Załącznik nr 2 do zarządzenia nr 166/2008 Burmistrza Miasta Ustroń z dnia 3 września 2008 r. INSTRUKCJA zarządzania systemami informatycznymi, słuŝącymi do przetwarzania danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne 1 Niniejsza Instrukcja określająca sposób zarządzania systemami informatycznymi, słuŝącymi do przetwarzania danych osobowych w Urzędzie Miasta Ustroń, zwana dalej Instrukcją, jest dokumentem wewnętrznym wydanym przez Burmistrza Miasta Ustroń i ma zastosowanie do przetwarzania danych osobowych w systemach informatycznych Urzędu Miasta Ustroń, w celu bezpiecznego ich wykorzystywania. 2 1. Instrukcja określa ogólne zasady i tryb postępowania Administratora Danych, osób wyznaczonych przez niego oraz wszystkich uŝytkowników, przetwarzających dane osobowych w systemach informatycznych Urzędu Miasta Ustroń. 2. Instrukcja została opracowana zgodnie z wymogami 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). 3 Określenia i skróty uŝyte w Instrukcji oznaczają: 1. Administrator - Administrator Danych Osobowych tj. Burmistrz Miasta Ustroń, 2. ABI - Administrator Bezpieczeństwa Informacji tj. osoba wyznaczona przez Administratora lub osobę upowaŝnioną przez niego, odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach oraz odpowiedzialna za sprawność, konserwację oraz wdraŝanie technicznych zabezpieczeń systemów informatycznych, w których przetwarzane są dane osobowe, 3. UŜytkownik - Osoba upowaŝniona lub uŝytkownik systemu tj. osoba posiadająca upowaŝnienie wydane przez Administratora lub osobę wyznaczoną przez niego i 1
dopuszczona, w zakresie w nim wskazanym, jako uŝytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej. 4. PrzełoŜony - PrzełoŜony uŝytkownika tj. naczelnik wydziału komórki organizacyjnej Urzędu Miasta Ustroń. 5. Osoba trzecia tj. kaŝda osoba nieupowaŝniona i przez to nieuprawniona do dostępu do danych osobowych zbiorów będących w posiadaniu Administratora. Osobą trzecią jest równieŝ osoba posiadająca upowaŝnienie wydane przez Administratora podejmująca czynności w zakresie przekraczającym ramy jego upowaŝnienia. 6. System - System informatyczny tj. zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 7. Zabezpieczenie systemu informatycznego wdroŝenie przez Administratora stosownych środków organizacyjnych i technicznych w celu zabezpieczenia zasobów oraz ochrony danych przed dostępem, modyfikacją ujawnieniem, pozyskaniem lub zniszczeniem przez osobę trzecią. 8. Przetwarzanie danych osobowych wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i ich usuwanie. 9. Identyfikator uŝytkownika (login lub username) ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upowaŝnioną do przetwarzania danych osobowych w systemie informatycznym. 10. Hasło ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora uŝytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. 11. Uwierzytelnianie rozumie się przez działanie, którego celem jest weryfikacja deklarowanej toŝsamości podmiotu. 4 1. ABI moŝe zlecić innej osobie, zatrudnionej u Administratora wykonywanie określonych czynności, leŝących w zakresie jego obowiązków. 2. Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1 naleŝy do ABI. 3. Osoba, o której mowa w ust. 1 niezwłocznie informuje ABI o podjętych przez siebie czynnościach. II. Procedury przyznawania uŝytkownikowi uprawnień do przetwarzania danych. 5 1. Do obsługi systemu informatycznego słuŝącego do przetwarzania danych osobowych, moŝe być dopuszczona wyłącznie osoba posiadająca upowaŝnienie do przetwarzania danych osobowych, wydane przez Administratora. 2. Rejestracji i wyrejestrowania uŝytkowników z systemu dokonuje ABI na podstawie informacji uzyskanej od przełoŝonego uŝytkownika, wprowadzając dane do Ewidencji osób upowaŝnionych do przetwarzania danych osobowych załącznik nr 6 szablon. 3. Ewidencja zawierać powinna: a) imię i nazwisko uŝytkownika, nazwa komórki organizacyjnej, 2
