IV. Załączniki do PB

Podobne dokumenty
IV. Załączniki do PB

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Rozdział I Zagadnienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

a) po 11 dodaje się 11a 11g w brzmieniu:

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr 13/2010/2011 Polityka bezpieczeostwa danych osobowych POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR 120/38/15 PREZYDENTA MIASTA TYCHY. z dnia 30 kwietnia 2015 r.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja Zarządzania Systemem Informatycznym

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 10 Z ODDZIAŁAMI INTEGRACYJNYMI IM.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Polityka prywatności wraz z instrukcją

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

1. Polityka Bezpieczeństwa

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Załącznik nr 3 do Polityki Ochrony Danych Osobowych Toruń, dnia 25 maja 2018 r.

OCHRONA DANYCH OSOBOWYCH

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Załącznik nr 1 do zarządzenia 11 KZ/ 2013

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Rozdział I Postanowienia ogólne

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Załącznik nr 2 do Zarządzenia 129/W/09 Wójta Gminy Zabierzów z dnia r.

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Żyrzyn

POLITYKA BEZPIECZEŃSTWA

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Transkrypt:

IV. Załączniki do PB

Załącznik nr 1: Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane Obszarem przetwarzania osobowych jest siedziba Instytutu Filozofii i Socjologii Polskiej Akademii Nauk w Warszawie w budynku przy ul. Nowy Świat 72 (Pałac Staszica). W szczególności obejmuje: Pokoje 150 (AD), 137 Dyrekcja Instytutu. 1. JEDNOSTKI EDUKACYJNE, USŁUGOWE I ADMINISTRACYJNE IFiS PAN Pokoje 150 Sekretariat Dyrekcji Instytutu, Pokoje 110 Rada Naukowa, Pokoje 133, 135 Dział Obsługi Badań, ABI Pokoje 158, 200, 201, 201B, 242, 280, 201A, 247, 276, 282, 322 oraz pomieszczenia G II-1 i G II-2 oraz piwnica SNS, Pokój 272 Podyplomowe Studium Public Relations, Pokoje 106, 108A, 133 ORBS, Pokoje 229 i 231 Wydawnictwo, Pokoje 141, 143, 156 Księgowość, Pokoje 112 Kadry, Komisja Socjalna, Pomieszczenie 011 w piwnicy Archiwum, Pokoje 010, 122, 124 Laboratoria Komputerowe, Serwerownia - pomieszczenie 02 NASK w piwnicy oraz pomieszczenia G-I-6; G-I-5; oraz G-I 3 na I. p. Pałacu Staszica. Obszarem przetwarzania osobowych IFiS PAN jest także pokój 114A przy ul. Krakowskie Przedmieście 3 Biblioteka połączonych IFiS PAN i WFiS UW. 2

2. ZAKŁADY I ZESPOŁY IFiS PAN I INNE JEDNOSTKI, W TYM RÓWNIEŻ PROJEKTY REALIZOWANE W IFiS PAN (GRANTY) Pokoje 105 Fundacja IFiS PAN, Zakład Teorii Poznania i Filozofii Nauki, Zespół Filozofii Przyrody, Zespół Filozofii i Hermeneutyki Matematyki, Zespół Filozofii Podstaw Nauki, Zespół Badań nad Filozofią Antyczną i Historią Ontologii, Zespół Studiów Europejskich, Pokój 110 Rada Naukowa, Pokój 109 Radca Prawny, Pokój 113 Zakład Historii Filozofii Starożytnej i Średniowiecznej, Pokój 116, 237 Zespół Badań Struktury Społecznej, Pokój 118 Zakład Filozofii Nowożytnej i Współczesnej, Zespół Badań nad Historią Filozofii Nowożytnej, Zespół Badawczy Przeobrażeń Metafizyki w Filozofii Współczesnej, Pokój 120 Centrum Badań nad Zagładą Żydów, Pokój 139 Zakład Socjologii Teoretycznej, Zespół Socjologii i Antropologii Kultury, Pokoje 207 Panel: GIMNAZJUM - RYNEK PRACY i EWD (granty), Pokoje 209 Zespół Badawczy Socjologii Polityki i Gospodarki, Gospodarki i Edukacji, Pokój 211, 233, 239, 207, Zespół Porównawczych Analiz Nierówności Społecznych, Zespół Badań Struktury Społecznej, Pokój 227 Zespół Badawczy Antropologii Filozoficznej i Filozofii Społecznej, Zespół Badawczy Psychoanalizy Badań nad Kategorią Gender w Filozofii, Zespół do Badań nad Myślą Postsekularną, Pokój 235 Zespół Socjologii i Antropologii Kultury, Zespół Studiów nad Metodami i Technikami Badań Socjologicznych, Pokój 224, 244 - Zakład Badań nad Religią, Pokój 225 Zakład Logiki i Kognitywistyki, Pokój 237 Zespół Badania Warunków Życia i Społecznych Podstaw Zdrowia, Pokój 238 Zakład Społeczeństwa Obywatelskiego, Pokój 243 Zespół Badawczy Retrospektywnej Bibliografii Filozofii Polskiej, Pokój 270 Zakład Teorii Kultury, Zespół Socjologii i Antropologii Kultury, Pokój 286 Zespół Badań Filozofii Kultury. 3

