Centrum Wodne

Laguna

w Gryfinie

PROCEDURA Strona/Stron 1/34

Zasad realizacji przetwarzania danych osobowych

oraz stosowanych środków technicznych

i organizacyjnych zapewniających ochronę

przetwarzanych danych osobowych

w Centrum Wodnym Laguna w Gryfinie

DATA 02.01.2012 r.

NUMER / DATA

WYDANIA1/02.01.12 r.

ZASADY REALIZACJI PRZETWARZANIA DANYCH OSOBOWYCH ORAZ STOSOWANYCH ŚRODKÓW

TECHNICZNYCH I ORGANIZACYJNYCH ZAPEWNIAJĄCYCH OCHRONĘ PRZETWARZANYCH DANYCH OSOBOWYCH

W CENTRUM WODNYM LAGUNA W GRYFINIE

Opracował:

Tomasz Tabisz

Data 02.01.2012 r.

Opiniował:

Data 02.01.2012 r.

Zatwierdził:

Data 02.01.2012 r.

SPIS TREŚCI :

str.

1. Cel procedury 1

2. Zakres procedury 1

3. Definicje 1

4. Odpowiedzialność 1

5. Sposób postępowania 1

6. Dokumenty związane 1

7. Informacje dodatkowe 1

8. Zmiany i poprawki 1

2

1. CEL PROCEDURY

Celem procedury jest ustalenie zasad postępowania przy przetwarzaniu danych

osobowych w Centrum Wodnym Laguna.

2. ZAKRES PROCEDURY

Procedura obejmuje pracowników biurowych oraz pracowników obsługi kasy

Centrum Wodnego Laguna.

3. DEFINICJE

Procedura - oznacza niniejszą procedurę;

Zasady - Zasady realizacji przetwarzania danych

osobowych oraz stosowanych środków

technicznych i organizacyjnych zapewniających

ochronę przetwarzanych danych osobowych

w Centrum Wodnym Laguna w Gryfinie;

CW Laguna, Obiekt - Centrum Wodne Laguna, 74-100 Gryfino,

ul. Wodnika 1;

Dyrektor - Dyrektor Centrum Wodnego Laguna w Gryfinie;

Pracownicy biurowi - pracujący przy przetwarzaniu danych osobowych;

Obsługa kasy - pracownicy pracujący na rozliczeniach w kasie

mający bezpośredni kontakt z klientem;

Administrator - administrator bezpieczeństwa informacji Centrum

Wodnego Laguna w Gryfinie;

Administrator danych - administrator danych Centrum Wodnego Laguna

w Gryfinie;

Zbiór danych - każdy posiadający strukturę zestaw danych

o charakterze osobowym, dostępnych wg określonych

kryteriów, niezależnie od tego czy zestaw ten jest

rozproszony lub podzielony funkcjonalnie;

System - komputerowe stanowisko dostępu do danych

osobowych.

4. ODPOWIEDZIALNOŚĆ

Dyrektor odpowiedzialny jest za: zatwierdzenie i wdrożenie niniejszej procedury.

3

Główny Specjalista ds. kadr, szkoleń i analiz płacowych odpowiedzialny jest za:

zaopiniowanie niniejszej procedury, zarządzanie niniejszą procedurą, nadzór nad re-

alizacją niniejszej procedury, zapewnienie warunków technicznych zgodnie

z niniejszą procedurą, podejmowanie działań zapobiegawczych i/lub korygujących.

Główny Specjalista ds. bhp, p.poż. i ochrony obiektu odpowiedzialny jest za: stoso-

wanie niniejszej procedury, zgłaszanie Głównemu Specjaliście ds. kadr, szkoleń i

analiz płacowych spostrzeżeń i uwag w przypadku stwierdzenia niezgodności lub

nieprawidłowości w trakcie stosowania procedury.

Pracownicy biurowi odpowiedzialni są za: stosowanie niniejszej procedury,

zgłaszanie Głównemu Specjaliście ds. kadr, szkoleń i analiz płacowych spostrzeżeń

i uwag w przypadku stwierdzenia niezgodności lub nieprawidłowości w trakcie

stosowania procedury.

5. SPOSÓB POSTĘPOWANIA

Zasady realizacji przetwarzania danych osobowych oraz stosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w CW Laguna w Gryfinie :

I. Postanowienia ogólne

1.1. Zasady przetwarzania danych osobowych zostały opracowane na podstawie

wytycznych określonych w:

1) art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

(Dz. U. z 2002 Nr 101, poz. 926 ze zm.),

2) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia

29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych

oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do przetwarzania danych

osobowych (Dz. U. Nr 100, poz. 1024).

1.2. Na dokumentację przetwarzania danych osobowych w Centrum Wodnym

Laguna w Gryfinie zwaną dalej „dokumentacją” składają się następujące

dokumenty:

1) polityka bezpieczeństwa przetwarzania danych osobowych;

2) instrukcja zarządzania systemem informatycznym służącym do przetwarzania

danych osobowych;

4

3) zakres obowiązków pracowników związanych z przetwarzaniem danych

osobowych;

4) program szkoleń w zakresie ochrony danych osobowych;

5) postępowanie w sytuacji naruszenia ochrony danych osobowych;

6) obowiązki Administratora Danych;

7) obowiązki Administratora Bezpieczeństwa Informacji;

8)wzór oświadczenia podpisywanego przez pracownika CW Laguna;

9) zarządzenie wyznaczające Administratora Bezpieczeństwa Informacji

i określające zakres jego obowiązków;

10)wzór upoważnienia do przetwarzania danych osobowych;

11)wzór ewidencji osób upoważnionych do przetwarzania danych osobowych;

12) Ewidencja Elektronicznych Nośników Informacji.

II. Sposób prowadzenia dokumentacji

Dokumentacja przetwarzania danych osobowych prowadzona jest w formie

pisemnej.

Dokumentacja jest wdrażana do stosowania na podstawie zarządzenia Dyrektora

CW Laguna w Gryfinie.

Wprowadzanie zmian w dokumentacji następuje w tej samej formie.

III. Osoby i podmioty odpowiedzialne

Administrator danych – Dyrektor CW Laguna jest podmiotem prawnie

zobowiązanym do opracowywania i wdrażania dokumentacji oraz monitorowania

przestrzegania zasad i procedur określonych w dokumentacji.

Administrator Bezpieczeństwa Informacji – Główny specjalista do spraw kadr,

szkoleń i analiz płacowych jest odpowiedzialny za nadzorowanie przestrzegania

zasad i procedur określonych w dokumentacji, a także nadzór nad przywracaniem

do stanu prawidłowego w zakresie przyznanych kompetencji

i uprawnień oraz przedstawiania raportów w tym zakresie Dyrektorowi

CW Laguna.

Firma IT Gryf Usługi Informatyczne - Pan Tomasz Tabisz jest odpowiedzialny

za nadzorowanie opracowywania dokumentacji oraz wprowadzanie zmian

w dokumentacji.

5

6. DOKUMENTY ZWIĄZANE

Załączniki:

Nr 1 – Polityka bezpieczeństwa przetwarzania danych osobowych

Nr 2 – Instrukcja zarządzania systemem informatycznym służącym do

przetwarzania danych osobowych

Nr 3 – Zakres obowiązków pracowników związanych z przetwarzaniem danych

osobowych

Nr 4 – Program szkoleń w zakresie ochrony danych osobowych

Nr 5 – Postępowanie w sytuacji naruszenia ochrony danych osobowych

Nr 6 – Obowiązki administratora danych

Nr 7 – Obowiązki administratora bezpieczeństwa informacji

Nr 8 - Wzór oświadczenia podpisywanego przez pracownika cw Laguna

Nr 9 – Zarządzenie wyznaczające administratora bezpieczeństwa informacji

i określające zakres jego obowiązków

Nr 10 – Wzór upoważnienia do przetwarzania danych osobowych

Nr 11 – Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych

Nr 12 – Ewidencja elektronicznych nośników informacji

7. INFORMACJE DODATKOWE

………………………………………………………………………………………

………………………………………………………………………………………

……………………………………………………………………………………..

8. ZMIANY I POPRAWKI

………………………………………………………………………………………

………………………………………………………………………………………

……………………………………………………………………………………..

6

Załącznik Nr 1

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

I. Zakres stosowania

Polityka dotyczy przetwarzania danych osobowych przez Centrum Wodne Laguna

w Gryfinie i zawiera następujące dokumenty dotyczące rozpoznania procesów

dotyczących danych osobowych oraz określające wprowadzone zabezpieczenia techniczne

i organizacyjne zapewniające ochronę przetwarzanych danych osobowych:

1. wykaz pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

(obszar przetwarzania danych osobowych),

2. wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania

danych,

3. sposób przepływu danych pomiędzy poszczególnymi systemami,

4. środki techniczne i organizacyjne niezbędne w celu zapewnienia poufności, inte-

gralności i rozliczalności przetwarzanych danych.

II. Obszar przetwarzania danych osobowych

Obszarem przetwarzania danych osobowych w Centrum Wodnym Laguna w Gryfinie są

pomieszczenia w budynku: CW Laguna w Gryfinie, ul. Wodnika 1, 74-100 Gryfino,

tel. 91 415 32 40, fax. 91 415 32 69.

III. Przechowywanie zbiorów danych osobowych poza systemem informatycznym

1. Zbiory danych osobowych przechowywane poza systemem informatycznym przechowy-

wane są tylko w pomieszczeniach wyznaczonych do tego celu i specjalnie zabezpieczo-

nych.

2. Przez specjalne zabezpieczenie, o którym mowa w pkt l rozumie się zabezpieczenie drzwi

wejściowych do pomieszczenia zamkiem patentowym.

3. Zbiory danych osobowych przechowywane poza systemem informatycznym zabezpiecza-

ne są w zamkniętej kasetce metalowej umieszczonej w szafie z zamkiem patentowym, do

której dostęp ma określona i ograniczona liczba osób.

4. Pomieszczenia, w których przechowywane są zbiory danych osobowych, zamykane

są na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych w sposób

uniemożliwiający dostęp do nich osób trzecich.

7

IV. Wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych

Wykaz zbiorów danych przetwarzanych w Centrum Wodnym Laguna w Gryfinie

i programów zastosowanych do przetwarzania danych winny zawierać następujące pola:

1. Wykaz przetwarzanych zbiorów danych:

1) nazwa zbioru danych,

2) opis formy prowadzenia zbioru danych (baza danych – kartoteka papierowa),

3) środowisko pracy (platforma systemowa i bazodanowa),

4) jednostki organizacyjne wykorzystujące zbiór danych,

5) lokalizacja zbioru danych (oznaczenie budynków, pomieszczeń lub części po-

mieszczeń),

6) inne aplikacje, którymi komunikuje się i wymienia dane,

7) administrator aplikacji.

2. Wykaz zastosowanych zabezpieczeń:

1) możliwość przyznawania indywidualnych identyfikatorów,

2) możliwość stopniowania uprawnień,

3) możliwość wymuszania zmiany haseł,

4) odnotowanie daty pierwszego wprowadzenia danych w systemie,

5) odnotowanie identyfikatora użytkownika wprowadzającego dane,

6) odnotowanie sprzeciwu określonego w art. 32 ust. 1 pkt 8 ustawy o ochronie

danych osobowych,

7) odnotowanie źródła danych, w przypadku zbierania danych nie od osoby, któ-

rej dane dotyczą,

8) odnotowanie informacji o odbiorcach, którym dane zostały udostępnione, da-

cie i zakresie tego udostępnienia,

9) możliwość sporządzenia i wydrukowania raportu zawierającego dane osobowe

wraz z informacjami o historii przetwarzania danych.

V. Środki techniczne i organizacyjne służące zapewnieniu poufności, integralności i rozliczalności przetwarzania danych

1. Bezpieczeństwo fizyczne

Gwarancją zapewnienia bezpieczeństwa systemu informatycznego CW Laguna oraz

przetwarzanych i przechowywanych danych jest zapewnienie bezpieczeństwa

fizycznego. Warunkiem zapewnienia bezpieczeństwa fizycznego systemu jest kontrola

dostępu do wszystkich stacji roboczych. W związku z tym szczególną ochroną obejmuje

się pomieszczenia, w których znajdują się serwery i węzły sieci oraz te, w

8

których przechowywane są składowane dane. Ww. pomieszczenia powinny być stale

zamknięte, a dostęp do nich powinni mieć tylko upoważnieni pracownicy.

W pomieszczeniu kasy znajduje się alarm napadowy wywoływany przez kasjera

w przypadku wystąpienia zagrożenia. Ponadto dostęp do pomieszczeń jest

monitorowany za pomocą systemu telewizji przemysłowej oraz całodobowym

nadzorem firmy ochraniającej obiekt.

Obowiązkiem osoby użytkującej komputer przenośny zawierający dane osobowe jest

zachowanie szczególnej ostrożności podczas jego transportu, przechowywania

i użytkowania poza pomieszczeniami tworzącymi obszar, w którym przetwarzane są

dane osobowe. Należy dążyć do powszechnego stosowania ochrony kryptograficznej

w takich przypadkach.

2. Wykorzystanie mechanizmów systemu operacyjnego

Systemy operacyjne Windows, 2000, XP, Visa, Win.7 posiadają rozbudowane

mechanizmy nadawania uprawnień i praw dostępu. Zapewnia on wsparcie

mechanizmów ochrony plików i katalogów oraz mechanizmów odzyskiwania na

wypadek uszkodzenia dysku lub awarii systemu. Ponadto komputery pracują

w domenie Active Directory która zapewnia na wysokim poziomie uwierzytelnianie

i dostęp do zasobów sieciowych CW Laguna.

3. Zarządzanie oprogramowaniem

Najwyższe uprawnienia w systemie informatycznym posiada administrator systemu.

Tylko administrator jest osobą uprawnioną do instalowania i usuwania oprogramowania

systemowego i narzędziowego.

Dopuszcza się instalowanie tylko legalnie pozyskanych programów, niezbędnych do

wykonywania ustawowych zadań CW Laguna i posiadających ważną licencję

użytkowania.

4. Uwierzytelnianie użytkowników

Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych,

może uzyskać wyłącznie osoba (użytkownik) zarejestrowana w tym systemie przez

administratora systemu na wniosek komórki organizacyjnej do spraw kadrowych.

Dostęp do systemów operacyjnych serwerów i stacji roboczych powinien być chroniony

przez nazwę użytkownika i hasło. Zespół ten tworzy jedną z głównych linii obrony

przed intruzami. Dlatego należy uświadamiać użytkownikom rolę, jaką w systemie

ochrony odgrywa dobrze wybrane „trudne” hasło o odpowiednio dobranym czasie

życia. Jednocześnie należy wdrożyć mechanizmy systemowe kontrolujące składnię

i czas życia haseł. Identyfikator użytkownika składa się z min. sześciu znaków, których

składają się z kombinacji nazwiska i imienia użytkownika. W identyfikatorze pomija się

polskie znaki diakrytyczne.

Hasło powinno składać się z unikalnego zestawu, co najmniej ośmiu znaków, zawierać

małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie może być identyczne

z identyfikatorem użytkownika, ani z jego imieniem lub nazwiskiem. Hasła zmienia się

nie rzadziej, niż co 30 dni. Z uwagi na różnice systemowe należy unikać polskich

znaków diakrytycznych.

9

Użytkownikom systemu nie wolno udostępniać swojego identyfikatora i hasła innym

osobom.

5. Redundancja sprzętowa i programowa

Dla zapewnienia wysokiej niezawodności systemu administratorzy sytemu opracowują

i wprowadzają procedury awaryjne (np. na wypadek uszkodzenia głównego serwera).

Należy rygorystycznie przestrzegać wymogu przechowywania nośników zawierających

awaryjne kopie danych i systemów w pomieszczeniach innych niż pomieszczenia, w

których przechowywane są dane przeznaczone do bieżącego użytku. Jednocześnie dane

te muszą być odpowiednio zabezpieczone fizycznie (sejf, najlepiej ognioodporny, w

zabezpieczonym pomieszczeniu).

6. Zapewnienie stałego zasilania energią

Bezprzerwowe zasilanie serwerom zapewnia stosowanie zasilaczy awaryjnych UPS.

W przypadku stacji roboczych, UPS stosuje się w zależności od potrzeb i możliwości

finansowych.

7. Procedury przeciwpożarowe

Pomieszczenia, w których systemy komputerowe pracują bez nadzoru, szczególnie

pomieszczenia z serwerami pracującymi w systemie pracy ciągłej powinny być

wyposażone w elektroniczny system wykrywania pożaru (czujki reagujące na ogień,

dym, temperaturę). Sygnalizacja alarmu powinna być objęta całodobowym

monitoringiem. System alarmowy powinien być objęty stałym nadzorem

specjalistycznym, a czujki okresowo sprawdzane. System wykrywania pożaru powinien

obejmować pomieszczenia, w których przechowywane są awaryjne kopie danych.

8. Procedury awaryjne i procedury na wypadek klęsk żywiołowych i ewakuacji

Zapewnieniu ciągłej dostępności informacji służą procedury postępowania w przypadku

wydarzeń losowych (np. awaria serwera, zalanie pomieszczenia itp.). Procedury takie

powinny obejmować uruchomienie systemu w minimalnej konfiguracji udostępniającej

zasoby systemu. Komputery przewidywane na awaryjne serwery powinny stać

w pomieszczeniach innych niż serwery bieżąco eksploatowane. W przypadku gdyby

doszło do ewakuacji należy w pierwszej kolejności zapewnić bezpieczeństwo danym.

9. Procedury tworzenia kopii zapasowych ich przechowywania i ochrony

Dla systemów finansowo-kadrowych kopie bezpieczeństwa wykonuje się: przyrostowe

codziennie, całościowe raz w tygodniu. Dla pozostałych danych o częstotliwości

składowania decydują administratorzy systemów, w których te dane są przechowywane,

w zależności od liczby wprowadzanych zmian, nie rzadziej jednak niż raz w miesiącu.

Kopie zapasowe przechowuje się w ognioodpornym sejfie umieszczonym

w pomieszczeniu innym, niż dane przetwarzane na bieżąco. Kopie awaryjne podlegają

takiej samej ochronie jak serwery zawierające dane bieżąco przetwarzane. Raz

w miesiącu dane nagrywa się na płyte DVD która jest przechowywana w sejfie.

10. Profilaktyka antywirusowa

10

Wszystkie stacje robocze muszą posiadać zainstalowany program antywirusowy,

z możliwie często aktualizowaną bazą wykrywanych wirusów, sprawdzający w trybie

rzeczywistym wszystkie przychodzące i wychodzące pliki. Zabronione jest blokowanie

pracy tego programu. Dla zapewnienia ochrony przed wirusami i innymi

niepożądanymi kodami sprawdza się wszystkie zbiory przychodzące z sieci rozległej

i Internetu. Systemy plików poszczególnych serwerów i stacji roboczych obejmuje się,

co najmniej raz w tygodniu, całościowym testem antywirusowym.

11. Monitorowanie systemu ochrony i prowadzenie dziennika zdarzeń

System operacyjny serwera powinien prowadzić dzienniki zdarzeń zawierające opis

wszystkich ważniejszych czynności wykonywanych przez użytkowników. Należy

określić zdarzenia, które powinny być rejestrowane, jak również tryb postępowania

z tymi dziennikami (co rejestrować, w jaki sposób, jak często i na jak długo składować).

Należy unikać zbytniego rozszerzenia zakresu rejestrowanych czynności ze względu na

obciążenie systemu operacyjnego i wielkość generowanych zbiorów zawierających

dzienniki zdarzeń.

12. Przeciwdziałanie nowym technikom łamania zabezpieczeń oraz eliminacja luk

wykrytych w zabezpieczeniach systemów.

W związku z dynamicznym rozwojem technik służących do atakowania systemów

informatycznych administrator systemu powinien na bieżąco śledzić informacje na

temat wykrytych luk i wprowadzać zalecane zabezpieczenia.

13. Procedury postępowania z nośnikami informacji i wydrukami (wytwarzanie,

rejestrowanie, kasowanie, niszczenie)

Dla zachowania wysokiego poziomu bezpieczeństwa informacji w systemie

informatycznym określa się procedury postępowania z nośnikami (dyskietki, kasety,

krążki CD, nośniki papierowe) zawierającymi informacje od chwili wytworzenia do

chwili skasowania lub zniszczenia. Powinno się dążyć - dla zapewnienia szczelności

systemu - aby nośniki były opisane i ewidencjonowane.

14. Testy okresowe systemu ochrony

System ochrony powinien być w sposób ciągły nadzorowany i możliwie często

aktualizowany. Kontrole i testy powinny obejmować zarówno dostęp do zasobów

systemu, jak i profile oraz uprawnienia poszczególnych użytkowników. Zapisy logów

systemowych powinny być przeglądane codziennie oraz każdorazowo po wykryciu

naruszenia zasad bezpieczeństwa.

15. Zabezpieczenia medium transmisyjnego

Połączenia z sieci wewnętrznej z siecią zewnętrzną (Internet) mogą być wykonywane

tylko za pośrednictwem systemów firewall o odpowiednich parametrach

zainstalowanych w CW Laguna. Jednocześnie zabrania się dokonywania jakichkolwiek

innych przyłączeń sieci CW Laguna do sieci Internet, poza połączeniami bezpiecznymi

z bankiem np. pośrednictwem połączenie Dial-up.

11

Do przesyłania danych przy połączeniach w sieci publicznej (Internet), z uwagi na

przetwarzane dane, powinny być wykorzystywane tylko kanały transmisji udostępniane

przez pracowników CW Laguna. Kanały te powinny zawierać ochronę kryptograficzną.

Komputery przenośne inspektorów pracy podczas połączeń z siecią Internet,

wykonywanych poza siecią wewnętrzną CW Laguna, powinny być chronione swoimi

autonomicznymi systemami firewall.

Zasadą konfigurowania systemów firewall powinno być blokowanie wszystkich usług,

które są zbędne dla statutowej działalności pracownika CW Laguna.

16. Konserwacja i naprawy sprzętu i oprogramowania

Wszelkie naprawy i konserwacje sprzętu i oprogramowania mogą odbywać się tylko

w obecności osób uprawnionych. Urządzenia informatyczne służące do przetwarzania

danych osobowych można przekazać do naprawy dopiero po uzyskaniu zgody

administratora bezpieczeństwa informacji. Firmą zewnętrzną upoważnioną do

przetwarzania danch osobowych jest firma IT GRYF Usługi Informatyczne Tabisz

Tomasz ul. Gen. Andersa 4, 74-100 Gryfino, która prowadzi stałą opiekę serwisową nad

sprzętem komputerowym oraz oprogramowaniem.

17. Szkolenia

Każdy użytkownik powinien mieć świadomość zagrożeń wpływających na

bezpieczeństwo systemu informatycznego, z którego korzysta. Nowy pracownik

powinien być zapoznany z ogólnymi zasadami i przepisami dotyczącymi

bezpieczeństwa systemów teleinformatycznych, a szczególnie wynikających z ustawy o

ochronie danych osobowych. Raz w roku należy przeprowadzać szkolenia

z udziałem wszystkich pracowników C.W.Laguna omawiające problematykę

bezpieczeństwa teleinformatycznego, ze szczególnym uwzględnieniem nowych

uregulowań prawnych. Szkolenie to powinno uzmysłowić pracownikom skalę zagrożeń

oraz rangę zabezpieczeń, zwłaszcza stosowanych na poziomie użytkownika.

Wykaz pomieszczeń w CW Laguna, w których przetwarzane są dane osobowe :

1. Serwerownia – Pomieszczenie na parterze zabezpieczone zamkami patentowymi,

serwery w szfach RACK z zamkami patentowymi

2. Sejf z kopiami składowań – Pomieszczenie kasy I piętro.

3. Pomieszczenia administracyjne - pomieszczenia I piętro 100, 101, 102, 103, 108,

170, 173, 175, 184

4. Sekcja Spraw Księgowych – pomieszczenia I piętro

5. Archiwum znajdujące się w części podziemnej

12

Wykaz programów stosowanych w CW Laguna do przetwarzania danych osobowych :

1. Programy: Teta

2. Pakiety biurowe Office Microsoft

3. Płatnik - program obsługujący przesyłanie danych ZUS pracowników

4. Pefron – przesyłanie danych pracowników

Wykaz Przetwarzanych zbiorów danych:

Nazwa zbioru: Pracownicy zatrudnieni w CW Laguna w programie TETA

− Baza danych – znajdująca się na serwerze Windows Server 2008R2, serwer znajduje

się w serwerowni pomieszczenie na patrzerze budynku.

− Oprogramowanie TETA pracuje na platformie systemowej Windows z autoryzacją

Active Directory oraz uprawnieniami dostępu sieciowego.

− Zbiór wykorzystywany jest przez pracowników biurowych pracujących w programie

Kadry-Płace systemu TETA

− Dane przetwarzane są w pomieszczeniach biurowych I piętra budynku

− Program TETA eksportuje plik KEDU do programu Płatnik

− Administratorami aplikacji jest Główny Specjalista ds. kadr, szkolen i analiz płaco-

wych oraz Główny specjalista ds. księgowości – płace, ZUS, ubezpieczenia.

Nazwa zbioru: Rozliczenia z ZUS pracowników zatrudnionych w CW Laguna w

programie Płatnik

− Baza danych – znajdująca się na serwerze Windows Server 2008R2, serwer znajduje

się w serwerowni pomieszczenie na patrzerze budynku.

− Oprogramowanie Płatnik pracuje na platformie systemowej Windows z autoryzacją

Active Directory oraz uprawnieniami dostępu sieciowego.

− Zbiór wykorzystywany jest przez pracowników biurowych pracujących w programie

Płatnik

− Dane przetwarzane są w pomieszczeniach biurowych I piętra budynku

− Program Płatnik pobiera dane z programu TETA i wysyła je do ZUS

− Administratorem aplikacji jest Główny specjalista ds. księgowości – płace, ZUS,

ubezpieczenia.

13

VI. Sposób przepływu danych pomiędzy poszczególnymi systemami

W ramach procesów przetwarzania danych dochodzi do przepływu danych pomiędzy

programem kadrowo – płacowym a programem Płatnik. Dane również wysyłane są

bezpiecznym połączeniem z Bankiem w celu płatności wynagrodzeń za pracę.

Program TETA Program Płatnik

VII. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

1. Do elementów zabezpieczenia danych osobowych w Centrum Wodnym Laguna Gryfinie

zalicza się:

1) stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe

(zabezpieczenia fizyczne),

2) zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności doku-

mentów papierowych i informatycznych),

3) nadzór Administratora Bezpieczeństwa Informacji nad realizacją wprowadzonych za-

sad i procedur zabezpieczenia danych (zabezpieczenia organizacyjne),

4) kompleksowe i całościowe traktowanie zabezpieczenia danych przez wszystkie pod-

mioty i osoby biorące udział w przetwarzaniu danych.

2. W Centrum Wodnym Laguna w Gryfinie rozróżnia się następujące kategorie środków za-

bezpieczeń danych osobowych:

1) zabezpieczenia fizyczne:

− całodobowy monitoring budynku

− pomieszczenia zamykane na klucz,

− szafy z zamkami,

− Wynajęta firma ochroniarska pracująca 24/h

2) zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:

14

− przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach,

− przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby.

3) zabezpieczenia organizacyjne:

− osobą odpowiedzialną za bezpieczeństwo danych jest Administrator Bezpieczeń-

stwa Informacji (ABI),

− Administrator Bezpieczeństwa Informacji i wszyscy powołani przez niego admini-

stratorzy na bieżąco kontrolują pracę systemu informatycznego z należytą staranno-

ścią, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą

i z obowiązującymi procedurami,

− nie rzadziej, niż raz na tydzień są prowadzone przez ABI kontrole stanu bezpie-

czeństwa systemów informatycznych i przestrzegania zasad ochrony informacji i w

przypadkach wykrycia rażących zaniedbań ABI sporządza ich opis w formie proto-

kołu i raportu i niezwłocznie przedkłada je Administratorowi Danych.

4) organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:

− wykaz pracowników Centrum Wodnym Laguna w Gryfinie uprawnionych do prze-

twarzania danych osobowych, znajduje się u Administratora Bezpieczeństwa Infor-

macji.

− przetwarzać dane osobowe mogą jedynie pracownicy, którzy posiadają stosowne

upoważnienie przyznane przez Administratora Danych Osobowych,

− w trakcie przetwarzania danych osobowych, pracownik jest osobiście odpowie-

dzialny za bezpieczeństwo powierzonych mu danych,

− przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych

osobowych, pracownik winien sprawdzić, czy posiadane przez niego dane były na-

leżycie zabezpieczone, oraz czy zabezpieczenia te nie były naruszone,

− w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte ich

zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu

nieupoważnione,

− po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć

dane osobowe przed możliwością dostępu do nich osób nieupoważnionych,

3. W ramach zabezpieczenia danych osobowych ochronie podlegają:

1) sprzęt komputerowy – serwer, komputery osobiste, drukarki i inne urządzenia ze-

wnętrzne,

2) oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, na-

rzędzia wspomagające i programy komunikacyjne,

3) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie,

4) hasła użytkowników,

5) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa,

6) użytkownicy i administratorzy, którzy obsługują i używają system,

15

7) dokumentacja – zawierająca dane systemu, opisująca jego zastosowanie, przetwa-

rzane informacje, itp.,

8) wydruki,

9) związana z przetwarzaniem danych dokumentacja papierowa, z których zawarte

w nich dane są wprowadzane do systemu informatycznego lub też funkcjonują au-

tonomicznie od niego.

VIII. Postanowienia końcowe

1. Administrator Bezpieczeństwa Informacji okresowo będzie analizował zagrożenia

i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonywał inwentary-

zacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności opi-

sowi zawartemu w punktach II-V polityki bezpieczeństwa.

2. W systemie informatycznym obowiązują zabezpieczenia na poziomie średnim.

3. Najważniejszymi zastosowanymi środkami zabezpieczenia danych w systemach infor-

matycznych w Centrum Wodnym Laguna w Gryfinie są:

1) hasła dostępu do systemu,

2) hasła dostępu do aplikacji,

3) wygaszacze ekranu.

4. Dokumentem, który normuje procedury zarządzania systemem informatycznym służą-

cym do przetwarzania danych osobowych jest instrukcja. Określa ona m.in.:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych

uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za

te czynności,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarzą-

dzaniem i użytkowaniem,

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użyt-

kowników systemu,

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów

i narzędzi programowych służących do ich przetwarzania,

5) sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych,

c) sposób zabezpieczenia systemu informatycznego przed działalnością oprogra-

mowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu in-

formatycznego,

d) sposób realizacji wymogów odnotowywania przez system informatyczny infor-

macji o odbiorcach, którym dane osobowe zostały udostępnione, dacie

i zakresie tego udostępnienia,

16

e) procedury wykonywania przeglądów i konserwacji systemów oraz nośników

informacji służących do przetwarzania danych.

Załącznik Nr 2

17

INSTRUKCJA OKREŚLAJĄCA SPOSÓB ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

OSOBOWYCH W CENTRUM WODNYM LAGUNA W GRYFINIE

Instrukcja określa sposób zarządzania systemem informatycznym służącym

do przetwarzania danych osobowych.

I. Zakres zastosowania

Instrukcja określa zasady zarządzania systemem informatycznym służącym do

przetwarzania danych osobowych, a w szczególności: sposób rejestrowania

i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich,

procedury rozpoczęcia i zakończenie pracy, obowiązki użytkownika, metodę

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych

oraz dokonywania przeglądów i konserwacji systemu.

II. Obszar przetwarzania danych:

1. Obszar przetwarzania danych osobowych z użyciem stacjonarnego sprzętu komputero-

wego stanowią obszar budynku CW Laguna w Gryfinie, ul. Wodnika 1, 74-

100 Gryfino.

2. Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych, wyposażone

są w zamknięcia. W czasie, gdy nie znajdują się w nich osoby upoważnione, pomiesz-

czenia są zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym. Oso-

by nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą

Administratora Danych lub w obecności osób upoważnionych.

III. Rejestrowania i wyrejestrowania użytkownika

1. Użytkownikiem systemu informatycznego (osobą upoważnioną) może być:

1) osoba zatrudniona przy przetwarzaniu danych osobowych w Centrum Wodnym La-

guna, która posiada upoważnienie do obsługi systemu informatycznego oraz urzą-

dzeń wchodzących w jego skład,

2) pracownik innego podmiotu lub przedsiębiorca będący osobą fizyczną prowadzi

działalność na podstawie wpisu do ewidencji działalności gospodarczej, którzy

świadczą na podstawie stosowanych umów usługi związane z ich pracą

w systemie informatycznym (serwis, zlecenie przetwarzania danych osobowych itp.).

2. Uzyskanie uprawnień następuje na dwóch poziomach:

1) zarejestrowania w sieci komputerowej (założenie konta),

2) nadanie określonych uprawnień do systemów aplikacyjnych (założenie konta).

18

3. Pisemny wniosek o zarejestrowanie użytkownika składa bezpośredni przełożony pra-

cownika. Wniosek zostaje przekazany do Administratora Bezpieczeństwa Informacji,

który może zgłosić sprzeciw wobec przyznania uprawnień, ze względu na zagrożenie

naruszenia bezpieczeństwa danych osobowych.

4. Jednocześnie z wnioskiem o zarejestrowanie użytkownika, kierownik składa pisemny

wniosek do właściwego administratora systemu o nadanie określonych uprawnień do

systemów aplikacyjnych. Zasady nadawania uprawnień do poszczególnych systemów

mogą określać odrębne instrukcje.

5. Postanowienie dział III pkt. 4 stosuje się odpowiednio w przypadku przejścia pracowni-

ka do innej komórki organizacyjnej. Obowiązek złożenia wniosku o

nadanie uprawnień spoczywa na nowym bezpośrednim przełożonym pracownika.

6. W przypadku zakończenia pracy w Centrum Wodnym Laguna, stosuje się następująca

procedurę wyrejestrowania użytkownika:

1) na karcie obiegowej, na której osoba odchodząca zbiera podpisy potwierdzenia rozli-

czenia się z pracodawcą, znajduje się pozycja stwierdzająca fakt usunięcia lub zablo-

kowania profilu użytkownika,

2) Administrator Bezpieczeństwa Informacji przed podpisaniem pozycji stwierdzającej

fakt usunięcia lub zablokowania profilu użytkownika wydaje polecenie administrato-

rowi systemu o natychmiastowym wykonaniu tej czynności,

3) po wykonaniu tej czynności następuje podpisanie przez Administrator Bezpieczeń-

stwa Informacji obiegówki potwierdzającej usunięcie lub zablokowanie profilu użyt-

kownika,

4) wykonanie tej operacji jest jednoznaczne z uniemożliwieniem dostępu do systemu

dla pracownika, z którym rozwiązano umowę o pracę Centrum Wodnym Laguna,

5) Przełożony zawiadamia Administratora Bezpieczeństwa Informacji o fakcie wyreje-

strowania użytkownika.

IV. Sposób przydziału haseł i zasady korzystania z nich

1. Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu identyfi-

katora i hasła.

2. Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego identyfika-

tor w systemie.

3. W Centrum Wodnym Laguna w Gryfinie obowiązują następujące zasady korzystania

z haseł:

1) zabrania się ujawniania haseł jakimkolwiek osobom trzecim,

2) zabrania się zapisywania haseł lub takiego z nimi postępowania, które umożliwia lub

ułatwia dostęp do haseł osobom trzecim.

4. Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników

z haseł nadzoruje Administrator Bezpieczeństwa Informacji. Nadzór ten

19

w szczególności polega na obserwacji (monitorowaniu) funkcjonowania mechanizmu

uwierzytelniania i przywracania stanu prawidłowego w przypadku nieprawidłowości.

V. Rozpoczęcie i zakończenie pracy

1. Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany

jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy

nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych.

W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powia-

damia Administratora Bezpieczeństwa Informacji.

2. Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynno-

ści:

1) włączenia komputera,

2) uwierzytelnienia się („zalogowania” w systemie) za pomocą identyfikatora i hasła.

3. Niedopuszczalne jest uwierzytelnianie się na hasło i identyfikator innego użytkownika

lub praca w systemie informatycznym na koncie innego użytkownika.

4. Zakończenie pracy użytkownika w systemie następuje po „wylogowaniu się”

z systemu. Po zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy,

w szczególności dyskietki, dokumenty i wydruki zawierające dane osobowe, przed do-

stępem osób nieupoważnionych.

5. W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest

„wylogować się” lub zaktywizować wygaszacz ekranu z opcją ponownego „logowania”

się do systemu.

6. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania („logo-

waniu się” w systemie), użytkownik niezwłocznie powiadamia o nich administratora.

VI. Tworzenie, przechowywanie, sprawdzanie przydatności i likwidacji kopii zapasowych.

1. Kopie zapasowe są tworzone, przechowywane i wykorzystywane z uwzględnieniem na-

stępujących zasad:

1) kopie wykonywane są codziennie,

2) kopie wykonywane są na nośnikach wg. schematu rotacji tygodniowej – tzn

na jednym nośniku zapisany jest stan z jednego dnia tygodnia,

3) kopie są okresowo, raz w miesiącu, sprawdzane pod kątem ich przydatności

do odtworzenia danych, a jeżeli ustanie ich użyteczność są niezwłocznie usuwane.

VII. Sprawdzanie obecności wirusów komputerowych

1. Sprawdzanie obecności wirusów komputerowych dokonywane jest poprzez zainstalo-

wanie programu, który skanuje automatycznie, bez udziału użytkownika,

na obecność wirusów wszystkie pliki. Program jest zainstalowany na wszystkich serwe-

rach i stacjach roboczych.

20

2. Po każdej naprawie i konserwacji komputera należy dokonać sprawdzenia pod kątem

występowania wirusów i ponownie zainstalować program antywirusowy.

3. Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu

programem antywirusowym przed rozpoczęciem korzystania z nich. Dane uzyskiwane

drogą teletransmisji należy umieszczać – przed otwarciem – w katalogu przejściowym,

który podlega sprawdzeniu.

4. W przypadku użycia dysku zewnętrznego w komputerze niebędącym częścią integralną

systemów informatycznych CW Laguna, należy taki dysk sprawdzić pod względem

obecności wirusów.

5. Korzystanie z prywatnych dysków zewnętrznych oraz prywatnych aplikacji jest zakaza-

ne.

VIII. Sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków:

1. Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane

są wyłącznie w odrębnych zamykanych szafach.

2. Osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk za-

wierający dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w

wykonywanej pracy, a w przypadku jego nieprzydatności – niezwłocznie wydruk znisz-

czyć.

3. Elektroniczne nośniki informacji z danymi osobowymi są oznaczane i przechowywane

w zamykanych szafach lub sejfach znajdujących się w specjalnym pomieszczeniu,

do którego dostęp mają wyłącznie odrębnie upoważnieni pracownicy.

4. Fizyczna likwidacja zniszczonych lub niepotrzebnych elektronicznych nośników infor-

macji z danymi osobowymi odbywa się w sposób uniemożliwiający odczyt danych oso-

bowych.

5. Dopuszczalne jest zlecenie/powierzenie niszczenia wszelkich nośników danych osobo-

wych wyspecjalizowanym podmiotom zewnętrznym. Podstawą przekazania danych do

zniszczenia innemu podmiotowi powinna być w każdym przypadku umowa zawarta na

piśmie.

IX. Zasady przeglądów i konserwacji systemu

1. Przegląd i konserwacja zbiorów danych dokonywane są poprzez:

1) badanie spójności bazy danych,

2) uruchamianie zapytań do bazy danych w celu analizy danych,

3) przegląd wydruków po wyznaczonych procesach,

4) sprawdzanie zgodności danych z dokumentami,

5) analiza zgłaszanych uwag użytkowników.

21

2. Przeglądu i konserwacji dokonują pracownicy Stanowiska ds Informatyki (na wniosek

Przełożonego), w porozumieniu z Administratorem Bezpieczeństwa Informacji.

3. W przypadku zlecenia wykonywania czynności, o których mowa wyżej, podmiotowi

zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem Administratora

Bezpieczeństwa Informacji.

X. Komunikacja w sieci komputerowej

1. W zakresie korzystania z sieci komputerowej w Centrum Wodnym Laguna, obowiązują

następujące zasady:

1) pracownicy nie są uprawnieni do instalacji jakiegokolwiek prywatnego oprogramo-

wania bez odpowiedniej zgody służb informatycznych.

W przypadku zainstalowania takiego oprogramowania bez odpowiedniej akceptacji

pracownik ponosi odpowiedzialność porządkową i prawną,

2) oprogramowanie na komputerach może być zainstalowane wyłącznie przez informa-

tyków,

3) wszelkie dane zainstalowane na komputerach stanowią własność Centrum Wodnym

Laguna,

4) pracownicy mogą używać połączenia z Internetem jedynie w celach służbowych,

5) pracownicy nie mają prawa przekazywać za pośrednictwem sieci komputerowej do

stron trzecich jakichkolwiek danych stanowiących własność Centrum Wodnym La-

guna, wyjątek stanowi przesyłanie materiałów niezbędnych do realizacji zadań CW

Laguna (graficzne loga, zestawienia danych itp.)

6) pracownicy nie mogą ściągać za pośrednictwem sieci komputerowej żadnego opro-

gramowania,

7) pracownicy nie mogą podłączać się do sieci zewnętrznej za pośrednictwem mode-

mów.

XI. Obowiązki i odpowiedzialność użytkownika związane obowiązywaniem instrukcji

1. Użytkownik systemu jest zobowiązany zapoznać się z treścią niniejszej Instrukcji

i potwierdzić to stosownym oświadczeniem.

2. Naruszenie przez pracownika niniejszej Instrukcji może zostać potraktowane jako naru-

szenie obowiązków pracowniczych i powodować określoną przepisami Regulaminu

pracy oraz Kodeksu pracy odpowiedzialność pracownika.

3. Treść niniejszej Instrukcji ma charakter poufny, chroniony tajemnicą pracodawcy

na zasadzie art. 100 § 2 pkt 4 Kodeksu pracy.

Załącznik nr 3

ZAKRES OBOWIĄZKÓW PRACOWNIKÓW

22

ZWIĄZANYCH Z PRZETWARZANIEM DANYCH OSOBOWYCH

W CENTRUM WODNYM LAGUNA W GRYFINIE

1. Pracownik zobowiązany jest dbać o bezpieczeństwo powierzonych mu do przetwarzania,

archiwizowania lub przechowywania danych zgodnie z obowiązującymi w CW Laguna za-

sadami bezpieczeństwa, regulaminami i instrukcjami a w szczególności:

1) chronić dane przed dostępem osób nieupoważnionych,

2) chronić dane przed przypadkowym lub nieumyślnym zniszczeniem, utratą lub modyfi-

kacją,

3) chronić nośniki magnetyczne i wydruki komputerowe,

4) utrzymywać w tajemnicy powierzone hasła, częstotliwość ich zmiany oraz szczegóły

technologiczne systemów także po ustaniu zatrudnienia w C.W. Laguna,

5) archiwizować dane zgodnie z instrukcją,

6) prowadzić niezbędną dokumentację pracy systemu.

2. Zabrania się pod rygorem odpowiedzialności służbowej i karnej:

1) ujawniać dane - w tym dane osobowe zawarte w obsługiwanych systemach,

2) kopiować bazę danych lub jej część poza przewidzianymi instrukcją kopiami bezpie-

czeństwa,

3) przetwarzać dane w sposób inny niż opisany instrukcją.

Załącznik nr 4

PROGRAM SZKOLEŃ

23

W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

1. Szkolenie podstawowe:

1) podstawowe zasady ochrony danych osobowych,

2) zakres podmiotowy i przedmiotowy ustawy o ochronie danych osobowych,

3) obowiązki podmiotów przetwarzających dane osobowe,

4) instrukcja określająca sposób zarządzania zbiorami danych osobowych,

5) zakres obowiązków pracowników związanych z przetwarzaniem danych osobowych,

6) postępowanie w sytuacji naruszenia danych osobowych.

2. Szkolenie cykliczne - co 6 miesięcy:

1) rodzaje danych osobowych i przesłanki legalności ich przetwarzania,

2) aspekty prawne i techniczne gromadzenia, przetwarzania i przechowywania danych

osobowych,

3) obowiązki podmiotów przetwarzających dane osobowe,

4) informacja administratora o przestrzeganiu ustawy o ochronie danych osobowych.

Załącznik nr 5

POSTĘPOWANIE W SYTUACJI NARUSZENIA

OCHRONY DANYCH OSOBOWYCH

24

Instrukcja określa tryb postępowania w przypadku, gdy:

1. stwierdzono naruszenie zabezpieczenia systemu informatycznego,

2. stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób

działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazy-

wać na naruszenie zabezpieczeń tych danych.

§ 1.

Naruszenie danych osobowych może nastąpić w wyniku:

1) umyślnego lub nieumyślnego udostępnienia zbioru danych osobie nieuprawnionej,

2) przetworzenia w zbiorze danych osobowych dokonanego w ramach przestępstwa przez

osoby nieuprawnione,

3) tworzenie zbiorów danych dla celów innych niż wynikające z przepisów prawa.

§ 2.

Każda osoba zatrudniona w CW Laguna, która stwierdzi lub podejrzewa naruszenie

zabezpieczenia ochrony danych osobowych w systemie informatycznym, powinna

niezwłocznie poinformować o tym osobę zatrudnioną przy przetwarzaniu danych osobowych

lub administratora bezpieczeństwa informacji albo inną upoważnioną przez niego osobę.

§ 3.

Osoba zatrudniona przy przetwarzaniu danych osobowych, która uzyskała informację lub

sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych w systemie

informatycznym zobowiązana jest niezwłocznie powiadomić o tym administratora

bezpieczeństwa informacji lub inną upoważnioną przez niego osobę, a w przypadku

ich nieobecności - bezpośrednio administratora danych osobowych.

§ 4.

Administrator bezpieczeństwa informacji lub inna upoważniona przez niego osoba powinna

w pierwszej kolejności:

1) zapisać wszelkie informacje związane z danym zdarzeniem, a szczególnie: dokładny

czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samo-

dzielnego wykrycia tego faktu,

2) na bieżąco wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają)

wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności

zdarzenia, oraz opatrzyć je datą i podpisem,

3) przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do określenia

skali zniszczeń i metody dostępu do danych osoby niepowołanej.

25

§ 5.

Niezwłocznie należy podjąć odpowiednie kroki w celu powstrzymania lub ograniczenia

dostępu do danych osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed

usunięciem śladów jej ingerencji, szczególnie poprzez:

1) fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy

danych osobie nieupoważnionej,

2) wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych,

3) zmianę hasła na konto administratora i użytkownika, poprzez które uzyskano nielegalny

dostęp w celu uniknięcia ponownej próby włamania.

§ 6.

1. Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowadzić analizę stanu syste-

mu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony da-

nych osobowych w systemie, a w szczególności:

1) skontrolować stan urządzeń wykorzystywanych do przetwarzania danych osobowych,

2) skontrolować zawartość zbioru danych osobowych,

3) sprawdzić sposób działania programu,

4) wykluczyć możliwość obecności wirusów komputerowych.

2. Po dokonaniu powyższych czynności administrator powinien przeprowadzić szczegółową

analizę stanu zabezpieczenia systemu informatycznego obejmującego identyfikację:

1) rodzaju zaistniałego zdarzenia,

2) metody dostępu do danych osoby nieupoważnionej,

3) skali dokonanych zniszczeń w systemie informatycznym.

§ 7.

Niezwłocznie należy przywrócić normalny stan działania systemu, przy czym jeżeli nastąpiło

uszkodzenie bazy danych, niezbędne jest odtworzenie jej z ostatniej kopii awaryjnej

z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego

uzyskania dostępu tą samą drogą przez osobę niepowołaną.

§ 8.

1. Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić

szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych

oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń

a w szczególności:

26

1) jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych oso-

bowych w systemie informatycznym należy przeprowadzić dodatkowe szkolenie

wszystkich osób biorących udział przy przetwarzaniu danych,

2) jeżeli przyczyną zdarzenia było uaktywnienie wirusa, należy ustalić źródło jego pocho-

dzenia oraz wykonać zabezpieczenia antywirusowe,

3) jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby zatrudnionej przy przetwa-

rzaniu danych osobowych, należy wyciągnąć konsekwencje regulowane ustawą,

4) jeżeli przyczyną zdarzenia było włamanie w celu pozyskania bazy danych osobowych,

należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu

zapewnienia skuteczniejszej ochrony bazy danych,

5) jeżeli przyczyną zdarzenia był zły stan urządzenia lub sposób działania programu, nale-

ży wówczas niezwłocznie przeprowadzić kontrolne czynności serwisowo-programowe.

2. Administrator bezpieczeństwa informacji przygotowuje szczegółowy raport

o przyczynach, przebiegu i wnioskach ze zdarzenia (dołączając ewentualne kopie dowo-

dów dokumentujących to zdarzenie) oraz w określonym terminie od daty zaistnienia zda-

rzenia przekazuje go administratorowi danych osobowych CW Laguna.

Załącznik nr 6

OBOWIĄZKI ADMINISTRATORA DANYCH

27

1. Administrator danych zwany dalej „Administratorem” zobowiązany jest zapewnić, aby

dane osobowe były przetwarzane zgodnie z prawem oraz zbierane dla oznaczonych, zgod-

nych z prawem celów.

2. Administrator wyznacza administratora bezpieczeństwa informacji w CW Laguna odpo-

wiedzialnego za bezpieczeństwo danych osobowych w systemie informatycznym,

w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu,

oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie

zabezpieczeń.

3. Administrator opracowuje instrukcję postępowania w sytuacji naruszenia ochrony danych

osobowych, przeznaczoną dla osób zatrudnionych przy przetwarzaniu tych danych.

4. Administrator określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar,

w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowe-

go.

5. Administrator opracowuje instrukcję, określającą sposób zarządzania systemem informa-

tycznym, służącą do przetwarzania danych osobowych, ze szczególnym uwzględnieniem

wymogów bezpieczeństwa informacji.

6. Administrator organizuje szkolenia mające na celu zaznajomienie każdej osoby przetwa-

rzającej dane osobowe z przepisami dotyczącymi ich ochrony.

7. Administrator odpowiada za to, by zakres czynności osoby zatrudnionej przy przetwarza-

niu danych osobowych określał odpowiedzialność tej osoby za:

- ochronę danych przed niepowołanym dostępem.

- nieuzasadnioną modyfikację lub zniszczenie danych,

- nielegalne ujawnianie danych

8. Administrator prowadzi rejestr użytkowników upoważnionych do przetwarzania danych.

9. Administrator zgłasza do rejestracji zbiór danych osobowych w Biurze Generalnego In-

spektora Ochrony Danych Osobowych.

Załącznik nr 7

OBOWIĄZKI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

W SYSTEMIE INFORMATYCZNYM

28

1. Nadzorowanie nad przestrzeganiem instrukcji określającej sposób zarządzania zbiorami

danych osobowych.

2. Wykonywanie czynności w zakresie zarządzania zbiorami danych osobowych,

a w szczególności:

1) wgląd do rejestru użytkowników uprawnionych do przetwarzania danych,

2) przydzielanie praw dostępu użytkownikom zgodnie z upoważnieniem nadanym przez

administratora danych,

3) tworzenie kopii awaryjnych (nie częściej niż raz w miesiącu) i prowadzenie ich ewiden-

cji. Nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w

których przetwarzane są dane osobowe.

3. Badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych.

4. Podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych.

5. Nadzór nad przywracaniem systemu do działania po wystąpieniu awarii i zlikwidowaniu

ich przyczyn.

6. Podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowaniu wykorzy-

stywanym do przetwarzania danych osobowych.

7. Sprawdzanie poprawności przygotowania urządzeń, dysków oraz innych nośników infor-

macji zawierających dane osobowe do likwidacji oraz do przekazania innym jednostkom

lub do naprawy.

Załącznik nr 8

OŚWIADCZENIE

(tekst oświadczenia podpisywanego przez pracowników CW Laguna)

1. Stwierdzam własnoręcznym podpisem, że znana mi jest treść przepisów:

29

1) o ochronie i postępowaniu z wiadomościami, stanowiącymi tajemnicę służbową,

2) o zasadach ochrony oraz środkach i zabezpieczeniach danych osobowych wynikających

z ustawy z dnia 29 sierpnia o ochronie danych osobowych (jednolity tekst Dz.U.

z 2002 r., Nr 153, poz. 1271; Dz.U. z 2004 r., Nr 25, poz. 219; Dz.U. z 2004 r., Nr 33,

poz. 285; Dz.U. z 2006 r., Nr 104, poz. 708; Dz.U. z 2006 r., Nr 104, poz. 711; Dz.U.

z 2007 r., Nr 165, poz. 1170; Dz.U. z 2007 r., Nr 176, poz. 1238; Dz.U. z 2010 r.,

Nr 41, poz. 233; Dz.U. z 2010 r., Nr 182, poz. 1228; ostatnia zmiana: Dz.U. z 2010 r.,

Nr 229, poz. 1497 z pózn. zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych

i Administracji z dnia 29 kwietnia 2004r. (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153,

poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) oraz o odpowiedzialności

karnej za naruszenie ochrony danych osobowych.

2. Jednocześnie zobowiązuję się nie ujawniać wiadomości, z którymi zapoznałem(am)

się z racji wykonywanej pracy w CW Laguna w Gryfinie w czasie zatrudnienia i po jego

ustaniu, a w szczególności nie będę:

1) ujawniał(a) danych zawartych w eksploatowanych w Zakładzie systemach informatycz-

nych, a w szczególności danych osobowych zawartych w tych systemach,

2) ujawniał(a) szczegółów technologicznych przetwarzanych systemów,

3) udostępniał(a) osobom nieupoważnionym nośników magnetycznych,

4) kopiował(a) lub przetwarzał danych w sposób inny niż dopuszczony obowiązującą in-

strukcją.

3. Zostałem(am) pouczony o odpowiedzialności karnej i służbowej wynikające

z naruszenia przepisów ustawy o ochronie danych osobowych i zarządzeń wewnętrznych

wydanych przez Dyrektora Centrum Wodnego Laguna w Gryfinie.

4. Zostałem(am) pouczony w sprawie dokumentacji przetwarzania danych osobowych oraz

warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia

i systemy informatyczne służące do przetwarzania danych osobowych.

Podpis pracownika Dyrektor

…………………………… ……………………….

Załącznik nr 9

ZARZĄDZENIE NR ………../201….

Dyrektora Centrum Wodnego Laguna

z dnia …………………… 201… roku

30

w sprawie : wyznaczenia Administratora Bezpieczeństwa Informacji

Na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych

osobowych ( Dz. U. z 2002 r. Nr. 101, poz. 926 z późn. zm.) zarządzam, co następuje:

§ 1.

Wyznaczam Pana/ią ……………………………… pracownika Centrum Wodnego Laguna

w Gryfinie jako Administratora Bezpieczeństwa Informacji w Centrum Wodnym Laguna

w Gryfinie.

§ 2.

Zarządzenie wchodzi w życie z dniem podpisania.

………………………………….

Załącznik nr 10

Gryfino, dnia …………………….. r.

31

U P O W A Ż N I E N I E NR ……

Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.

z roku 2002, Nr 101 poz. 962 z późn. zm.) i wydanych do niej przepisów wykonawczych oraz

Zarządzenia nr ………..... Dyrektora CW Laguna w sprawie ochrony danych osobowych,

upoważniam Panią ………………………………………………

zatrudnioną na stanowisku: ………………………………………..

do przetwarzania danych osobowych oraz do obsługi systemów informatycznych oraz

urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych

w Centrum Wodnym Laguna.

Upoważnienie wydaje się na czas zatrudnienia w Centrum Wodnym Laguna.

Załącznik nr 11

SPIS OSÓB

32

składających oświadczenia o zapoznaniu się z instrukcją określającą sposób zarządzania zbiorami danych osobowych w Centrum Wodnym Laguna

LP.Nazwisko Imię

pracownika

Numer

upoważnienia

Nazwa

zbioru

Okres

dostępuPodpis ABI

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

Administrator Danych

.................................

Załącznik nr 12

EWIDENCJA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI

33

Dziennik Zbiorczej Ewidencji

Elektronicznych Nośników

Informacji(Imię i nazwisko oraz stanowisko prowadzącego)

L.P.

Nr

ewidencji

nośnika

Nazwa

nośnika

Ilość

szt.

Data i

pokwitowanie

wydającego

Data i

pokwitowanie

odbierającego

Adnotacje o ujęciu

z ewidencji lub

zniszczeniu

1 2 3 4 5 6 7

1

2

3

4

5

6

7

8

9

10

11

12

Wzór oznaczenia pamięci flas typu Pendrive, kart SD, SM rejestrowanej w rejestrze

wydawanych nośników informacji.

Przykładowy numer: IC/PD/2011/01

Objaśnienia:

IC – Oznaczenie literowe Wydział/dział

PD – Oznaczenie literowe nośnika pendrive

2011 – rok rejestracji

01 – pozycja w dzienniku ewidencji nośników informacji

34