b) identyfikator, jeŝeli dane przetwarzane są w systemie informatycznym c) datę nadania i ustania oraz zakres upowaŝnienia do przetwarzania danych osobowych 4. Jakakolwiek zmiana informacji wyszczególnionych w ewidencji podlega natychmiastowemu odnotowaniu. 6 1. Zarejestrowanie uŝytkownika w systemie wymaga spełnienia następujących warunków: a) złoŝenie wniosku przez przełoŝonego do osoby upowaŝnionej przez Administratora o udzielenie wskazanej osobie dostępu do przetwarzania danych osobowych, według wzoru zawartego w załączniku nr 1 do Instrukcji; b) podpisanie przez osobę, ubiegającą się o dostęp, oświadczenia dotyczącego zapoznania się z przepisami o ochronie danych osobowych i zobowiązania do zachowania w tajemnicy informacji związanych z ich przetwarzaniem, według wzoru zawartego w załączniku nr 2 do Instrukcji; c) wydanie przez Administratora lub osobę upowaŝnioną przez niego zaświadczenia, upowaŝniającego uŝytkownika do przetwarzania danych osobowych, według wzorów zawartych w załączniku nr 3 do Instrukcji. d) jeŝeli przetwarzanie danych osobowych odbywa się w systemie informatycznym, Administrator lub osoba przez niego upowaŝniona występuje do ABI: - o załoŝenie konta w Systemie Informatycznym UM Ustroń, jeŝeli pracownik jeszcze go nie posiada, - o przyznanie uprawnień w systemach informatycznych przetwarzających dane osobowe w UM Ustroń 2. Z chwilą zarejestrowania w systemie uŝytkownik jest informowany przez ABI o ustalonym dla niego identyfikatorze oraz początkowym haśle dostępu, według wzoru zawartego w załączniku nr 4 do instrukcji. 3. Dokumenty, o których mowa w ust. 1 podlegają przechowaniu: a) wniosek przełoŝonego o udzielenie dostępu osobie w dokumentacji adresata, b) oryginał oświadczenia osoby ubiegającej się o dostęp w komórce kadrowej, a kopia oświadczenia w dokumentacji ABI, c) oryginał zaświadczenia o dostępie otrzymuje osoba upowaŝniona, a kopie trafiają do akt personalnych pracownika i dokumentacji ABI, d) decyzję o nadaniu identyfikatora w oryginale otrzymuje osoba upowaŝniona, a kopie trafiają do akt personalnych pracownika i dokumentacji ABI. 7 1. UŜytkownika wyrejestrowuje się z systemu na wniosek przełoŝonego - po utracie uprawnień dostępu do przetwarzania danych, co moŝe mieć miejsce w sytuacjach: a) ustania zatrudnienia uŝytkownika u Administratora; b) zmiany zakresu obowiązków uŝytkownika. 2. Rozwiązanie umowy o pracę powoduje utratę dostępu do przetwarzania danych i natychmiastowe wyrejestrowanie uŝytkownika z systemu, wykreślenie identyfikatora z ewidencji oraz uniewaŝnienie jego hasła i identyfikatora. 3. PrzełoŜeni uŝytkowników zobowiązani są do przekazywania pisemnie informacji ABI w przypadku zaistnienia okoliczności, o których mowa w ust. 1 i 2. 3
III. Stosowane metody i środki uwierzytelnienia 8 Systemy, w których przetwarza się dane osobowe w zbiorach Urzędu Miasta Ustroń muszą być wyposaŝone w mechanizmy uwierzytelnienia uŝytkownika oraz kontroli dostępu do nich osób. 9 1. Autoryzacja uŝytkownika w systemie informatycznym Urzędu następuje poprzez podanie identyfikatora uŝytkownika i hasła. 2. KaŜdy uŝytkownik systemu informatycznego posiada swój unikalny identyfikator. 3. UŜytkownicy nie mogą uŝywać tych samych identyfikatorów, ani wymieniać się identyfikatorami. 4. Przy tworzeniu identyfikatora uŝytkownika ABI ustawia losowe hasło i przekazuje to hasło w formie pisemnej uŝytkownikowi. 