Załącznik nr 2. Wykaz zbiorów wraz ze wskazaniem programów zastosowanych do ich przetwarzania ZBIORY ZGŁOSZONE DO GIODO Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja Nr księgi GIODO I. POLSKI SURVEY PANELOWY POLPAN Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 106, 108A 076121 II. GIMNAZJUM - RYNEK PRACY Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 207, CBOS 083031 III. PANEL EWD Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 207, CBOS 083033 ZBIORY NIEWYMAGAJĄCE ZGŁOSZENIA DO GIODO 4

1. JEDNOSTKI USŁUGOWE I ADMINISTRACYJNE IFiS PAN Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja 1. Dane osobowe ujęte w systemie kadrowo-płacowym System Enova 365 kadry i płace, pakiet złoty Nowy Świat 72, pokój 143, 156 2. Dane osobowe ujęte w systemie księgowym Program księgowy Finka, Program księgowy Sage Symfonia FK Nowy Świat 72, pokój 143, 156, 141 3. Dane osobowe pracowników pożyczkobiorców z PKZP program Excel Nowy Świat 72, pokój 143 4. Dane osobowe w systemie kadrowopłacowym Płatnik Nowy Świat 72, pokój 143 5. Dane osobowe w systemie księgowym do obsługi kontrahentów Program do wystawiania faktur Finka Faktura Nowy Świat 72, pokój 143,156 6. Dane osobowe ujęte w systemie księgowym obejmującym dane pracowników, współpracowników, kontrahentów itp. Program księgowy Finka Nowy Świat 72, pokój 231 7. POLON - rejestr pracowników naukowych, studentów SNS System POLON Nowy Świat 72, pokój 150, 247 8. Rejestr wniosków i realizowanych projektów program Excel Nowy Świat 72, pokój 135 9. Program Ocena Program Ocena Nowy Świat 72, pokój 133, 135 10. Biblioteka Horizon Krakowskie Przedmieście 3, pokój 114A 11. Archiwum PAN Brak (archiwum tradycyjne papierowe) Nowy Świat 72, pokój 011 12. Program Ankieter Oprogramowanie autorskie, PS IMAGO (SPSS), MS EXCEL, WORD, NOTEPAD Nowy Świat 72 pokój 106, 108A 5

2. ZAKŁADY I ZESPOŁY IFiS PAN Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja 3. PROJEKTY REALIZOWANE W IFiS PAN (GRANTY I INNE ZLECENIA ZEWNĘTRZNE) Lp. Zbiór osobowych Podstawa przetwarzania Program do przetwarzania Lokalizacja 6

Załącznik nr 3. Opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Informacje o zbiorach przetwarzanych w IFiS PAN zgodne z zakresem przedstawionym w Prezentacji dot-ustawa-o-ochronie--osobowych 2015 slajdy 17. I 18. rozesłanej do Państwa 14.03.16 zostaną uzupełnione po kwerendzie. W skrócie rejestr opisujący strukturę zbiorów obejmuje następujące pola: Nazwa zbioru Informacje o administratorze osobowych Nazwa projektu, w związku z którym tworzony jest zbiór Kierownik projektu Planowana data rozpoczęcia zbierania Planowana data zakończenia zbierania Cel przetwarzania Opis struktury zbioru, np.: kategorii osób uwzględnionych ( mężczyźni i kobiety w wieku 45+, mieszkańcy Krakowa ), których dane dotyczą oraz zakres przetwarzania zwykłych (np.: płeć, wiek, wykształcenie, numer telefonu) i szczególnie chronionych (np.: przynależność partyjna, związkowa, poglądy polityczne) Opis kategorii Zakres przetwarzanych w zbiorze, w tym odpowiedź na pytanie: Czy zbiór będzie zawierał lub zawiera (jeśli zgłoszony do GIODO) dane szczególnie chronione, wrażliwe? Jeśli zbiór został już zgłoszony do GIODO, należy podać numer zgłoszenia, numer księgi Sposób zbierania (np.: wyłącznie od osób, których dotyczą) i ich udostępniania (zgodnie z przepisami prawa) Lista programów komputerowych wykorzystywanych do przetwarzania Informacje o odbiorcach Lista imion i nazwisk osób upoważnionych do przetwarzania osobowych w tym zbiorze 7

Załącznik nr 4. Sposób przepływu między poszczególnymi systemami. <j.w. do uzupełnienia po kwerendzie i spisie z natury> 8

