INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

(1)

INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Szkoła Podstawowa im. Prymasa Tysiąclecia

w Woli Zarczyckiej

(2)

Podstawa prawna:

1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

2. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy (Dz. U. z 1998 r.

Nr 21, poz. 94 z późn. zm.)

3. Rozporządzenie MPiPS z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. z 1996 r. Nr 62, poz. 286 z późn. zm.)

(3)

I USTALENIA WSTĘPNE

§ 1

1. Cele, dla których Szkoła Podstawowa w Woli Zarczyckiej zbiera dane osobowe to:

- przebieg zatrudnienia i wynagradzania w odniesieniu do pracowników i ich rodzin

- realizacja zadań dydaktyczno–wychowawczo-opiekuńczych w stosunku do uczniów i ich rodzin

- gromadzenie ofert pracy.

2. Każdy z pracowników i uczniów ma prawo do ochrony dotyczących go danych osobowych.

3. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym regulaminem.

4. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

5. Obowiązek informowania, a także uzyskania oświadczeń o zgodzie na przetwarzanie danych osobowych, traktowany jest łącznie w stosunku do grup, których dane Szkoła Podstawowa w Woli Zarczyckiej zbiera i przetwarza.

6. W przypadku pracowników obowiązek, o którym mowa w pkt 5 uważa się za spełniony po podpisaniu stosownego oświadczenia.

(4)

7. W przypadku uczniów i rodziców obowiązek, o którym mowa w pkt 5 uważa się za spełniony po zapisaniu dzieci przez rodziców (prawnych opiekunów) do szkoły.

§ 2

1. W Szkole Podstawowej w Woli Zarczyckiej tworzy się następujące zbiory danych osobowych:

Arkusze organizacji roku szkolnego Akta osobowe pracowników

Akta Zakładowego Funduszu Socjalnego Protokoły Rady Pedagogicznej

Arkusze hospitacji zajęć lekcyjnych Listy płac pracowników

Ewidencja zwolnień lekarskich pracowników

Ewidencja osób korzystających z księgozbioru bibliotecznego Księga ewidencji uczniów

Księga dzieci

Dzienniki lekcyjne i pozalekcyjne Rejestr pedagoga szkolnego

Arkusze ocen wszystkich uczniów wraz z opiniami poradni PPP Protokoły egzaminów klasyfikacyjnych i poprawkowych

Dokumentacja zdrowotna uczniów

Zwolnienia lekarskie uczniów z wychowania fizycznego Rejestr wypadków uczniów

Oferty pracy – CV

2. Dane są gromadzone i przechowywane w systemie ręcznym oraz są przetwarzane także za pomocą systemu komputerowego.

(5)

§ 3

1. Administratorem danych osobowych w Szkole Podstawowej w Woli Zarczyckiej jest dyrektor szkoły.

2. Dyrektor szkoły w zakresie ochrony danych osobowych oświadcza, że w szkole:

* podejmuje się działania dla ochrony praw związanych z bezpieczeństwem danych osobowych,

* podnosi się świadomość oraz kwalifikacje osób przetwarzających dane osobowe w zakresie problematyki bezpieczeństwa tych danych,

* ochrona danych osobowych należy do podstawowych obowiązków pracowniczych,

* obowiązek ochrony danych będzie egzekwowany od każdego pracownika, który w jakikolwiek sposób ma do nich dostęp.

§ 4

1. Dyrektor jest świadomy zagrożeń związanych z przetwarzaniem danych w szczególności wynikających z dynamicznego rozwoju metod i technik przetwarzania danych w systemach informatycznych oraz sieciach telekomunikacyjnych.

2. Dyrektor zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych.

3. Dyrektor szkoły deklaruje, że szkoła będzie doskonaliła i rozwijała możliwe środki ochrony danych osobowych w celu skutecznego zapobiegania zagrożeniom wykradania zasobów komputerowych:

(6)

a) związanych z: wirusami, spamami, stronami i komunikatorami internetowymi,

b) użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza szkołę,

c) możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,

d) możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane,

e) lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia,

f) brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy,

g) atakami z sieci uniemożliwiającymi przetwarzanie, h) kradzieżą sprzętu lub nośników z danymi,

i) przekazywaniem sprzętu z danymi do serwisu, j) innym możliwym zagrożeniom.

