wszystkie arkusze: Arkusze inwentaryzacyjne zasobów ochrony danych osobowych przeznaczone są do umieszczenia w nich WSZYSTKICH informacji związanych z przetwarzaniem danych osobowych w jednostce organizacyjnej. Informacje te zostaną wykorzystane w celu opracowania polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi i nowelizacji zarządzenia Rektora ws. ochrony danych osobowych. Dlatego też niezbędne jest staranne i rzetelne wypełnienie arkuszy inwentaryzacyjnych. WAŻNE! Arkusze inwentaryzacyjne należy wypełniać w ustalonej kolejności MDPZNKWTSEOU dlatego, że przy wypełnianiu kolejnych arkuszy będą potrzebne informacje zawarte w arkuszach wypełnionych wcześniej. Informacje zawarte w arkuszach muszą być ze sobą spójne. Arkusze inwentaryzacyjne należy wypełniać zwiększając liczbę wierszy (Word: Tabela/Wstaw wiersze poniżej) w tabeli umieszczonej w arkuszu. Pomiędzy stroną z tytułem arkusza a stroną z podpisami może wystąpić kilka stron z informacjami. Wypełnione i podpisane arkusze inwentaryzacyjne (w postaci papierowej) należy przekazać do Pełnomocnika Rektora ds. Danych Osobowych w terminie do 21 marca 2008 r. Jednocześnie pliki (.doc) z tymi samymi arkuszami należy przesłać pocztą elektroniczną na adres zabi@us.edu.pl. nr arkusza: - nie wypełniać kod jednostki organizacyjnej kod jednostki organizacyjnej według NOWEJ struktury pieczątka jednostki organizacyjnej odcisk pieczątki jednostki podpis kierownika jednostki podpis dziekana, dyrektora, kierownika jednostki podpis pełnomocnika lokalnego administratora danych podpis pełnomocnika (kierownik dziekanatu, z-ca dyrektora BUŚ, itp.) podpis lokalnego administratora bezpieczeństwa informacji podpis LABI data data podpisania arkusza przez kierownika jednostki 1
arkusz M: W arkuszu M umieszczamy informacje o WSZYSTKICH pomieszczeniach zarządzanych przez jednostkę organizacyjną, w których przetwarzane są dane osobowe. lp liczba porządkowa, unikalna w ramach jednostki pomieszczenie cyfry i/lub litery jednoznacznie oznaczające pomieszczenie, w którym przetwarzane są dane adres ulica i numer budynku, w którym przetwarzane są dane miejscowość nazwa miasta, w którym przetwarzane są dane (bez kodu pocztowego) rodzaje zbiorów litera T dla zbiorów przetwarzanych w postaci tradycyjnej, litera E dla zbiorów przetwarzanych w postaci elektronicznej, litery TE dla zbiorów przetwarzanych zarówno w postaci tradycyjnej, jak i elektronicznej Jeśli dane osobowe przetwarzane są za pomocą komputerów przenośnych, należy to zaznaczyć umieszczając dodatkowo w polu znak pomieszczenia oznaczenie (M). Informacja o miejscu przetwarzania danych powinna w takim przypadku wskazywać pomieszczenie, w którym komputer przenośny używany jest najczęściej. Przykład prawidłowego wypełnienia arkusza M: LP POMIESZCZENIE ADRES MIEJSCOWOŚĆ RODZAJE ZBIORÓW 1 12 Żeromskiego 3 Sosnowiec TE 2 15 (M) Żeromskiego 3 Sosnowiec E 2