Załącznik nr 5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych I. Przedsięwzięcia w zakresie zabezpieczenia sprzętu komputerowego. II. III. 1. Dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania osobowych stosuje się w nich sprzęt oraz oprogramowanie wyprodukowane przez renomowanych producentów oraz zabezpiecza się sprzęt przed awarią zasilania lub zakłóceniami w sieci zasilającej. 2. Zbiory osobowych oraz programy służące do przetwarzania osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych. I. Zbiory osobowych oraz ich kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie z urządzeń, dysków lub innych elektronicznych nośników informacji. Przedsięwzięcia w zakresie ochrony teletransmisji. 1. W celu ochrony systemów informatycznych służących do przetwarzania osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem. 2. Transmisja osobowych przez publiczną sieć telekomunikacyjną jest zabezpieczona środkami kryptograficznej ochrony. Przedsięwzięcia w zakresie środków ochrony w ramach oprogramowania systemów. 1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło. II. W przypadku, gdy do uwierzytelnienia użytkowników używa się identyfikatora i hasła, kryteria doboru haseł i okres ich obowiązywania ustala systemu informatycznego. III. System informatyczny powinien wymuszać zmianę haseł, informując o upływie ich ważności. IV. W przypadku, gdy system informatyczny służący do przetwarzania osobowych lub jego wydzielona cześć nie wymusza zmiany haseł, użytkownik jest zobowiązany do samodzielnej zmiany hasła na podstawie kryteriów ustalonych przez a systemu informatycznego. IV. Przedsięwzięcia w zakresie środków ochrony w ramach narzędzi baz i innych narzędzi programowych. 1. W celu ochrony zbiorów osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych. 2. System zapewnia automatyczne odnotowywanie w systemie informacji o identyfikatorze użytkownika, który wprowadził dane osobowe oraz dacie pierwszego wprowadzenia do systemu. 3. System zapewnia przygotowanie i wydruk raportu, który zawiera informacje, o których mowa w 7. 1. Rozporządzenia. 9

4. Stosuje się oprogramowanie umożliwiające trwałe usunięcie osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną. V. Przedsięwzięcia w zakresie środków ochrony w ramach systemu użytkowego: I. W celu ochrony osobowych przetwarzanych na stacjach roboczych na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się mechanizm blokady stacji roboczej zabezpieczony hasłem; V. Stosuje się mechanizmy kontroli dostępu użytkowników do systemów ogranicza się dostęp do katalogów, ogranicza się wykonywanie poleceń; VI. Na stacjach roboczych użytkownicy nie posiadają uprawnień do instalowania oprogramowania. VI. Przedsięwzięcia w zakresie zabezpieczenia przetwarzanych w systemie tradycyjnym, przy użyciu dokumentów sporządzonych w formie pisemnej, gromadzone są w rejestrach, księgach oraz segregatorach i przechowywane w zamykanych szafach. I. Dane osobowe są chronione przy zastosowaniu następujących zabezpieczeń niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych dany osobowych: VII. Ochrona pomieszczeń wykorzystanych do przetwarzania osobowych: budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie osobowych zabezpieczone są przed dostępem osób nieuprawnionych; dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych biurkach lub szafach; przebywanie osób nieuprawnionych w obszarze przetwarzania osobowych jest dopuszczalne w obecności osoby upoważnionej do przetwarzania osobowych lub za zgodą Dyrektorów i Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN. 10

Załącznik nr 6. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania I. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe, ma AD oraz ABI i systemu informatycznego, działający w imieniu AD. II. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe, może uzyskać wyłącznie użytkownik zarejestrowany przez a systemu informatycznego. Rejestracja w systemie informatycznym obejmuje trzy etapy opisanej poniżej. 1. Nadanie przez a systemu informatycznego unikalnego identyfikatora (loginu). Zabronione jest nadawanie identycznych identyfikatorów. Każda użytkownik otrzymuje inny, unikalny identyfikator (login). 2. Wygenerowanie hasła startowego, niezbędnego do uzyskania dostępu do systemu informatycznego. Użytkownik podczas pierwszego wejścia do systemu ma obowiązek zmiany hasła startowego. Kryteria tworzenia haseł użytkowników i czas ich obowiązywania wobec osób przetwarzających dane osobowe ustala systemu informatycznego. Użytkownik powinien zmieniać hasło nie rzadziej, niż według kryteriów ustalonych przez a systemu informatycznego oraz w każdym innym uzasadnionym przypadku, w szczególności gdy istnieje prawdopodobieństwo wejścia w posiadanie takiego hasła przez osobę trzecią. Hasło powinno być stworzone w sposób uniemożliwiający jego odgadnięcie przez osoby trzecie. Hasło jest daną poufną do wyłącznej wiadomości użytkownika, którego dotyczy. 3. Wprowadzenie do rejestru elektronicznego upoważnionych do przetwarzania osobowych użytkowników. Rejestr powinien obejmować: login, imię, nazwisko, datę uzyskania upoważnienia do przetwarzania osobowych, wraz z technicznym opisem przypisanych praw dostępu w systemie informatycznym zgodnych z zakresem określonym w Upoważnieniu do przetwarzania osobowych ABI. a systemu informatycznego, w imieniu AD, prowadzi elektroniczną bazę użytkowników, która jest podstawą do aktualizacji ewidencji osób upoważnionych do przetwarzania osobowych. III. Dostęp do systemów informatycznych IFIS PAN, w którym przetwarzane są dane, w tym dane osobowe mają jedynie zarejestrowani użytkownicy i odbywa się on wyłącznie poprzez podanie identyfikatora (loginu) i hasła. IV. Wszystkie serwery, na których przechowywane są dane, w tym dane osobowe, powinny być umieszczone w pomieszczeniu z ograniczonym dostępem. 1. Dostęp do pomieszczenia powinien być ograniczony do a systemu informatycznego i upoważnionych przez ABI współpracowników IFiS PAN. 2. Wydanie kluczy (w przypadku gdy przechowywane są np. na portierni) powinno być rejestrowane: 11