5. UŜytkownik jest zobowiązany zmienić hasło, o ile system na to pozwala, przy pierwszym dostępie do systemu. 6. KaŜdy uŝytkownik zarządza swoimi hasłami dla wszystkich identyfikatorów, których uŝywa. 7. Hasło uŝytkownika powinno mieć minimum 8 znaków (w tym małe i duŝe litery oraz cyfry lub znaki specjalne) i być zmieniane, co 30 dni. 8. Hasło nie moŝe zawierać Ŝadnych informacji, które moŝna kojarzyć z uŝytkownikiem komputera np. osobiste dane uŝytkownika, tj. nazwisko, inicjały, imiona, marka lub nr rejestracyjny samochodu itp. 9. Hasło uŝytkownika jest jego własnością i zna je wyłącznie dany uŝytkownik. Zabronione jest przekazywanie hasła innym osobom. 10. Hasła administratora systemu informatycznego są zdeponowane w zaklejonej kopercie w sejfie Administratora 11. Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie jawnej. 12. Niedopuszczalne jest podglądanie haseł wprowadzanych do systemu przez innych uŝytkowników. JeŜeli uŝytkownik w pobliŝu zaczyna wprowadzać hasło naleŝy odwrócić wzrok. 13. Hasło nie moŝe być zapisywane w miejscu dostępnym dla osób nieuprawnionych. UŜytkownik nie moŝe udostępnić swojego identyfikatora oraz hasła jak równieŝ dostępu do stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym ani Ŝadnej osobie postronnej. 14. Hasło uŝytkownika jest składowane w systemie przetwarzania w bezpieczny sposób. 15. Raz uŝyty identyfikator nie moŝe być przydzielony innemu uŝytkownikowi. 10 1. UŜytkownik ponosi odpowiedzialność za czynności wykonywane w systemie przy uŝyciu identyfikatora i hasła, którymi się posługuje lub posługiwał. 4
2. UŜytkownik zobowiązany jest do utrzymania haseł dostępu w tajemnicy, a w szczególności do dołoŝenia starań, w celu uniemoŝliwienia zapoznania się z nimi osób trzecich, nawet po ustaniu ich waŝności. IV. Procedury rozpoczęcia i zakończenia pracy w systemie. 11 1. UŜytkownik rozpoczynający pracę zobowiązany jest przestrzegać procedur, które mają na celu sprawdzenie zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego, a w szczególności: a) przed wejściem do pomieszczenia sprawdzić czy na drzwiach i zamkach nie ma widocznych śladów prób niepowołanego ich otwierania; b) sprawdzić stan okien i krat oraz ocenić czy w pomieszczeniu nie ma znaków wskazujących na pobyt w nim osób nieuprawnionych; c) sprawdzić stan sprzętu informatycznego oraz zamknięcie szaf i biurek; d) po włączeniu komputera ocenić jakość jego pracy i stwierdzić zmiany. 2. Rozpoczęcie pracy uŝytkownika w systemie informatycznym następuje po poprawnym uwierzytelnieniu (zalogowaniu się do systemu), podaniu swojego identyfikatora i hasła. Po zalogowaniu się naleŝy ocenić pracę systemu i stan zbioru danych. 3. UŜytkownik w czasie pracy powinien stosować przedsięwzięcia zapewniające bezpieczeństwo przetwarzania danych osobowych w systemie: a) ustawić ekrany monitorów w pomieszczeniach tak, aby uniemoŝliwiać podgląd osób nieuprawnionych, b) przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby upowaŝnionej do ich przetwarzania, c) system po upływie 10 minut braku aktywności ze strony uŝytkownika automatycznie blokuje dostęp do konsoli. Ponowne jego odblokowanie moŝliwe jest po podaniu hasła. W przypadku braku moŝliwości realizacji ww. funkcjonalności monitory ekranowe stanowisk, na których przetwarzane są dane osobowe po 10 minutach nieaktywności uŝytkownika, powinny przejść automatycznie w stan nieaktywny, a powrót do stanu aktywności musi wymagać podania hasła. d) uŝytkownik ma obowiązek wylogowania się z lub zablokowania systemu w przypadku dłuŝszej, zaplanowanej nieobecności na stanowisku pracy lub w przypadku zakończenia pracy. Stanowisko komputerowe nie moŝe pozostać z uruchomionym i dostępnym systemem bez nadzoru pracującego na nim pracownika. 4. Po zakończeniu pracy uŝytkownik powinien przestrzegać następujących zasad: a) zamknąć poprawnie aplikację uŝytkową, wylogować się z systemu i zaczekać na jego wyłączenie się, b) sprawdzić czy nie zostały pozostawione bez nadzoru nośniki informacji. Wydruki zawierające dane osobowe naleŝy przechowywać w miejscu uniemoŝliwiającym ich odczytanie przez osoby postronne. Wydruki nieprzydatne naleŝy zniszczyć w stopniu uniemoŝliwiającym ich odczytanie (niszczarka dokumentów). c) upewnić się, Ŝe szafy i biurka z dokumentacją są zamknięte; d) wyłączyć odbiorniki energii elektrycznej, zamknąć pomieszczenie i klucze oddać w wyznaczone miejsce. 5. Po godzinach pracy Administrator lub osoba upowaŝniona przez niego zapewnia monitorowanie lub fizyczną ochronę pomieszczeń, w których przetwarzane są dane osobowe. 5
12 Pomieszczenia, w których przetwarzane są dane osobowe w zbiorach zarejestrowanych u Generalnego Inspektora Ochrony Danych Osobowych oraz zbiorach danych personalnych i finansowych - pracowników zatrudnionych przez Administratora, powinny być zabezpieczone. 13 1. W przypadku stwierdzenia przez uŝytkownika prób niepowołanego naruszenia zabezpieczenia fizycznego pomieszczenia, zmian w systemie bezpieczeństwa systemu lub zauwaŝenia, Ŝe stan urządzeń, zawartość zbiorów danych, ujawnione metody pracy lub sposób działania programu mogą wskazywać na naruszenie danych osobowych postępuje zgodnie z Instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń, która stanowi załącznik nr 5 do niniejszej instrukcji. 2. Rozpoczynając pracę uŝytkownik powinien zwrócić szczególną uwagę na okoliczności, o których mowa w ust. 1 i w przypadku ich zaistnienia natychmiast informować ABI i przełoŝonego. V. Procedury tworzenia kopii zapasowych i ich przechowywania 14 1. Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą: a) urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej, b) sporządzania kopii zapasowych zbiorów danych (kopie pełne). 2. Kopie awaryjne tworzy i przechowuje ABI lub osoba przez niego upowaŝniona 3. Pełne kopie zapasowe zbiorów tworzone są raz na tydzień, kopie przyrostowe codziennie. 4. Kopie wykonywane są na taśmę lub płytę CD, DVD. 5. W szczególnych przypadkach przed aktualizacją lub zmianą w systemie naleŝy bezwarunkowo wykonać pełną kopię zapasową systemu. 6. Kopie awaryjne naleŝy tworzyć na odpowiedniej jakości nośnikach informacji, które naleŝy szczegółowo opisać i przechowywać zgodnie z przepisami. 15 1. Kopiowanie danych osobowych na nośniki informacji oraz robienie wydruków jest zabronione chyba, Ŝe istnieje konieczność ich sporządzania, która wynika z nałoŝonych na uŝytkownika obowiązków i dozwolona jest przepisami prawa. 6
2. Wykorzystywanie nośników informacji lub wydruków w innym celu niŝ wskazany w ust. 1 jest zabronione. 16 1. Czas przechowywania kopii awaryjnych, jeŝeli nie stanowią inaczej przepisy prawa, naleŝy ograniczyć do: a) codziennych 1 tydzień; b) tygodniowych 1 miesiąc; c) miesięcznych 1 rok. 2. Kopie awaryjne naleŝy przechowywać w innych pomieszczeniach niŝ zbiory danych osobowych. 3. Dostęp do nośników z kopiami zapasowymi systemu oraz kopiami danych osobowych, ma wyłącznie ABI oraz administrator danego systemu informatycznego, którego kopie zawierają konkretne nośniki. 3. Kopie awaryjne przechowuje uŝytkownik w miejscach wskazanych przez przełoŝonego, zapewniających im odpowiednie warunki bezpieczeństwa. Kopie przechowuje się w sposób uniemoŝliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie. 17 1. ABI, po upływie roku, sprawdza kopie awaryjne i określa ich przydatność do wykorzystania w wypadku awarii systemu. 