arkusz D: W arkuszu D umieszczamy informacje o WSZYSTKICH producentach (a nie sprzedawcach!) oprogramowania, wykorzystywanego w jednostce do przetwarzania danych osobowych. lp liczba porządkowa, unikalna w ramach jednostki nazwa firmy nazwa PRODUCENTA oprogramowania, wykorzystywanego do przetwarzania danych. W przypadku użytkowania oprogramowania, dostępnego nieodpłatnie w Internecie, należy w tym polu umieścić wyraz Internet i podać nazwę strony WWW oprogramowania. adres ulica i numer budynku siedziby PRODUCENTA oprogramowania kod miejscowość kod i miasto siedziby PRODUCENTA oprogramowania telefon telefon PRODUCENTA oprogramowania fax fax PRODUCENTA oprogramowania e-mail e-mail PRODUCENTA oprogramowania Przykład prawidłowego wypełnienia arkusza D: LP NAZWA FIRMY ADRES 1 Microsoft Al. Jerozolimskie Sp. z o.o. 195A 2 Internet: http://www.openoffic e.org KOD MIEJSCOWOŚĆ 02-222 Warszawa TELEFON FAX EMAIL (+48-22) (+48-22) 594-10-00 594-10-02 3
arkusz P: W arkuszu P umieszczamy informacje o WSZYSTKICH programach lub systemach komputerowych, wykorzystywanych w jednostce organizacyjnej do przetwarzania danych osobowych. lp liczba porządkowa, unikalna w ramach jednostki nazwa programu nazwa programu lub systemu, wykorzystywanego do przetwarzania danych nazwa firmy wpisać liczbę porządkową, oznaczającą nazwę firmy, z arkusza D umowa serwisowa jeśli zawarta jest umowa serwisowa na serwis oprogramowania, należy wpisać datę, do której umowa obowiązuje. Jeśli umowy takiej nie ma, pole zostawić niewypełnione. okres wykorzystania od data początku okresu wykorzystywania programu lub systemu okres wykorzystania do jeśli program lub system ma być wykorzystywany tylko na czas określony, wpisać datę końca okresu wykorzystywania systemu. Jeśli nie wiadomo, do kiedy program lub system będzie wykorzystywany, pole zostawić niewypełnione. Przykład prawidłowego wypełnienia arkusza P: LP NAZWA PROGRAMU NAZWA FIRMY 1 Excel 1 2 Kandydat 2 UMOWA SERWISOWA OKRES WYKORZYSTANIA OD OKRES WYKORZYSTANIA DO 4
arkusz Z: W arkuszu Z umieszczamy informacje o WSZYSTKICH zbiorach danych osobowych, przetwarzanych w jednostce organizacyjnej. lp liczba porządkowa, unikalna w ramach jednostki nazwa zbioru skrócona nazwa zbioru danych osobowych przetwarzanego w jednostce (np. STUDENCI WYDZIAŁU, KADRY, PŁACE, UŻYTKOWNICY itp.) opis zbioru ogólna informacja o zawartości i przeznaczeniu zbioru (np. zbiór zawiera dane osobowe studentów Wydziału X i jest przeznaczony do obsługi toku studiów ) pola informacyjne kompletna lista nazw pól zbioru, służących do przechowywania danych osobowych (np. imię, nazwisko, ulica, nr domu, nr mieszkania, kod pocztowy, miejscowość, numer albumu, ) powiązania pól informacyjnych wskazać pola informacyjne, które są od siebie zależne. Jeśli pola nie są ze sobą powiązane, nie wypełniać. rodzaj zbioru patrz arkusz M: > rodzaje zbiorów pomieszczenie wpisać liczbę porządkową, oznaczającą pomieszczenie, w którym przetwarzany jest zbiór, z arkusza M nazwa programu - wpisać liczbę porządkową, oznaczającą nazwę programu lub systemu, za pomocą którego przetwarzany jest zbiór, z arkusza P data zgłoszenia jeśli zbiór został zgłoszony do rejestracji u GIODO, wpisać datę zgłoszenia data rejestracji jeśli zbiór został zarejestrowany u GIODO, wpisać datę rejestracji okres wykorzystania od patrz arkusz P > okres wykorzystania od okres wykorzystania do - patrz arkusz P > okres wykorzystania do uwagi wpisać ewentualne uwagi, dotyczące zbioru danych 5
Przykład prawidłowego wypełnienia arkusza P: *** ZBIÓR DANYCH OSOBOWYCH *** lp 1 CHARAKTERYSTYKA ZBIORU nazwa zbioru Kandydaci opis zbioru zbiór zawiera dane osobowe kandydatów na studia i jest przetwarzany w okresie rekrutacji na studia pola informacyjne imię, nazwisko, data urodzenia, oceny maturalne, powiązania pól brak powiązań informacyjnych rodzaj zbioru TE FORMA TRADYCYJNA pomieszczenie 1, 3, 7, 11 FORMA ELEKTRONICZNA nazwa programu 2 pomieszczenie 1, 2, 4, 7 REJESTRACJA U GIODO data zgłoszenia 2006-03-20 data rejestracji 2006-07-14 OKRES PRZETWARZANIA okres wykorzystania od 2008-04-15 okres wykorzystania do 2008-10-31 uwagi *** ZBIÓR DANYCH OSOBOWYCH *** lp 2 CHARAKTERYSTYKA ZBIORU nazwa zbioru Konkursy opis zbioru zbiór zawiera informacje o pracownikach wydziału i jest przetwarzany w celu rejestracji udziału w konkursach o charakterze naukowym pola informacyjne imię, nazwisko, nazwa konkursu, organizator konkursu, data powiązania pól brak powiązań informacyjnych rodzaj zbioru E FORMA TRADYCYJNA pomieszczenie - nazwa programu 1 pomieszczenie 10 data zgłoszenia data rejestracji okres wykorzystania od okres wykorzystania do uwagi FORMA ELEKTRONICZNA REJESTRACJA U GIODO OKRES PRZETWARZANIA 6
arkusz N: W arkuszu N umieszczamy informacje o WSZYSTKICH nośnikach komputerowych, wykorzystywanych w jednostce organizacyjnej do przetwarzania danych osobowych. lp - liczba porządkowa, unikalna w ramach jednostki nośnik jeśli nośnik służy do bieżącego przetwarzania danych, wpisać A. Jeśli nośnik służy do przechowywania kopii bezpieczeństwa, wpisać B. symbol oznaczenie nośnika (np. HDD_1A, CD_01) rodzaj rodzaj nośnika: HDD magnetyczny dysk twardy, CD/DVD dysk optyczny, TAPE taśma streamera, FD dyskietka, FLASH -- pendrive zbiór - wpisać liczbę porządkową, oznaczającą zbiór, z arkusza Z miejsce - wpisać liczbę porządkową, oznaczającą pomieszczenie, w którym przetwarzany (przechowywany) jest zbiór, z arkusza M opis wpisać opis sposobu przechowywania (np. w serwerze, w zamkniętej szufladzie, w sejfie, itp.) okres przechowywania od - data początku okresu przechowywania nośnika okres przechowywania do - jeśli nośnik ma być wykorzystywany tylko na czas określony, wpisać datę końca okresu przechowywania nośnika. Jeśli nie wiadomo, do kiedy nośnik będzie przechowywany, pole zostawić niewypełnione. Przykład prawidłowego wypełnienia arkusza N: L P NOŚN IK SYMB OL RODZ AJ ZBIÓ R MIEJS CE OPIS 1 A DSK_C HDD 2 10 w kompute rze 2 B FLASH 2 10 w szufladzi e biurka OKRES PRZECHOWYW ANIA OD 2008-01-01 OKRES PRZECHOWYW ANIA DO 7
arkusz K: W arkuszu K umieszczamy WSZYSTKIE informacje o kopiach bezpieczeństwa, tworzonych w jednostce organizacyjnej. nośnik - wpisać liczbę porządkową, oznaczającą nośnik, z arkusza N zbiór - wpisać liczbę porządkową, oznaczającą zbiór, z arkusza Z okres przechowywania od - data początku okresu przechowywania kopii bezpieczeństwa okres przechowywania do - jeśli kopia bezpieczeństwa ma być przechowywana tylko na czas określony, wpisać datę końca okresu przechowywania kopii. Jeśli nie wiadomo, do kiedy kopia będzie przechowywana, pole zostawić niewypełnione Przykład prawidłowego wypełnienia arkusza K: NOŚNIK ZBIÓR OKRES PRZECHOWYWANIA OD OKRES PRZECHOWYWANIA DO 2 2 2008-01-01 8
arkusz T: W arkuszu T umieszczamy informacje o WSZYSTKICH pracownikach jednostki, upoważnionych do przetwarzania danych osobowych. znak uprawnień oznaczenie upoważnienia (??? Pan Cybulski jakie?) data nad. data wystawienia upoważnienia do przetwarzania danych osobowych nazwisko imię nazwisko i imię upoważnionego pracownika jedn. org. kod jednostki organizacyjnej wg NOWEJ struktury zakres patrz arkusz M > rodzaje zbiorów data rozp. data rozpoczęcia przetwarzania danych osobowych przez pracownika zbiory - wpisać liczbę porządkową, oznaczającą zbiór, z arkusza Z Przykład prawidłowego wypełnienia arkusza T: ZNAK DATA UPRAWNIEŃ NAD. XYZ 2008-01- 05 NAZWISKO, JEDN. ZAKRES DATA ROZP. ZBIORY IMIĘ ORG. Kowalski Jan 0801 TE 2008-01-10 2 9
arkusz S: W arkuszu S umieszczamy informacje o WSZYSTKICH osobach (również pracownikach uczelni), upoważnionych do serwisu oprogramowania, wykorzystywanego w jednostce organizacyjnej do przetwarzania danych osobowych. znak upr. oznaczenie upoważnienia do serwisu oprogramowania data nad. data nadania upoważnienia do serwisu oprogramowania nazwisko, imię nazwisko i imię osoby upoważnionej do serwisu oprogramowania tel telefon osoby upoważnionej do serwisu oprogramowania kom telefon komórkowy osoby upoważnionej do serwisu oprogramowania e-mail adres e-mail osoby upoważnionej do serwisu oprogramowania prod. wpisać liczbę porządkową, oznaczającą nazwę firmy, z arkusza D zbiory - wpisać liczbę porządkową, oznaczającą zbiór, z arkusza Z data od wpisać datę, od której upoważnienie jest ważne data do wpisać datę, do której upoważnienie jest ważne Przykład prawidłowego wypełnienia arkusza S: L P ZNA K UPR. DAT A NAD. 1 ABC 2008-01-10 2 NAZWISK O, IMIĘ Nowak Jerzy TE L KO M E-MAIL Nowak@firma.co m PRO D. ZBIOR Y DAT A OD 1 1 2008-01-10 DAT A DO 2008-12-31 10
arkusz E: W arkuszu E umieszczamy informacje o wykonanych przeglądach serwisowych oprogramowania, używanego w jednostce organizacyjnej do przetwarzania danych osobowych. data wykonania data wykonania przeglądu serwisowego oprogramowania serwisant wpisać liczbę porządkową, oznaczającą osobę upoważnioną do wykonywania przeglądów serwisowych, z arkusza A zbiór - wpisać liczbę porządkową, oznaczającą zbiór, z arkusza Z opis opisać czynności serwisowe, wykonane podczas przeglądu Przykład prawidłowego wypełnienia arkusza E: DATA WYKONANIA SERWISANT ZBIÓR OPIS 2008-02-13 1 2 zainstalowano aktualizację pakietu biurowego 11
objaśnienia: dane osobowe przetwarzanie danych osobowych przetwarzanie w postaci tradycyjnej przetwarzanie w postaci elektronicznej 12