np. zapis do zeszytu z informacją: imię i nazwisko osoby pobierającej klucze, godzina pobrania, godzina zdania 3. Wszystkie serwery lub pamięci (storage) w obudowie typu rack, powinny być zamontowane w szafie zamykanej na klucz. Klucz do szafy powinien być przechowywany w pomieszczeniu z ograniczonym dostępem. Dostęp umożliwiający obsługę serwerów, na których przechowywane są dane osobowe, powinien być ograniczony jedynie do a systemu informatycznego i upoważnionych przez ABI współpracowników IFiS PAN. 4. Serwery w obudowie typu tower, o ile nie są umieszczone w szafie, o której mowa w pkt. 3, powinny mieć obudowę zamykaną na klucz lub inny mechanizm uniemożliwiający otwarcie obudowy i dostęp do dysków twardych. Procedura przechowywania kluczy do obudowy jest taka sam jak w pkt. 3. 5. Komputery wykorzystywane do działalności IFIS PAN, za pomocą których przetwarzane są dane, w tym dane osobowe, zabezpieczane są co najmniej w następujący sposób: komunikacja mailowa możliwa jest wyłącznie poprzez system posiadający program antywirusowy zatwierdzony przez a systemu; ruch http możliwy jest tylko przy użyciu zabezpieczonego firewallem komputera; użytkownicy systemu informatycznego IFiS PAN mają zakaz wgrywania na komputery i serwery IFIS PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych przez a systemu informatycznego; użytkownicy systemu informatycznego IFiS PAN mają zakaz umieszczania (w tym osobowych) w związku z pracą w IFiS PAN, na wirtualnych dyskach lub nośnikach zewnętrznych niebędących własnością IFiS PAN. Należy stosować wydzielone konta sieciowe na serwerach należących do IFIS PAN. osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN, nie będące współpracownikami, mają zakaz wgrywania na komputery i serwery IFiS PAN jakiegokolwiek oprogramowania (w tym także z Internetu), za wyjątkiem przypadków wyraźnie przyzwolonych przez a systemu informatycznego. systemu informatycznego informuje o tym zakazie osoby świadczące jakiekolwiek usługi na rzecz IFiS PAN; systemu informatycznego odpowiada za bieżącą aktualizację systemów operacyjnych. Użytkownicy mają zakaz blokowania wykonania tych aktualizacji. 6. O ile dozwolone jest użycie zawartych na zewnętrznych nośnikach pamięci, dane takie muszą być sprawdzone przez program antywirusowy przed wprowadzeniem do systemu informatycznego IFiS PAN. Odpowiedzialność za sprawdzenie ponosi użytkownik wprowadzający dane. 7. W przypadku jakichkolwiek wątpliwości odnośnie zagrożenia wirusowego należy sprawdzić zawartość całego dysku twardego programem antywirusowym. W przypadku dalszych niejasności należy kontaktować się z 12

em systemu informatycznego lub z osobami przez niego upoważnionymi. 8. systemu informatycznego nadzoruje instalację aktualizacji (w tzw. łat ) oprogramowania. Za instalację i konfigurowanie oprogramowania odpowiada systemu informatycznego. 9. systemu informatycznego, w imieniu AD i po konsultacji z ABI, akceptuje listę oprogramowania dopuszczoną do użytkowania na poszczególnych stacjach roboczych w zależności od typu prac na nich wykonywanych. 10. systemu informatycznego dopuszcza użytkownika do obsługi poszczególnych programów na podstawie rejestru elektronicznego upoważnionych do przetwarzania osobowych użytkowników. 11. Oprogramowanie wgrane na stacjach roboczych udostępnionych przez IFiS PAN użytkownikom, niezależnie od tego czy jest umieszczone na powołanej liście, jest uważane za możliwe do wykorzystania przez użytkowników, chyba że systemu informatycznego lub ABI postanowią inaczej. 12. Każdy użytkownik zobowiązany jest do zachowania szczególnej ostrożności przy pracy z pocztą elektroniczną. W przypadku jakichkolwiek wątpliwości, szczególnie w przypadku załączników poczty elektronicznej, należy przed uruchomieniem skontaktować się z em systemu informatycznego. 13. Przy wprowadzaniu do systemu informatycznego nowych programów lub zawsze należy kierować się zasadą ograniczonego zaufania. Jeśli okoliczności danego przypadku tego wymagają, należy przed wprowadzeniem jakichkolwiek zmian wykonać kopię zapasową systemu (lub odpowiedniej jego części, która ma podlegać modyfikacji), w sposób umożliwiający przywrócenie poprzedniego stanu. 14. Za sporządzanie kopii bezpieczeństwa informacji znajdujących się na serwerach odpowiada systemu informatycznego. Wykonywanie kopii bezpieczeństwa znajdujących się na stacjach roboczych należy do obowiązków użytkowników. Ze stacji roboczych dane powinny być kopiowane na serwer, w wyznaczone przez systemu informatycznego miejsce. 15. Bezpieczeństwo na styku systemu informatycznego IFiS PAN z siecią internet zapewniają systemy oprogramowania firewall. Użytkownikom zabrania się dokonywania jakichkolwiek połączeń do internetu z pominięciem oprogramowania firewall. 16. Użytkownikom zabrania się pozostawienia sprzętu komputerowego i oprogramowania niezabezpieczonego przed dostępem osób nieupoważnionych lub bez nadzoru osoby odpowiedzialnej za jego użytkowanie. 17. Użytkownikom zabrania się pozostawiania dokumentów z danymi podczas nieobecności przy stanowisku pracy i po zakończeniu pracy, obowiązuje zasada tzw. czystego biurka. 18. Zabrania się dopuszczania do swego stanowiska pracy innych osób, chyba że jest to usprawiedliwione i konieczne w danej chwili. Dopuszczenie osoby trzeciej do swego stanowiska pracy nie powoduje zdjęcia odpowiedzialności za zgodne z prawem i PB, w tym osobowych, toteż nakazuje się, aby osoba, która dopuszcza osobę trzecią do swego stanowiska pracy, zapewniła przestrzeganie prawa i PB w zakresie przetwarzania w/w. W takim 13

przypadku osoba dopuszczająca do swego stanowiska pracy inną osobę dokonuje wylogowania z systemu informatycznego, jeśli była do niego zalogowana w sposób umożliwiający przetwarzanie. Gdy istnieje taka potrzeba, nowa osoba dokonuje logowania na danej stacji wykorzystując własny login i hasło (tak by wszelkie operacje na przez nią dokonane, w szczególności na osobowych, były przypisywane jednoznacznie tej osobie). 19. Wyrejestrowania użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem uprawnień do przetwarzania (w tym osobowych), dokonuje systemu informatycznego niezwłocznie po wygaśnięciu upoważnienia do przetwarzania osobowych w systemie informatycznym IFIS PAN. 20. systemu informatycznego dokonuje wyrejestrowania użytkownika z systemu informatycznego IFiS PAN, skutkującego brakiem uprawnień do przetwarzania (w tym osobowych) w uzasadnionym przypadku, w szczególności w przypadku podejrzenia naruszenia zasad ochrony, w tym osobowych. Wyrejestrowanie użytkownika uniemożliwia takiemu użytkownikowi dokonywanie jakichkolwiek operacji na, w tym uniemożliwia dostęp do, ani systemu informatycznego IFiS PAN. Wyrejestrowanie użytkownika może mieć charakter czasowy lub trwały. 21. systemu informatycznego odnotowuje dokładną datę wyrejestrowania użytkownika w prowadzonym rejestrze. 22. Użytkownik w każdym przypadku rozpoczęcia pracy z dostępem do systemu informatycznego IFIS PAN lub w systemie informatycznym IFIS PAN dokonuje go poprzez: odpowiednie przygotowanie stanowiska pracy, włączenie stacji roboczej (ewentualnie serwera), wprowadzenie swojego loginu i hasła. 23. Zakończenie pracy w systemie odbywa się poprzez: zamknięcie wszystkich aplikacji, odłączenie od zasobów systemowych, zamknięcie systemu operacyjnego, wyłączenie stacji roboczej. 24. Zabrania się użytkownikom w systemie informatycznym IFIS PAN: udostępniania stacji roboczej osobom niezarejestrowanym w systemie zgodnie z niniejszą Instrukcją; udostępnienie o ile jest możliwe i konieczne może się odbyć tylko w sposób wykluczający możliwość dostępu do w zakresie których dana osoba nie ma upoważnienia do przetwarzania i w sposób umożliwiający identyfikację dostępu i czynności takiej osoby do, do których dostęp takiej osoby jest uprawniony, udostępniania stacji roboczej do konserwacji lub naprawy bez zgody a systemu informatycznego, używania oprogramowania nielicencjonowanego. 14

25. Każdy przypadek naruszenia ochrony, a w szczególności: naruszenia bezpieczeństwa systemu informatycznego, stwierdzenia objawów (stanu urządzeń, sposobu działania programu / aplikacji / modułów / jakichkolwiek elementów systemu informatycznego IFIS PAN lub jakości komunikacji w sieci IFIS PAN), które mogą wskazywać na naruszenie bezpieczeństwa, w tym osobowych, wystąpienia prawdopodobieństwa naruszenia ochrony, w tym osobowych podlega natychmiastowemu zgłoszeniu do a systemu informatycznego i ABI. 26. Do ABI zgłasza się w szczególności przypadki: użytkowania stacji roboczej przez osobę niebędącą użytkownikiem systemu, logowania się lub usiłowania logowania do systemu informatycznego IFiS PAN przez osobę nieupoważnioną, usuwania, dodawania lub modyfikowania bez upoważnienia lub z przekroczeniem jego zakresu, przebywania osób nieupoważnionych w obszarze, w którym przetwarzane są dane, w trakcie nieobecności użytkownika zatrudnionego przy przetwarzaniu tych, bez zgody AD lub ABI, pozostawiania otwartych, bez nadzoru pomieszczeń, w których przetwarzane są dane, przetwarzania w innym celu, niż jest to dopuszczone zgodnie z prawem i PB (w tym niniejszą Instrukcją), udostępniania osobom nieuprawnionym serwera, stacji roboczej (w tym komputera przenośnego), służących do przetwarzania, w tym osobowych, niezabezpieczenia hasłem dostępu do komputera służącego do przetwarzania, w tym osobowych, zgodnie z instrukcją a systemu informatycznego, przechowywania kopii awaryjnych/zapasowych w tych samych pomieszczeniach, w których przechowywane są zbiory osobowych eksploatowane na bieżąco, przechowywania nośników informacji oraz wydruków z danymi osobowymi, nieprzeznaczonymi do udostępniania, w warunkach umożliwiających do nich dostęp osobom nieuprawnionym. 27. Obowiązek dokonania zgłoszenia do ABI, o którym mowa w punktach poprzedzających spoczywa na każdym użytkowniku dopuszczonym do przetwarzania w IFIS PAN, który powziął wiadomość o naruszeniu ochrony osobowych lub prawdopodobieństwie naruszenia tej ochrony. ABI ma prawo w takim przypadku nakazać osobie zgłaszającej wykonanie niezbędnych czynności zaradczych, w szczególności czynności uzasadnionych i koniecznych dla przywrócenia ochrony. 15

28. W przypadku naruszenia bezpieczeństwa systemu informatycznego, obowiązkiem osoby upoważnionej przez ABI jest natychmiastowe podjęcie adekwatnych kroków zaradczych, w tym przykładowo wstrzymanie udostępniania zasobów dla użytkowników lub odłączenie serwerów od odpowiednich zasobów, w tym sieci internet oraz powiadomienie a systemu informatycznego i ABI. 29. Pod kontrolą ABI użytkownicy z pomocą a systemu informatycznego ustalają przyczyny naruszenia bezpieczeństwa systemu informatycznego oraz inne przyczyny naruszenia ochrony przetwarzanych przez IFIS PAN. 30. Normalna zgodna z przeznaczeniem eksploatacja systemu informatycznego IFiS PAN przez użytkowników dopuszczonych do przetwarzania może nastąpić dopiero po ustaleniu i usunięciu przyczyny naruszenia bezpieczeństwa systemu informatycznego. Wyjątkowo systemu informatycznego lub administrator mogą zadecydować inaczej, w szczególności, gdy naruszenia zasad ochrony systemu (lub prawdopodobieństwo wystąpienia takiego naruszenia) dotyczą jedynie określonych elementów systemu. 31. Kopie awaryjne tworzy się zgodnie z wewnętrznymi procedurami uzgodnionymi przez Dyrektorów Kierowników Jednostek Organizacyjnych IFiS PAN lub Kierowników Projektów ulokowanych w IFiS PAN. 32. Każdą kopię tworzy się na oddzielnym nośniku informatycznym, chyba że kopia jest tworzona na specjalnie dedykowanej w tym celu przestrzeni na dysku serwera. 33. Zabrania się przechowywania kopii awaryjnych w pomieszczeniach przeznaczonych do przechowywania pozostających w bieżącym użytkowaniu. Wyjątkowo jest to dopuszczalne, o ile kopia awaryjna dotyczy pozostających w bieżącym użytkowaniu zlokalizowanych w innym pomieszczeniu. 34. systemu informatycznego przegląda okresowo kopie awaryjne i oceniają ich przydatność do odtworzenia zasobów systemu w przypadku jego awarii. systemu informatycznego może nakazać określonym użytkownikom mającym dostęp do kopii awaryjnych stosowanie określonej zgodnej z niniejszą Instrukcją procedury zniszczenia, w szczególności, gdy dana baza jest kopiowana kolejny raz (np. w przypadku wykonania kolejnej kopii, przykładowo czwarta wstecz kopia określonych podlegać może zniszczeniu). 35. Stwierdzenie utraty przydatności kopii awaryjnych zobowiązuje a systemu informatycznego do ich zniszczenia, przy zastosowaniu oprogramowania umożliwiającego trwałe usunięcie. 36. Sprawdzanie obecności wirusów komputerowych w systemie oraz ich usuwanie odbywa się przy wykorzystaniu licencjonowanego oprogramowania. 37. Oprogramowanie antywirusowe sprawuje ciągły nadzór (stała praca w tle) nad pracą systemu i jego zasobami oraz serwerami i stacjami roboczymi. Niezależnie od ciągłego nadzoru systemu informatycznego nie rzadziej niż raz na tydzień przeprowadzą pełną kontrolę obecności wirusów komputerowych w systemie informatycznym IFiS PAN, w tym również w serwerach i stacjach roboczych, na których oprogramowanie antywirusowe jest zaimplementowane. ABI może zlecić użytkownikom wykonanie kontroli obecności wirusów komputerowych na ich stacjach roboczych i zlecić 16