2. Zdezaktualizowane i uszkodzone kopie awaryjne naleŝy mechanicznie niszczyć w sposób uniemoŝliwiający ich odczytanie i odzyskanie danych. 3. Nie wolno sporządzać wydruków z kopii awaryjnych i innych nośników informacji, które podlegają zniszczeniu. VI. Ochrona systemu informatycznego przed wirusami komputerowymi. 18 1. Ruch w sieci komputerowej Urzędu jest zabezpieczony za pomocą zapory sieciowej i routera. 2. Na wszystkich stanowiskach komputerowych w Urzędzie jest zainstalowany program antywirusowy. 3. Aktualizacja baz danych programu antywirusowego wykonywana jest codziennie poprzez serwer programu antywirusowego, a z niego rozsyłane bazy są na pozostałe komputery. 4. Funkcjonowanie oprogramowania antywirusowego nadzorowane jest centralnie poprzez oprogramowanie konsoli zarządzającej serwera. 5. Przy kaŝdym włączeniu komputera program antywirusowy sprawdza krytyczne obszary systemu; pełne skanowanie zasobów komputera następuje raz w tygodniu. 6. Program antywirusowy jest wyposaŝony w straŝnika, który sprawdza przed otwarciem kaŝdy pik na obecność szkodliwego oprogramowania. 7. UŜytkownicy zostali przeszkoleni z zasad bezpieczeństwa danych, a w szczególności: 7
a) z zasad bezpiecznej pracy pozwalających unikać szkodliwego oprogramowania b) zasad postępowania w przypadku wykrycia, lub podejrzenia działania złośliwego oprogramowania. 8. Zabrania się uŝytkownikom komputerów, wyłączania, blokowania odinstalowywania programów zabezpieczających komputer (skaner antywirusowy, firewall) przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. 9. Przy korzystaniu z poczty elektronicznej naleŝy zwrócić szczególną uwagę na otrzymywane załączniki dołączane do treści wiadomości. Zabrania się otwierania załączników i wiadomości poczty elektronicznej od niezaufanych nadawców. 10. Nadzór nad działaniem oprogramowania antywirusowego w Urzędzie przejmuje ABI lub osoba przez niego wyznaczona. VII. Przechowywanie nośników informacji, w tym kopii informatycznych i wydruków. 19 1. Nośniki informacji, w tym kopie informatyczne i wydruki komputerowe przechowuje się wyłącznie wówczas, gdy jest to konieczne i dozwolone przepisami prawa. 2. Nośniki informacji, w tym wydruki komputerowe przechowuje się w wyznaczonych pomieszczeniach w szafach i innych meblach biurowych, które posiadają odpowiednie zamknięcia, uniemoŝliwiające niepowołany dostęp do nich osób trzecich. 3. Pomieszczenia, o których mowa w ust. 2 winny spełniać określone warunki bezpieczeństwa, a w szczególności posiadać: a) wewnętrzne ściany, gwarantujące trwałe oddzielenie ich od innych pomieszczeń; b) pełne drzwi wejściowe, zaopatrzone, w co najmniej jeden zamek. 4. W razie uzasadnionej potrzeby ABI wprowadza dalej idące środki bezpieczeństwa dotyczące przechowywania nośników informacji w szafach i innych meblach biurowych, które winny być: a) zaopatrzone, w co najmniej jeden zamek patentowy lub szyfrowy; b) po zakończeniu pracy zamknięte. VIII. Przeglądy i konserwacje systemów oraz zbiorów danych osobowych. 20 1. Okresowe przeglądy i konserwacje sprzętu komputerowego, wynikające z eksploatacji, warunków zewnętrznych oraz waŝności systemu dla funkcjonowania Urzędu Miasta Ustroń, wykonuje ABI lub osoba upowaŝniona przez Administratora. 2. BieŜącą konserwację i naprawę sprzętu wykonuje osoba upowaŝniona przez Administratora 3. Urządzenia, dyski lub inne informatyczne nośniki informacji, przeznaczone do napraw w autoryzowanych firmach zewnętrznych, pozbawia się przed naprawą zapisu danych osobowych albo naprawia się je pod nadzorem ABI. 21 8
1. Urządzenia, dyski lub inne informatyczne nośniki informacji, zawierające zapis danych osobowych przeznaczone do likwidacji naleŝy pozbawić zapisu, a w przypadku, gdy nie jest to moŝliwe, uszkodzić mechanicznie w sposób uniemoŝliwiający ich odczytanie. 2. Urządzenia, dyski lub inne informatyczne nośniki informacji, zawierające zapis danych osobowych przeznaczone do przekazania innemu podmiotowi, który nie jest uprawniony do otrzymania takich danych, naleŝy wcześniej pozbawić zapisów danych - postępując zgodnie z ust. 3 21. IX. Postępowanie w zakresie komunikacji w sieci komputerowej. 22 1. Komunikacja w sieci komputerowej jest dozwolona tylko po autoryzacji polegającej na podaniu waŝnego identyfikatora i hasła. 2. Wprowadzanie do systemu informacji z zewnątrz jest dopuszczalne tylko przy stwierdzeniu legalności i wiarygodności źródeł informacji i przez uŝytkownika posiadającego uprawnienia, wynikające z zakresu jego obowiązków. 3. Uprawnienia, o których mowa w ust. 1 wydaje ABI na pisemny wniosek przełoŝonego uŝytkownika. 23 Pomieszczenie, w którym znajdują się serwery systemów, powinno być wydzielone wyłącznie dla potrzeb systemów informatycznych znajdować się na piętrze budynku, posiadać wentylację wymuszoną oraz spełniać warunki zawarte w 19 ust. 3 i 4. Dostęp do w/w pomieszczenia powinien mieć wyłącznie ABI oraz osoby upowaŝnione przez Burmistrza Miasta Ustroń. X. Postanowienia końcowe. 24 1. Instalację nowego oprogramowania systemowego oraz oprogramowania uŝytkowego, gwarantującego bezpieczeństwo przetwarzania danych osobowych wykonuje ABI lub osoba upowaŝniona przez Burmistrza Miast Ustroń. 2. ABI prowadzi Rejestr zbiorów danych osobowych przetwarzanych w systemach informatycznych. 3. ABI lub wyznaczona przez Administratora osoba realizuje Program szkolenia uŝytkowników systemów informatycznych, w których przetwarzane są dane osobowe. 4. ABI dokonuje sprawdzenia sprawności funkcjonowania zabezpieczeń systemów, w których przetwarzane są dane osobowe, nie rzadziej niŝ raz na rok. Z przeprowadzonych kontroli sporządza notatkę słuŝbową, którą przedkłada przełoŝonemu. 26 9
1. KaŜdy pracownik zatrudniony przy przetwarzaniu danych osobowych w systemie, zobowiązany jest zapoznać się z niniejszą Instrukcją i stosować jej przepisy na swoim stanowisku pracy. 2. NaduŜycie przez uŝytkownika postanowień niniejszej Instrukcji, moŝe stanowić podstawę do pociągnięcia go do odpowiedzialności przewidzianej właściwymi przepisami prawa. 27 1.Osobom korzystającym z systemu informatycznego Urzędu zabrania się: a) ujawniania identyfikatora i hasła współpracownikom i osobom z zewnątrz, b) pozostawiania haseł w miejscach widocznych dla innych osób, c) udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym, d) udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych w systemie, e) uŝywania oprogramowania w innym zakresie niŝ pozwala na to umowa licencyjna, f) przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne, g) kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza Urząd, h) samowolnego instalowania i uŝywania jakichkolwiek programów komputerowych w tym równieŝ programów do uŝytku prywatnego; programy komputerowe instalowane są przez ABI lub przez inną upowaŝnioną osobę, po uprzednim ich przetestowaniu i sprawdzeniu, i) uŝywania nośników danych udostępnionych przez osoby postronne, j) podłączania do sieci informatycznej Urzędu komputerów obcych, niebędących własnością Urzędu. 28 W sprawach nie uregulowanych niniejszą Instrukcją zastosowanie znajdują przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.) i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). 10