§ 5

1. Dane osobowe gromadzone są oraz przetwarzane z przestrzeganiem obowiązujących przepisów prawa.

(7)

2. Dane osobowe przetwarzane są w celu realizacji statutowych celów szkoły dla realizacji:

 zadań dydaktycznych, wychowawczych, opiekuńczych i organizacyjnych wynikających z ustawy z 7.09.1991 r. o systemie oświaty,

 polityki kadrowej oraz bieżącej obsługi stosunków pracy

 i zatrudnienia.

§ 6

Polityka bezpieczeństwa danych osobowych dotyczy danych gromadzonych i przetwarzanych w zbiorach:

* drukowanych znajdujących się w kartotekach, skorowidzach, księgach, we wszystkich zbiorach ewidencyjnych,

* w systemach informatycznych.

§ 7

1. Szkoła chroni wszystkie posiadane zasoby zgodnie z ww. przepisami prawa.

2. Pod szczególną ochroną są tzw. wrażliwe dane osobowe wymienione w art. 27 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych.

3. Przetwarzanie danych ujawniających:

* pochodzenie rasowe lub etniczne,

* poglądy polityczne, przekonania religijne lub filozoficzne,

* przynależność wyznaniową, partyjną lub związkową, jak również

* danych o stanie zdrowia,

(8)

* kodzie genetycznym, nałogach lub życiu seksualnym oraz

* danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sadowym lub administracyjnym dopuszczalne jest tylko w związku z realizacją celów statutowych szkoły i w granicach wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych.

§ 8

1. Szkoła stosuje środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczając dane przed:

* ich udostępnieniem lub zabraniem przez osobę nieuprawnioną,

* zmianą, utratą, uszkodzeniem lub zniszczeniem,

* przetwarzaniem z naruszeniem ustawy.

2. Szkoła unowocześnia oraz zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.

3. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem:

* Dane osobowe przetwarzane są z użyciem dedykowanych serwerów, komputerów stacjonarnych.

* Hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane w przypadku :

* Systemu SIO, HERMES – co 30 dni,

(9)

* OFFICE, PROGMAN, BIP – zmiana hasła dostępu do stanowiska komputerowego co 90 dni.

* Hasło oprócz znaków małych i dużych liter winno zawierać ciąg znaków alfanumerycznych i specjalnych;

* Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie jawnej;

* Hasło nie może zawierać żadnych informacji, które można kojarzyć z użytkownikiem komputera np. osobiste dane użytkownika, tj. nazwisko, inicjały, imiona, marka lub nr rejestracyjny samochodu itp.;

§ 9

1. Szkoła sprawuje kontrole i nadzór nad niszczeniem zbędnych danych osobowych, ich zbiorów.

2. Niszczenie tych danych osobowych, ich zbiorów polega na:

* trwałym, fizycznym ich zniszczeniu wraz z ich nośnikami w stopniu uniemożliwiającym ich odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,

* anonimizacji danych osobowych, zbiorów polegającej na pozbawieniu danych osobowych, ich zbiorów – cech umożliwiających identyfikację osób fizycznych, których dane dotyczą.

3. Naruszenie przez zatrudnione osoby w ramach stosunku pracy, upoważnione do dostępu i przetwarzania danych osobowych stosowanych procedur niszczenia zbędnych danych osobowych, ich zbiorów traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych ze wszystkimi konsekwencjami, włącznie z rozwiązaniem stosunku pracy.

4. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych, ich zbiorów może polegać na wprowadzeniu odpowiednich procedur niszczenia danych,

(10)

a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych.

§ 10

1. Szkoła prowadzi dokumentację określającą sposób przetwarzania danych oraz środki ochrony tych danych, którą jest niniejsza procedura.

2. Załącznikami do niniejszej procedury są:

* rejestr upoważnień dostępu do danych osobowych oraz ich przetwarzania ,

* upoważnienie dla pracownika do dostępu i przetwarzania danych,

* oświadczenie o zapoznaniu się pracownika z przepisami o ochronie danych,

* oświadczenie o wyrażeniu zgody na gromadzenie i przetwarzanie danych.

3. Zarządzenia Dyrektora w zakresie polityki bezpieczeństwa danych osobowych mogą dotyczyć:

a) instrukcji sposobu i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych,

b) instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych,

c) innych wytycznych i zasad dotyczących bezpieczeństwa danych i ich przetwarzania.

(11)

II. ZASADY UDOSTĘPNIANIA DANYCH OSOBOWYCH

§ 11

1. Szkoła udostępnia dane na miejscu wyłącznie osobom upoważnionym.

2. Upoważnienie może wynikać w szczególności z:

a) pisemnego zakresu czynność, obowiązków wykonywanych na danym stanowisku pracy,

b) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych.

3. Szkoła dopuszcza do przetwarzania danych w systemie informatycznym, tradycyjnym na mocy pisemnych upoważnień nadanych przez dyrektora lub inną osobę wskazaną przez dyrektora.

4. Upoważnienie wygasa w związku z ustaniem zatrudnienia lub w przypadku pozbawienia upoważnienia w związku z łamaniem ustawy o ochronie danych.

5. Szkoła zapewnia dostęp do przetwarzanych danych osobom, które powierzyły jej swoje dane.

§ 12

1. Osoby niezatrudnione przy przetwarzaniu danych osobowych określonego zasobu, w tym osoby, które dane udostępniły, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych mogą mieć do nich wgląd wyłącznie w obecności upoważnionego pracownika szkoły.

2. Zasada ta obowiązuje także w przypadku korzystania przez związki zawodowe z uprawnień przysługujących im na mocy odrębnych przepisów (k.p., ustawa o związkach zawodowych).

(12)

3. Dostęp do danych osobowych i ich przetwarzanie bez upoważnienia dyrektora lub osoby przez niego upoważnionej może mieć nastąpić wyłącznie w przypadku działań osób lub organów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonych zasobów.

4. Dostęp do danych osobowych mogą mieć: Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych, Zakład Ubezpieczeń Społecznych, Policja, organy skarbowe, Państwowa Inspekcja Pracy, Wojskowe Służby Informacyjne, Agencja Bezpieczeństwa Wewnętrznego, sądy powszechne i inne upoważnione przez przepisy prawa podmioty i organy, na mocy nadanych im uprawnień – po ich okazaniu.

(13)

III. PRACOWNICY PRZETWARZAJĄCY DANE

§ 13

1. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w szkole może odbywać się poprzez:

* szkolenia wewnętrzne na terenie szkoły,

* szkolenie zewnętrzne,

* instruktaż stanowiskowy,

* udostępnienie procedury i in. przepisów w tym zakresie.

2. Osoby upoważnione do przetwarzania danych osobowych są zapoznane z zakresem informacji objętych tajemnicą, a także o obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych w szkole.

§ 14

Naruszenie zasad bezpiecznego i zgodnego z prawem ich przetwarzania przez pracowników upoważnionych do dostępu, traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych ze wszystkimi konsekwencjami, włącznie z rozwiązaniem stosunku pracy.

§ 15

Osoby, których dane są przetwarzane w związku z realizacją celów statutowych szkoły, uzyskują informacje o przysługujących im prawach nadanych ustawą o ochronie danych osobowych.

(14)

IV. OBSZAR SZKOŁY, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE

§ 16

1. Szkoła wyznacza pomieszczenia i części pomieszczeń, tworzące obszar, w którym przetwarzane są dane.

2. Jeśli w pomieszczeniu, w którym przetwarzane są dane osobowe znajduje się część ogólnodostępna, część, w której są przetwarzane dane, powinna być wyraźnie oddzielona od ogólnodostępnej.

3. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe, może być poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych uniemożliwiające lub ograniczające dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu.

4. Komputery, w których odbywa się praca w związku z przetwarzaniem lub gromadzeniem danych, powinny być ustawiane w sposób uniemożliwiający dostęp do danych.

5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, określa zarządzenie dyrektora szkoły.

W pomieszczeniach i częściach pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, mogą przebywać wyłącznie osoby upoważnione do dostępu i przetwarzania danych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem ich przetwarzania.

(15)

§ 17

1. Całkowite opuszczenie (przez pracownika upoważnionego do przetwarzania danych) pomieszczenia, w którym przetwarzane są dane osobowe, może nastąpić po odpowiednim zabezpieczeniu tych danych.

2. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez jego zabezpieczenia oraz znajdujących się w nim zbiorów danych jest niedopuszczalne i będzie traktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych.

§ 18

1. Dostęp do budynków i pomieszczeń szkoły, w których przetwarzane są dane osobowe podlega kontroli.

2. Kontrola dostępu polegać może na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń.

3. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia oraz godzinę pobrania lub zdania klucza.

4. Klucze do pomieszczeń, w których przetwarzane są dane osobowe mogą być wydawane wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom w związku z wykonywaną przez nich pracą.

Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, może wprowadzać inne formy monitorowania dostępu do miejsc przetwarzania danych osobowych.

(16)

V. ZBIORY DANYCH OSOBOWYCH

§ 19

Szkoła sprawuje nadzór nad rodzajami oraz zawartością zbiorów danych osobowych tworzonych na jego obszarze. Wykaz zbiorów stanowi odrębny dokument.

§ 20

Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, zapewnia – zgodnie z przepisami – ochronę zbiorom danych osobowych sporządzanych doraźnie, ze względów technicznych, szkoleniowych lub w związku z procesem dydaktycznym i wychowawczo-opiekuńczym realizowanym przez szkołę, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji.

§ 21

Szkoła zabrania gromadzenia i tworzenia zbiorów danych osobowych innych niż niezbędne dla realizacji celów statutowych.

(17)

Załącznik nr 1

OŚWIADCZENIE

Imię i nazwisko: …...

Stanowisko służbowe: …...

Nazwa komórki organizacyjnej:...

Stwierdzam własnoręcznym podpisem, że zapoznałem(am) się z Regulaminem Ochrony Danych Osobowych

Jednocześnie, zgodnie z przepisami Ustawy z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych (Dz. U. Nr 101 z dnia 6 lipca 2002 r. poz. 926 z późn. zm.) zobowiązuję się do ochrony przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem, danych osobowych przetwarzanych w Szkole Podstawowej im. Prymasa Tysiąclecia w Woli Zarczyckiej oraz do zachowania ich w tajemnicy w czasie trwania jak i po ustaniu zatrudnienia.

Równocześnie oświadczam, że zostałem(am) poinformowany(a) o odpowiedzialności służbowej i karnej związanej z ochroną danych osobowych.

... ..…...

podpis Dyrektora data i podpis

przyjmującego oświadczenie składającego oświadczenie

(18)

Załącznik nr 2

…..., dnia …...

OŚWIADCZENIE

Oświadczam, że przed przystąpieniem do pracy przy przetwarzaniu danych osobowych zastałam/em zaznajomiona/ny z przepisami dotyczącymi ochrony danych osobowych, w tym z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Z 2002 r. nr 101, poz. 926 z późn. zm.) oraz rozporządzeniami wykonawczymi wydanymi na jej podstawie.

Zapoznałam/em się i rozumiem zasady dotyczące ochrony danych osobowych.

…...

(podpis pracownika)

(19)

Załącznik nr 3 (pieczęć administratora danych) …... dnia ………… roku

Upoważnienie do przetwarzania danych osobowych

Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku nr 101, poz. 926 z późn. zm.) upoważniam

Panią/Pana ……..………..

(imię i nazwisko, stanowisko)

do przetwarzania danych osobowych w zbiorze danych/zbiorach danych*……….

w następującym zakresie:

1. ………

2. ………

3. ………

wyłącznie w związku z wykonywaniem obowiązków pracowniczych/

zleceniobiorcy.

Upoważnienie nie obejmuje przetwarzania danych osobowych w zakresie:

………

Upoważnienie udzielane jest na czas trwania zatrudnienia/do odwołania/

od ………do ..………

……….

(podpis osoby reprezentującej administratora danych)

(20)

Wnoszę/nie wnoszę* o nadanie identyfikatora użytkownika i przyznanie hasła

……….

(podpis kierownika)

Pouczenie: osoba upoważniona do przetwarzania danych zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych obowiązana jest zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia, w tym także po ustaniu zatrudnienia/odwołaniu upoważnienia/upływie jego ważności. Ponadto podlega odpowiedzialności karnej wynikającej z art. 51-52 ustawy o ochronie danych osobowych, a także art. 266 kodeksu karnego.

Załącznik nr 4

(21)

……… ……...…. dnia ………

………

(pieczęć lub pełna nazwa i adres)

WNIOSEK O UDOSTĘPNIENIE DANYCH ZE ZBIORU DANYCH OSOBOWYCH

1.Wniosek do:...

2.Wnioskodawca………...

3. Podstawa prawna upoważniająca do pozyskania danych albo wskazanie wiarygodnie uzasadnionej potrzeby posiadania danych w przypadku osób

innych niż wymienione w art. 29 ust. 1 ustawy o ochronie danych osobowych:

………

…...…………...………...………

4. Wskazanie przeznaczenia dla udostępnionych danych:

………...………...

………...….………...………

5. Oznaczenie lub nazwa zbioru z którego mają być udostępnione dane:

Posiadane zbiory danych właściwe do zakresu żądanych informacji.

6. Zakres żądanych informacji ze zbioru:

………

…...…………...………...………

7. Informacje umożliwiające wyszukanie w zbiorze żądanych danych:

………

…..…………...………

…...

(data i podpis wnioskodawcy)

Załącznik nr 5

(22)

………. ……….

imię i nazwisko rodzica/opiekuna miejscowość, data

Oświadczenie dotyczące wyrażania zgody na wykorzystanie wizerunku dziecka/ucznia

Oświadczam, że wyrażam zgodę na wykorzystanie wizerunku mojego dziecka ………...

(imię i nazwisko dziecka)

do promowania rezultatów działań związanych z realizacją

...

(tytuł projektu, pomysłu)

poprzez upowszechnianie zdjęć oraz materiałów filmowych.

...

(czytelny podpis rodzica/opiekuna)

Załacznik nr 6

(23)

Tabela form naruszeń bezpieczeństwa danych osobowych

Kod

naruszenia

Formy naruszeń Sposób postępowania

A Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych

A. 1 W zakresie wiedzy:

A. 1. 1 Ujawnianie sposobu działania aplikacji i systemu jej

zabezpieczeń osobom

niepowołanym

Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji.

A. 1. 2 Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej

A. 1. 3 Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji

A. 2 W zakresie sprzętu i oprogramowania

A. 2. 1 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych

Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport.

A. 2. 2 Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został

Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić

(24)

przydzielony raport.

A. 2. 3 Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci

Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A. 2. 4 Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami

Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A. 2. 5 Samodzielne instalowanie jakiegokolwiek oprogramowania

Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport.

A. 2. 6 Modyfikowanie parametrów systemu i aplikacji.

Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport.

A. 2. 7 Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym.

Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy.

Wezwać służby informatyczne w celu wykonania kontroli antywirusowej.

Sporządzić raport.

A. 3 W zakresie dokumentów i obrazów zawierających dane osobowe

A. 3. 1 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru

Zabezpieczyć dokumenty. Sporządzić raport.

A. 3. 2 Przechowywanie dokumentów

zabezpieczonych w

niedostatecznym stopniu przed dostępem osób niepowołanych

Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń sporządzić raport.

(25)

A. 3. 3 Wyrzucanie dokumentów w

stopniu zniszczenia

umożliwiającym ich odczytanie.

Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych.

Sporządzić raport.

A. 3. 4 Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią

Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię.

Powiadomić przełożonych. Sporządzić raport.

A. 3. 5 Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe

Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane.

Sporządzić raport

A. 3. 6 Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą.

Spowodować zaprzestanie kopiowania.

Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A. 3. 7 Utrata kontroli nad kopią danych osobowych

Podjąć próbę odzyskania kopii.

Powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A. 4 W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych

A. 4. 1 Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych

Zabezpieczyć (zamknąć) pomieszczenie.

Powiadomić przełożonych . Sporządzić raport.

A. 4. 2 Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym

Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość.

Powiadomić przełożonych i Administratora Bezpieczeństwa

(26)

Informacji. Sporządzić raport.

A. 4. 3 Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji.

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A. 5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci.

A. 5. 1 Dopuszczenie lub ignorowanie faktu, że osoby spoza służb

informatycznych i

telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.)

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew.

opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A. 5. 2 Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń.

Postarać się ustalić ich tożsamość.

Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

B Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych

B. 1 Ślady manipulacji przy układach sieci komputerowej lub komputerach

Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B. 2 Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu

Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B. 3 Niezapowiedziane zmiany w wyglądzie lub zachowaniu

Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani

(27)

aplikacji służącej do przetwarzania danych osobowych

oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B. 4 Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych

B. 5 Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania

B. 6 Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe

Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji. Sporządzić raport.

C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem

C. 1 Próba uzyskania hasła

uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej

C. 2 Próba nieuzasadnionego

przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika.

(28)