przekazanie informacji z ich przebiegu do systemu informatycznego. 38. Do obowiązków a systemu informatycznego należy aktualizacja oprogramowania służącego do sprawdzania w systemie obecności wirusów komputerowych. 39. System i urządzenia informatyczne służące do przetwarzania, zasilane energią elektryczną, zabezpiecza się przed utratą osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 40. Minimalne dopuszczalne w danej chwili zabezpieczenie systemu informatycznego i urządzeń informatycznych, o którym mowa w punkcie poprzedzającym, polega na wyposażeniu serwerów oraz stacji roboczych w zasilacze awaryjne (UPS). Dane, w tym dane osobowe, przetwarzane na stacjach roboczych są kopią przechowywanych w odpowiednio chronionych miejscach na serwerach, zabezpieczonych za pomocą zasilaczy awaryjnych UPS. Dane, w tym dane osobowe, osobowe przetwarzane na stacjach roboczych niebędących kopią pobranych z serwera, są zabezpieczone zasilaczem awaryjnym UPS. 41. Urządzenia informatyczne służące do przetwarzania, w tym osobowych można przekazać: do naprawy po uprzednim uzyskaniu zgody a systemu informatycznego, do likwidacji, po uprzednim uzyskaniu zgody a systemu informatycznego i ABI, innemu podmiotowi nieuprawnionemu do otrzymania przetwarzanych w IFiS PAN, po uzyskaniu zgody AD lub ABI. 42. Urządzenia, o których mowa w punkcie poprzedzającym, przed ich przekazaniem do naprawy lub podmiotowi nieuprawnionemu do otrzymania pozbawia się zapisu osobowych. Jeżeli nie jest to możliwe, urządzenie może być naprawiane wyłącznie pod nadzorem a systemu informatycznego lub osoby upoważnionej przez ABI, która odpowiada za zapewnienie ochrony tym danym. 43. Jeżeli nie jest możliwe pozbawienie urządzenia przekazywanego do likwidacji zapisu osobowych, urządzenie - przed przekazaniem do likwidacji - a systemu informatycznego uszkadza się w sposób trwały, uniemożliwiający odczytanie tych. 44. Przeglądu i konserwacji systemu informatycznego dokonuje systemu informatycznego regularnie, stosownie do potrzeb. 45. ABI może zlecić wykonanie przeglądu systemu informatycznego i konserwacji owi systemu informatycznego lub osobie upoważnionej przez ABI doraźnie, stosownie do potrzeb. 46. Przeglądu i sprawdzenia poprawności zapisu zbiorów systemu dokonuje nie rzadziej niż raz w miesiącu. 47. ABI może zlecić wykonanie sprawdzenia poprawności zapisu zbiorów owi systemu informatycznego lub osobie upoważnionej przez ABI doraźnie, stosownie do potrzeb. 17

48. W części systemu informatycznego IFiS PAN, w którym zastosowano rozwiązania sieciowe udostępnienia zasobów stosowane są dedykowane przyzwolenia dostępu (zgodne z zakresami upoważnień użytkowników). systemu informatycznego nadaje dedykowane przyzwolenia wykorzystując unikalne identyfikatory (loginy). Użytkownik uzyskuje dostęp do zasobów po wprowadzeniu i identyfikatora (login) i znanego użytkownikowi hasła. 49. Przesyłanie osobowych w systemie informatycznym wewnętrznym (niedostępnym dla ogółu) musi być dokonywane w sposób odpowiednio chroniony i dostępny jedynie dla uprawnionych użytkowników. 50. W sytuacji, gdy dostępne narzędzia informatyczne nie będą wystarczające do działania w komunikacji wewnętrznej, systemu informatycznego i po konsultacji z ABI, wyznacza sposób postępowania, mając w szczególności na uwadze ochronę, w tym osobowych. 51. Nośniki informatyczne zawierające dane osobowe powinny być opisane w sposób czytelny i zrozumiały dla użytkownika, a zarazem nie powinny ułatwiać rozpoznania zawartości przez osoby nieupoważnione. 52. Nośniki informatyczne przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do określonego sposobu przetwarzania. 53. W pomieszczeniach, gdzie nie jest możliwe ograniczenie dostępu osób postronnych, monitory stanowisk dostępu do osobowych ustawia się w taki sposób, aby uniemożliwić tym osobom wgląd w dane. 54. Osoba użytkująca przenośny komputer, służący do przetwarzania osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera poza obszarem ochrony w celu zapobieżenia dostępowi do tych osobie niepowołanej. W przypadku przechowywania komputera poza obszarem ochrony w żadnym razie dane znajdujące się w nim nie mogą być dostępne dla innego użytkownika takiego komputera. Należy dane takie zabezpieczyć na wypadek utraty komputera, w szczególności poprzez użycie narzędzi uniemożliwiających zapoznanie się z danymi. 55. Użytkownik sporządzający wydruki, które zawierają dane osobowe jest odpowiedzialny za zachowanie szczególnej ostrożności przy korzystaniu z nich, a zwłaszcza za zabezpieczenie ich przed dostępem osób nieposiadających imiennego upoważnienia oraz nieuprawnionych do wglądu (dostępu) na podstawie indywidualnego zakresu czynności. 56. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie. 57. System informatyczny IFiS PAN umożliwia odnotowanie i udostępnienie na piśmie, w zrozumiałej formie, treści o każdej osobie, której dane są przetwarzane w zbiorze, a w szczególności: daty pierwszego wprowadzenia tej osoby do systemu, przy czym odnotowanie następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia, identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim posiada wyłącznie jedna osoba (wówczas musi to być wyraźnie oznaczone) lub gdy wprowadzenia dokonuje przez internet osoba, której dane są przetwarzane (wówczas musi to być wyraźnie oznaczone), 18

przy czym odnotowanie tej informacji następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia, źródła pochodzenia, o ile są zbierane nie od osoby, której dotyczą, informacji o odbiorcach w rozumieniu art. 7 pkt. 6 u.o.d.o., którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania zawartych w zbiorach jawnych, żądania, o którym mowa w art. 32 ust. 1 pkt. 7 u.o.d.o., oraz sprzeciwu określonego w art. 32 ust. 1 pkt. 8. <do aktualizacji > Załącznik nr 7. Sposób postępowania ze zbiorami <do aktualizacji technicznej po kwerendzie > 19

Załącznik nr 8. Obieg osobowych w systemie tradycyjnym i ich zabezpieczanie W IFiS PAN są przetwarzane również dane w sposób tradycyjny. 1. Dokumenty zawierające dane osobowe należy przechowywać z należytą starannością. Dostęp do nich powinni mieć tylko pracownicy upoważnieni do przetwarzania osobowych. Osoby upoważnione do przetwarzania osobowych mają obowiązek: przetwarzać je zgodnie z przepisami, nie udostępniać ich oraz uniemożliwiać dostęp osobom nieupoważnionym, zabezpieczać je przed zniszczeniem. 2. Przepływ dokumentów zawierających dane osobowe między poszczególnymi działami: 1) Księgowość Kadry 2) Księgowość Sekretariat 3) Księgowość Dział Obsługi Badań 4) Księgowość ORBS 5) Księgowość Biblioteka 6) Księgowość Wydawnictwo 7) Księgowość Rada Naukowa 8) Księgowość SNS 9) Księgowość Archiwum 10) Kadry System POLON 11) Kadry Sekretariat 12) Kadry Komisja Socjalna 13) Kadry Archiwum 14) Kadry Dział Obsługi Badań 15) Kadry SNS 16) System POLON Rada Naukowa 17) System POLON SNS 18) Sekretariat Rada Naukowa 19) Sekretariat Wydawnictwo 20) Dział Obsługi Badań Archiwum 21) SNS Biblioteka 3. Należy stosować następujące kategorie środków zabezpieczeń osobowych przy przetwarzaniu w dokumentacji papierowej: 1) zabezpieczenia fizyczne: 20

całodobowa ochrona budynku IFIS PAN; pomieszczenia zamykane na klucz; szafy z zamkami. 2) zabezpieczenia procesów przetwarzania : przetwarzanie osobowych w wyznaczonych pomieszczeniach, przetwarzanie osobowych przez wyznaczone do tego celu osoby, dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób uniemożliwiający ich odczytanie. 4. Należy stosować politykę czystego biurka dla dokumentów papierowych i nośników elektronicznych. W przypadku dłuższej nieobecności w miejscu pracy lub po jej zakończeniu osoba pracująca z danymi osobowymi jest zobowiązana do schowania w bezpiecznym miejscu wszelkich dokumentów i nośników zawierających dane osobowe. 5. W pomieszczeniach, w których są przetwarzane dane osobowe nie wolno zostawiać kluczy w zamkach od strony korytarza, nie wolno również zostawiać osób nieupoważnionych do przetwarzania osobowych samych w takim pomieszczeniu. 21

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres