taki się uaktywni wynosi maksymalnie 4 minuty. 43. W sytuacji podejrzenia naruszenia bezpieczeństwa systemu np. w przypadku braku możliwości zalogowania się użytkownika na jego konto czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane lub użytkowane narzędzia programowe lub sprzętowe umocowany pracownik postępuje odpowiednio do pkt. 31. 44. Osoba odpowiedzialna prowadzi kontrolę stosowania przez pracowników zasad postępowania z dokumentacją elektroniczną zawierającą dane osobowe.

45. Osoba odpowiedzialna wykonuje czynności związane z przyznawaniem identyfikatorów i haseł służących do pracy w systemie komputerowym, oraz związane z konserwacją systemu komputerowego z zachowaniem poniższych zasad: a. Do oprogramowania powyższych stanowisk komputerowych dopuszcza się jedynie licencjonowane oprogramowanie zapewniające rozliczalność i audytowalność procedur i czynności dokonywanych przez umocowanych pracowników. b. Zakazane jest stosowanie oprogramowania systemowego i użytkowego niespełniającego powyższych wymogów. c. W ramach poszczególnych stanowisk komputerowych zabrania się instalowania oprogramowania niezatwierdzonego przez osobę wyznaczoną przez administratora. d. Osoba odpowiedzialna prowadzi ewidencje związane z przetwarzaniem elektronicznym dokumentacji zawierającej dane osobowe. e. W ramach obowiązków osoby odpowiedzialnej znajduje się także nadzorowanie wykonania kopii bezpieczeństwa. f. Kopie bezpieczeństwa obejmują dokumentację elektroniczną zawierającą dane osobowe. g. Kopie bezpieczeństwa wykonuje się nie rzadziej jak raz na trzy tygodnie a w wypadku stanowisk podłączonych do sieci publicznej nie rzadziej niż raz na tydzień. h. Kopie bezpieczeństwa wykonuje się na nośnikach CD-R lub DVD-R oraz ewentualnie nośnikach magnetycznych lub magneto-optycznych. Dopuszcza się wykonanie kopii różnicowych lub wykonanie kopii bezpieczeństwa z wykorzystaniem mechanizmu wielosesyjności płyt CD-R lub DVD-R jednak w takim przypadku dane powinny być nagrywane w oddzielnych katalogach opatrzonych datą wykonania kopii. i. W przypadku wykonania kopii bezpieczeństwa za pomocą zewnętrznych napędów magnetycznych (dyski twarde) osoba odpowiedzialna dodatkowo zabezpiecza nośnik przed uszkodzeniem. j. Wykonane kopie bezpieczeństwa przechowuje się w zamykanej na klucz szafie lub sejfie. k. Administrator może wyznaczyć umocowanych pracowników do wykonywania kopii bezpieczeństwa jednak zebranie i zabezpieczenie kopii jest dokonywane przez osobę odpowiedzialną.

l. Kopie bezpieczeństwa, które utraciły przydatność i nie podlegają dalszemu wykorzystaniu w oparciu o odrębne przepisy prawa powinny być zniszczone w sposób całkowicie uniemożliwiający ich odczytanie. m. Z procedury zniszczenia sporządza się protokół, który podpisują osoba odpowiedzialna i administrator. 46. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dokumentację o charakterze osobowym przeznaczone do: a. likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; b. przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; c. naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 47. Osoba odpowiedzialna przydziela umocowanym pracownikom unikalne identyfikatory i hasła służące do pracy w systemie komputerowym. 48. Przyznanie powyższych następuje w formie pisemnej i podlega odnotowaniu. 49. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 50. Przyznawane hasło składa się co najmniej z 8 znaków, zwiera małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło podlega zmianie przynajmniej raz na miesiąc. 51. Zakazane jest przechowywanie danych służących do rozpoczęcia pracy w systemie informatycznym w sposób umożliwiający dostęp osobom postronnym. 52. Dokumentację zmiany haseł i przyznawania identyfikatorów prowadzi osoba odpowiedzialna. Dokumentacja przechowywana jest w wyznaczonej szafie lub sejfie zamykanych na klucz. Obowiązuje zakaz przechowywania dokumentacji zmian haseł i identyfikatorów w formie elektronicznej. 53. Identyfikatory i hasła na poziomie administratora systemu przechowywane są oddzielnie. 54. System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

a. działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, każde stanowisko komputerowe wyposażone zostaje w stosowne oprogramowanie typu firewall i aktualizowane oprogramowanie antywirusowe. b. utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Stanowiska komputerowe wyposażone zostają w awaryjny system zasilania zabezpieczający przed utratą danych. 55. Wszelkie nośniki elektroniczne zawierające dokumentację o charakterze osobowym przechowuje się stosownie do postanowień pkt. 26 i nast. 30.10.2009 Urszula Pańka...... data i podpis Dyrektora ZCDN-u

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres