POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej



Podobne dokumenty
INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Warszawa, dnia 5 sierpnia 2015 r. Poz. 2 ZARZĄDZENIE NR 2 PREZESA PAŃSTWOWEJ AGENCJI ATOMISTYKI. z dnia 5 sierpnia 2015 r.

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ZARZĄDZENIE Nr 7. z dnia 30 lipca 2014 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

a) po 11 dodaje się 11a 11g w brzmieniu:

Zarządzenie Nr 48/2010 Rektora Państwowej Wyższej Szkoły Zawodowej w Gnieźnie

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka bezpieczeństwa w zakresie danych osobowych w Powiślańskiej Szkole Wyższej

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

Polityka bezpieczeństwa danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zarządzenie Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r.

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Ustawa o ochronie danych osobowych po zmianach

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Polityki bezpieczeństwa danych osobowych w UMCS

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Urzędzie Miasta Bielsk Podlaski

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Rozdział I Postanowienia ogólne

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia r.

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Zarządzenie Nr 37/2014/2015 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 21 kwietnia 2015 r.

POLITYKA BEZPIECZEŃSTWA

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

OBOWIĄZKI ADMINISTRATORA DANYCH ORAZ ADMINISTRATORA BEZPIECZEOSTWA

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

SOLIDNA SZKOŁA ŻEGLARSTWA tel

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

PolGuard Consulting Sp.z o.o. 1

Transkrypt:

Załącznik nr 1 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej 1. Podstawa prawna: 1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 j. t. z późn. zm.), 2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 Nr 100, poz. 1024). Administrator Danych: Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, 00-110 Siedlce. 1. Cel 1) Celem niniejszej polityki jest określenie kierunków działań dla zapewnienia bezpieczeństwa przetwarzania zbiorów danych osobowych zarządzanych przez Administratora Danych. Przez bezpieczeństwo przetwarzania danych należy rozumieć: a) poufność- zapewnienie, że dane są dostępne jedynie osobom upoważnionym, b) integralność- zapewnienie dokładności i kompletności danych oraz metod przetwarzania, c) dostępność- zapewnienie, że osoby upoważnione mają dostęp do danych i związanych z nimi aktywów wtedy, gdy jest to potrzebne, d) rozliczalność- zapewnienie, że działania osób można jednoznacznie przypisać tym osobom. 2) Administrator Danych zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnej zgodnej z przepisami prawa realizacji zadań i określonych w ustawie Prawo o szkolnictwie wyższym, a także zapewnienia współdziałania Administratora Danych z jednostkami administracji publicznej i innymi podmiotami. 3) Dane osobowe w Collegium Mazovia Innowacyjnej Szkole Wyższej przetwarzane są w celu realizacji statutowych celów szkoły wyższej. W szczególności dane osobowe przetwarza się: a) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych i organizacyjnych Uczelni wynikających z przepisów ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. Nr 2012, poz. 572 j. t. późn. zm.), 1

b) dla zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni polityki personalnej oraz bieżącej obsługi stosunków pracy i stosunków służbowych, a także innych stosunków zatrudnienia nawiązywanych przez Collegium Mazovia Innowacyjną Szkołę Wyższą, c) dla realizacji innych usprawiedliwionych celów i zadań Collegium Mazovia Innowacyjnej Szkoły Wyższej - z poszanowaniem praw i wolności osób powierzających swoje dane. 4) System bezpieczeństwa przetwarzania danych osobowych jest opisany przez: a) Politykę bezpieczeństwa danych osobowych Collegium Mazovia Innowacyjnej Szkole Wyższej, b) Instrukcję zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej, c) Instrukcję przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej. 2. Terminologia 1) Administrator Danych - organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem Danych Osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej w rozumieniu ustawy o ochronie danych osobowych jest Rektor. 2) Administrator Bezpieczeństwa Informacji (ABI) - osoba nadzorująca przestrzeganie zasad bezpieczeństwa danych osobowych, wyznaczona przez Administratora Danych. 3) Administrator Systemów Informatycznych (ASI) - osoba odpowiedzialna za techniczne aspekty funkcjonowania systemów informatycznych. 4) Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 5) System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 6) Zbiór danych osobowych - posiadający strukturę zestaw danych o charakterze osobowym. 7) Opiekun zbioru - powołany przez Administratora Bezpieczeństwa Informacji pracownik Collegium Mazovia Innowacyjnej Szkoły Wyższej odpowiedzialny za istniejący lub projektowany zbiór danych osobowych. 8) CM - Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce. 9) Rektor - Rektor Collegium Mazovia Innowacyjnej Szkoły Wyższej. 2

3. Zakres stosowania 1) Zakres stosowania niniejszego dokumentu obejmuje zbiór danych osobowych przetwarzanych w Collegium Mazovia Innowacyjnej Szkole Wyższej zarówno w formie elektronicznej, jak i tradycyjnej (papierowej tj. rejestry, kartoteki). Polityka bezpieczeństwa obejmuje wszystkich pracowników. 2) Politykę bezpieczeństwa danych osobowych projektów unijnych i innych inicjatyw podejmowanych przez CM regulują odrębne przepisy prawa. 3) Ochrona danych osobowych wynikająca z Polityki Bezpieczeństwa Danych Osobowych jest realizowana na każdym etapie przetwarzania informacji. 4. Odpowiedzialność 1) Administrator Danych (AD) - zabezpiecza dane osobowe przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 2) W imieniu Administratora Danych nadzór nad przestrzeganiem zasad ochrony danych osobowych sprawuje powołany przez niego Administrator Bezpieczeństwa Informacji, który powoływany i odwoływany jest w drodze zarządzenia Rektora. 3) Administrator Bezpieczeństwa Informacji powołuje i odwołuje Opiekunów zbiorów. Powołanie na Opiekuna zbioru - załącznik nr 1 do niniejszego dokumentu. 4) Pracownik przetwarzający dane osobowe jest zobowiązany do zapoznania się z obowiązkami, odpowiedzialnością przetwarzania zbiorów danych osobowych - załącznik nr 2 do polityki niniejszego dokumentu. 5) Administrator Bezpieczeństwa Informacji jest zobowiązany do: a) prowadzenia i aktualizacji ewidencji wydanych upoważnień do przetwarzania danych według załącznika nr 3, b) zarządzania upoważnieniami do przetwarzania danych osobowych w imieniu Administratora Danych, c) nadzorowania fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w szczególności systemu kontroli dostępu oraz kontroli przebywających w nich osób pod kątem posiadania upoważnienia do przetwarzania danych osobowych, d) nadzorowania przestrzegania zasad określonych w polityce i instrukcjach dotyczących bezpieczeństwa danych osobowych, e) nadzorowania obiegu oraz przechowywania dokumentów i wydawnictw zawierających dane osobowe, w tym generowanych przez systemy informatyczne, f) analizy sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych 3

(jeśli takie wystąpiło) oraz przygotowania i przedstawienia Administratorowi Danych propozycji takich zmian, które pozwolą uniknąć podobnych sytuacji w przyszłości, g) szkolenia pracowników z zakresu bezpieczeństwa przetwarzania danych osobowych, h) nadzorowania wycofania uprawnień do systemów informatycznych w przypadku odebrania pracownikowi uprawnienia do przetwarzania danych osobowych. 6) Administrator Bezpieczeństwa Informacji realizuje zadania za pośrednictwem: a) Sekcji kadrowo-płacowej specjalisty do spraw kadrowych, b) Działu Informatyki Administratora Systemów Informatycznych, c) Opiekunów zbiorów. 7) Specjalista do spraw kadrowych zobowiązany jest do: a) uzupełniania akt osobowych pracowników zatrudnionych przy przetwarzaniu danych osobowych o oświadczenia, z których wynika, że zapoznali się z przepisami obowiązującymi w tym zakresie, b) prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych oraz Wykazu zbiorów danych osobowych w systemach tradycyjnych, c) informowanie ASI o zmianach kadrowych w celu aktualizacji ewidencji praw dostępu do przetwarzania danych osobowych w systemach informatycznych, d) wykonywanie na polecenie ABI działań kontrolnych dotyczących przestrzegania przepisów w zakresie przetwarzania danych osobowych w systemach tradycyjnych, e) informowanie ABI i AD o nieprawidłowościach w zakresie przetwarzania danych osobowych w systemach tradycyjnych. 8) Za techniczne aspekty funkcjonowania systemów informatycznych odpowiedzialny jest Administrator Systemów Informatycznych i administratorzy podsystemów informatycznych, którzy powoływani i odwoływani są w drodze zarządzenia Rektora. 9) Administrator Systemów Informatycznych zobowiązany jest do: a) nadzorowania przeglądów, konserwacji oraz uaktualnień systemów służących do przetwarzania danych osobowych oraz wszystkich innych czynności wykonywanych w systemach przetwarzających dane osobowe, b) nadzorowania wykonywania kopii awaryjnych, odpowiedniego ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych osobowych w przypadku awarii systemu, c) nadzorowania funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych, d) podjęcia działań zabezpieczających stan systemu informatycznego w przypadku: wykrycia naruszenia zabezpieczeń systemu informatycznego, 4

otrzymania informacji o naruszeniu bezpieczeństwa systemu informatycznego, otrzymania informacji o zmianach w sposobie działania programów lub urządzeń wskazujących na naruszenie bezpieczeństwa danych osobowych. e) prowadzenia aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych w systemach informatycznych oraz Wykazu zbiorów danych osobowych w systemach informatycznych, f) szkolenia użytkowników systemów informatycznych w zakresie przestrzegania zasad ochrony danych osobowych, g) wnioskowania do ABI o konieczne zakupy związane z ochroną danych osobowych, h) wykonywania na polecenie ABI działań kontrolnych dotyczących przestrzegania przepisów w zakresie przetwarzania danych osobowych w systemach informatycznych, i) informowania ABI i AD o nieprawidłowościach w zakresie przetwarzania danych osobowych w systemach informatycznych. 10) Opiekunowie zbiorów zobowiązani są do: a) współdziałania z Administratorem Bezpieczeństwa Informacji w zakresie przestrzegania zasad ochrony danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej, b) niezwłocznego wystąpienia do Administratora Bezpieczeństwa Informacji o przydzielenie uprawnień oraz upoważnienia do przetwarzania danych osobowych dla pracowników przetwarzających dane osobowe w zbiorze, c) niezwłocznego wystąpienia do Administratora Systemów Informatycznych o odebranie uprawnień do przetwarzania danych osobowych pracownikowi upoważnionemu do przetwarzania tych danych w przypadku zmiany powodującej utratę upoważnienia do przetwarzania danych osobowych: ustanie stosunku pracy, zmiana stanowiska, zmiana komórki organizacyjnej, oddelegowanie itp. 11) Opiekunowie zbiorów mają obowiązek poinformowania Administratora Bezpieczeństwa Informacji o zamiarze utworzenia, likwidacji, modyfikacji struktury zbioru lub zmiany lokalizacji zbioru. Informację przekazuje się na formularzu Informacja o zbiorze danych osobowych" według załącznika nr 4 do niniejszego dokumentu. 12) Każdy pracownik przetwarzający dane osobowe zarządzane przez Administratora Danych musi posiadać upoważnienie do przetwarzania danych osobowych zawierające: a) imię i nazwisko, b) data nadania i okres jego obowiązywania oraz zakres upoważnienia do przetwarzania danych osobowych, c) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Wzór upoważnienia stanowi załącznik nr 5 do niniejszego dokumentu. 13) Opiekun zbioru występuje do Administratora Bezpieczeństwa Informacji z wnioskiem 5

o nadanie/wycofanie upoważnienia do przetwarzania danych osobowych stanowiącego załącznik nr 6 do niniejszego dokumentu. 14) Każdy pracownik przetwarzający dane osobowe (komputer, który podłączony jest do sieci posiada hasła dostępu dla każdego pracownika upoważnionego) zobowiązany jest zapewnić ich należytą ochronę, a w szczególności przestrzegać zasad opisanych w Instrukcji przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej oraz w Instrukcji zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej". 5. Wykaz zbiorów danych osobowych 1) Zasoby zawierające dane osobowe przetwarzane metodami tradycyjnymi: a) dane osobowe studentów, b) dane osobowe pracowników, c) dane osobowe kandydatów do pracy, d) dane osobowe byłych pracowników, e) dane osobowe osób zatrudnionych na umowy cywilne, f) dane osobowe kontrahentów, g) dane osobowe czytelników. 2) Systemy informatyczne w CM, w których przetwarza się dane osobowe: a) PROAKADEMIA - przetwarza dane studentów. b) E-REKRUTACJA oraz REKRUTACJA - przetwarza dane kandydatów na studia. c) SYMFONIA FK - system finansowo-księgowy. d) KADRY, PŁATNIK - system kadrowy. e) PŁACE, PŁATNIK - system płacowy. f) WIDEOTEL - obsługa przelewów bankowych. g) PATRON system biblioteczny. 3) ADMINISTRACJA SYSTEMU - przetwarza dane użytkowników Uczelnianej Sieci Informatycznej. 4) Wzór szczegółowego Wykazu zbiorów danych osobowych zawiera załącznik nr 7 do niniejszego dokumentu. 6. Obszar przetwarzania danych 1) Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161A, Siedlce. 2) Wzór Wykazu budynków i pomieszczeń, w których przetwarzane są dane osobowe zawiera załącznik nr 8 do niniejszego dokumentu. 3) Wykaz budynków i pomieszczeń prowadzony jest przez ASI w zakresie Systemów informatycznych oraz przez specjalistę ds. kadrowych w zakresie systemów tradycyjnych (papierowych). 6

7. Opis struktury zbiorów 1) Wzór Opisu struktury zbiorów określa załącznik nr 9 do niniejszego dokumentu. 2) Opis struktury zbiorów prowadzony i uaktualniany jest przez ASI. 8. System zabezpieczeń danych osobowych 1) Ochrona zbiorów danych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem. 2) W celu ochrony danych przechowywanych w systemach informatycznych należy wykorzystywać wchodzące w ich skład mechanizmy zarówno sprzętowe jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych. 3) Procedury zarządzania uprawnieniami do systemów informatycznych reguluje Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej. 4) Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady: a) kontrolowanie dostępu do zbiorów danych osobowych, b) indywidualną identyfikację użytkowników (pracowników przetwarzających dane osobowe), c) uwierzytelnianie użytkowników (potwierdzanie ich tożsamości). 5) W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem: a) dla wszystkich zbiorów danych osobowych wdraża się politykę tworzenia kopii zapasowych, b) urządzenia informatyczne mające wpływ na integralność danych osobowych wyposaża się w awaryjne zasilanie, c) wdraża się oprogramowanie antywirusowe we wszystkich systemach, d) dostęp do systemów informatycznych z sieci publicznej kontroluje się za pomocą zapory sieciowej, e) dostęp z sieci zewnętrznej w celu przetwarzania danych osobowych nadzoruje się przez Administratora Systemów Informatycznych, 6) Administrator Systemów Informatycznych w miarę posiadanych możliwości nadzoruje nośniki danych osobowych podczas użytkowania ich na terenie obiektów w Collegium Mazovia Innowacyjnej Szkole Wyższej oraz przy udostępnianiu ich innym podmiotom. 7) Udostępnienie danych osobowych wymaga uzyskania zgody Administratora Bezpieczeństwa Informacji. 8) Nowo przyjmowani pracownicy, którzy w ramach swoich obowiązków będą przetwarzali dane osobowe, są szkoleni z zakresu ochrony danych osobowych. Szkolenie obejmuje w szczególności treść niniejszej polityki i instrukcje. Szkolenie prowadzi Administrator 7

Bezpieczeństwa Informacji lub osoba przez niego wyznaczona. 9. Przeglądy i aktualizacje polityki 1) System bezpieczeństwa danych osobowych podlega przeglądowi pod kątem aktualności i stosowalności w odstępach sześciomiesięcznych. Przeglądu dokonuje zespół powołany przez Rektora. W skład zespołu wchodzi obowiązkowo Administrator Bezpieczeństwa Informacji i Administrator Systemów Informatycznych. 2) Polityka bezpieczeństwa podlega aktualizacji każdorazowo w przypadku: a) likwidacji, utworzenia lub istotnej zmiany zawartości informacyjnej zbioru nie dotyczy to ciągłej nowelizacji programu PROAKADEMIA, PATRON, SYMFONIA, PŁATNIK. b) zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji polityki, c) innych znaczących zmian w funkcjonowaniu w Collegium Mazovia Innowacyjnej Szkole Wyższej dotyczących danych osobowych. 3) Aktualizacji polityki dokonuje Administrator Bezpieczeństwa Informacji. Zatwierdzenia zaktualizowanej polityki dokonuje Rektor Collegium Mazovia Innowacyjnej Szkoły Wyższej. 10. Dokumenty związane 1) Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej. 2) Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej. 8

11. ZAŁĄCZNIKI: Załącznik nr 1 Powołanie na Opiekuna zbioru. Załącznik nr 2 Indywidualny zakres czynności pracownika zatrudnionego przy przetwarzaniu danych osobowych w zbiorach danych administracyjnych przez Collegium Mazovia Innowacyjnej Szkoły Wyższej. Załącznik nr 3 Ewidencja osób upoważnionych do przetwarzania danych osobowych. Załącznik nr 4 Informacja o zbiorze danych osobowych. Załącznik nr 5 Upoważnienie do przetwarzania danych osobowych. Załącznik nr 6 Wniosek o nadanie/wycofanie upoważnienia do przetwarzania danych osobowych. Załącznik nr 7 Wykaz zbiorów danych osobowych. Załącznik nr 8 Wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe. Załącznik nr 9 Opis struktury zbiorów danych osobowych. 9

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres