INSTRUKCJA

ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCA DO PRZETWARZANIA DANYCH OSOBOWYCH w ISOFT Grzegorz Lasek z siedzibą w Rzeszowie ul. Piwonii 12; 35-604 Rzeszów, NIP: 813-29-09-504, REGON: 690584854

Rzeszów, dnia 25 maja 2018 r.

2
Rozdział 1
Postanowienia ogólne
§ 1
1. Instrukcja określa ogólne zasady i tryb postępowania Administratora Danych Osobowych w ISOFT Grzegorz Lasek z siedzibą w Rzeszowie, ul. Piwonii 12; 35-604 Rzeszów, wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP: 813-290-95-04, REGON: 690584854 oraz posiadającym wpis do Rejestru Agencji Zatrudnienia nr 11699, osób przez niego wskazanych oraz użytkowników, przetwarzających dane osobowe w systemie informatycznym ISOFT Grzegorz Lasek z siedzibą w Rzeszowie zwanej dalej „ISOFT Grzegorz Lasek lub firmą” – w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

§ 2
Użyte w Instrukcji określenia i skróty oznaczają: 1. Administrator Danych Osobowych – rozumie się przez to ISOFT Grzegorz Lasek z siedzibą w Rzeszowie, ul. Piwonii 12; 35-604 Rzeszów, NIP: 813-290-95-04, REGON: 690584854, zwana dalej „Administratorem Danych Osobowych” lub osobę przez niego upoważnioną, odpowiedzialną za wdrożenie i stosowanie zasad bezpieczeństwa przetwarzania danych osobowych z godnie z Polityką ochrony danych osobowy Administratora Danych Osobowych. 2. Administrator Systemu Informatycznego – rozumie się przez to osobę odpowiedzialną za wdrożenie i stosowanie zasad bezpieczeństwa przetwarzania danych osobowych w zakresie technicznych i programowych zabezpieczeń systemu informatycznego w ISOFT Grzegorz Lasek, zwany dalej „ASI”. 3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 4. Hasło – rozumie się przez to ciąg znaków literowych, cyfrowych, lub innych, znane jedynie użytkownikowi. 5. Identyfikator – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. 6. Integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. 7. Osoba upoważniona do przetwarzania danych osobowych – rozumie się przez to osobę, która upoważniona została do przetwarzania danych osobowych przez Administratora Danych Osobowych na piśmie. 8. Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
3
9. Przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawierane zgodnie art. 31 ustawy. 10. Raport – rozumie się przez to przygotowane przez system informatyczny zestawienie zakresu treści przetwarzania danych. 11. Rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. 12. Przetwarzanie danych – jakakolwiek operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza taka, którą wykonuje się w systemach informatycznych. 13. Ustawa – ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U.2016.922 t.j. z dnia 2016.06.28) lub inną ustawę ją zastępującą. 14. Rozporządzenie – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1). 15. UDO – Prezes Urzędu Ochrony Danych Osobowych. 16. Indywidualne stanowisko komputerowe – komputer lub inne urządzenie, w którym przetwarzane są dane osobowe bez podłączenia do sieci Administratora Danych Osobowych. 17. Informatyczny system przetwarzania – sposób przetwarzania informacji w systemie informatycznym wraz ze związanymi z nim ludźmi oraz zasobami technicznymi (wykorzystujący technikę cyfrową), który dostarcza i dystrybuuje informacje. 18. Moduł systemu informatycznego – element systemu informatycznego, spełniający określone funkcje. 19. Podmiot zewnętrzny – osoba fizyczna lub przedsiębiorca wykonujący na rzecz Administratora Danych Osobowych prace zlecone, związane z przetwarzaniem danych osobowych oraz prace serwisowe urządzeń, na których przetwarzane są dane osobowe. 20. Użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło. 21. Pracownik ISOFT Grzegorz Lasek – osoba współpracująca z firmą na podstawie: umowy o pracę, umowę zlecenie, umowy o dzieło, na zasadzie umowy agencyjnej lub innej umowy cywilno-prawnej. 22. Uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. 23. Serwer – komputer lub zespół komputerów powiązanych ze sobą, będących źródłem informacji i programów dla innych komputerów. 24. Serwisant – rozumie się przez to firmę lub pracownika firmy, zajmującego się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego. 25. Sieciowe stanowisko komputerowe – komputer stacjonarny podłączony do sieci komputerowej Administratora Danych Osobowych, w którym przetwarzane są dane osobowe. 26. Sieć Administratora – sieć łącząca, co najmniej dwa indywidualne stanowiska komputerowe,
4
umożliwiająca określony dostęp do przetwarzania danych upoważnionym użytkownikom. 27. Sieć publiczna – rozumie się przez to sieć publiczną w rozumieniu art.2 pkt 22 ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne. 28. Sieć telekomunikacyjna – rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz U nr 7, poz. 852 ze zm.). 29. System informatyczny – oznacza zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych stosowanych w celu przetwarzania danych osobowych. 30. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
§ 3
Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym w ISOFT Grzegorz Lasek połączonej z siecią publiczną, firma dokonała analizy ryzyka, przetwarzanie danych w ISOFT Grzegorz Lasek nie wiąże się z wysokim ryzykiem.
Rozdział 2
Procedury nadawania i rejestrowania uprawnień do przetwarzania danych osobowych w systemie informatycznym
§ 1
1. Osoba upoważniona do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie w zakresie ustalonym przez Administratora Danych Osobowych w indywidualnym upoważnieniu i tylko w celu wykonania nałożonych na nią obowiązków. 2. Zakres dostępu do danych osobowych w systemie informatycznym przypisany jest do unikatowego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie informatycznym. 3. Procedura upoważniania do przetwarzania danych osobowych pracownika zatrudnionego w Spółki przebiega w następujący sposób: Administrator Danych Osobowych lub wyznaczona osoba upoważniona do podejmowania decyzji w imieniu Administratora Danych Osobowych; a) przygotowuje dla pracownika Upoważnienie, którego wzór stanowi załącznik nr 3 do Polityki Ochrony Danych Osobowych oraz Oświadczenie o zachowaniu poufności, którego wzór stanowi załącznik nr 4 do Polityki Ochrony Danych Osobowych, b) Upoważnienie oraz Oświadczenie pracownikowi zachowaniu poufności przedstawia pracownikowi do podpisu, c) podpisane Upoważnienie oraz Oświadczenie winno być przechowywane w osobnym segregatorze, w zamkniętej szafce, do której dostęp posiada Administrator Danych
5
Osobowych. 4. Administrator Danych Osobowych wpisuje dane pracownika do „Ewidencji osób upoważnionych do przetwarzania danych osobowych”, której wzór stanowi załącznik nr 5 do Polityki Ochrony Danych Osobowych.
§ 2
1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana jako użytkownik w tym systemie informatycznym przez Administratora Systemu Informatycznego. a) w przypadku rejestracji/wyrejestrowania użytkownika w/z systemach/ów informatycznych nadawanie/odebranie uprawnień przebiega według poniższej procedury:

Administrator Danych Osobowych lub wyznaczona osoba upoważniona do podejmowania decyzji w imieniu Administratora Danych Osobowych; a) składa wniosek o nadanie/odebranie uprawnień użytkownika w/z systemie/u informatycznym/ego do Administratora Systemu Informatycznego lub zmiany zakresu dostępu do systemu informatycznego. b) Administrator Systemu Informatycznego dokonuje zmian w systemie informatycznym zgodnie z wnioskiem. W przypadku nadania uprawnień wpisuje na nim identyfikator, datę rejestracji w systemie, a w przypadku wyrejestrowania użytkownika z sytemu, datę odebrania uprawnień oraz przekazuje podpisany wniosek do osoby upoważnionej przez ADO. c) rejestracja użytkownika, o której mowa w pkt 1, polega na nadaniu identyfikatora i przydzieleniu hasła oraz wprowadzeniu tych danych do rejestru użytkowników systemu. Administrator Danych Osobowych lub wyznaczona osoba upoważniona do podejmowania decyzji w imieniu Administratora Danych Osobowych; a) wpisuje do Ewidencji osób upoważnionych do przetwarzania danych osobowych nazwę systemu informatycznego oraz identyfikator użytkownika w przypadku jego zarejestrowania w systemie informatycznym, oraz datę wyrejestrowania użytkownika z systemu informatycznego w przypadku wniosku o jego wyrejestrowanie, następnie po podpisaniu wniosku zwraca go Administratorowi Systemu Informatycznego. b) Administrator Systemu Informatycznego w przypadku nadania uprawnień przekazuje użytkownikowi jego identyfikator i hasło inicjujące pracę w systemie informatycznym oraz przeprowadza szkolenie w zakresie przydzielonych mu obowiązków. c) wzór wniosku o nadanie/odebranie uprawnień w systemie informatycznym zawiera załącznik nr 1 do niniejszej Instrukcji. W przypadku zmiany danych identyfikacyjnych, użytkownika zarejestrowanego w danym systemie informatycznym obowiązuje następująca procedura: Administrator Danych Osobowych lub wyznaczona osoba upoważniona do podejmowania decyzji w imieniu Administratora Danych Osobowych składa;
6
a) wniosek do Administratora Systemu Informatycznego o odebranie uprawnień w systemie informatycznym dla użytkownika, wpisując na wniosku dane identyfikacyjne dotyczące użytkownika przed zmianami, b) wniosek do Administratora Systemu Informatycznego o nadanie uprawnień użytkownika w systemie informatycznym, wpisując na wniosku aktualne dane identyfikacyjne użytkownika, oraz zakres dostępu do systemu informatycznego. c) nadanie/odebranie uprawnień następuje zgodnie z procedurą opisaną w ust. 1.
§ 3
1. Użytkownika wyrejestrowuje się z systemu informatycznego na wniosek Administratora Danych Osobowych lub wyznaczonej osoby, upoważnionej do podejmowania decyzji w imieniu Administratora Danych Osobowych, w sytuacjach: a) ustania zatrudnienia/ zaprzestania współpracy użytkownika w ISOFT Grzegorz Lasek, b) zmiany zakresu obowiązków służbowych lub stanowiska pracy użytkownika. 2. Rozwiązanie umowy o pracę/współpracy powoduje utratę dostępu użytkownika do przetwarzania danych. 3. Administrator Danych Osobowych lub wyznaczona osoba upoważniona do podejmowania decyzji w imieniu Administratora Danych Osobowych zobowiązany jest w sytuacjach, o których mowa w ust. 1 i 2 do niezwłocznego przekazywania wniosków o odebranie uprawnień w systemie informatycznym do Administratora Systemu Informatycznego.
Rozdział 3
Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
§ 1
System informatyczny, w którym przetwarza się dane osobowe, wyposażony jest w mechanizmy uwierzytelnienia użytkowników oraz kontroli dostępu. Identyfikator 1. Identyfikator użytkownika składa się z sześciu znaków, z których np. dwa pierwsze odpowiadają dwóm pierwszym literom imienia użytkownika, a cztery kolejne odpowiadają czterem pierwszym literom jego nazwiska. W identyfikatorze pomija się polskie znaki diakrytyczne. 2. W przypadku zbieżności nadawanego identyfikatora z identyfikatorem wcześniej zarejestrowanego użytkownika Administrator Systemu Informatycznego, za zgodą osoby upoważnionej przez Administratora Danych Osobowych, nadaje inny identyfikator, odstępując od zasady określonej w pkt. 1. 3. Identyfikator, po wyrejestrowaniu osoby z systemu informatycznego, nie może być przydzielony innej osobie. 4. Używanie identyfikatorów należących do innych osób jest zabronione. 5. Kontrolę nad powyższymi czynnościami sprawuje Administrator Systemu Informatycznego.
7

Hasło użytkownika 1. Hasło dostępu składa się z unikalnego zestawu, co najmniej sześciu znaków, zawierać ma małe i wielkie litery oraz cyfry ewentualnie znaki specjalne. Hasło nie może być identyczne z identyfikatorem użytkownika, ani z jego imieniem lub nazwiskiem. 2. Hasła dostępu wyświetlane są na ekranie monitora w formie nie dającej się odczytać osobom postronnym i muszą być znane tylko użytkownikowi. 3. Hasło dostępu ustala dla siebie użytkownik. Za zmianę hasła odpowiada użytkownik. 4. Zabrania się użytkownikom systemu udostępniania swojego hasła innym osobom oraz korzystania przez osoby upoważnione do przetwarzania danych osobowych z innego hasła innego użytkownika. 5. Hasła w systemie informatycznym powinny być przechowywane w postaci zaszyfrowanej. 6. W przypadku, gdy użytkownik otrzymuje hasło początkowe (tymczasowe, jednorazowe) od Administratora Systemu Informatycznego, ma obowiązek zmienić je przy pierwszym logowaniu do systemu informatycznego. 7. Użytkownik niezwłocznie zmienia hasło w przypadku podejrzenia lub stwierdzenia: a) podglądu, b) przechwycenia, c) podsłuchania, d) odgadnięcia. Hasło administratora/ów Hasła Administratora/ów Systemu Informatycznego przechowywane są w postaci klasycznego zapisu w zabezpieczonej kopercie lub na elektronicznych nośnikach informacji CD-ROM – jednokrotnego zapisu, w postaci odpowiednio zabezpieczonego pojedynczego pliku. Hasła, o których mowa w ust. 1, przechowuje się w zamykanej szafie, lub sejfie ognioodpornym. W sytuacjach awaryjnych lub w razie nieobecności Administratora Systemu Informatycznego, jego zadania spoczywają na osobach upoważnionych przez Administratora Danych Osobowych. W przypadku wykorzystania haseł podczas nieobecności Administratora Systemu Informatycznego, muszą być one niezwłocznie zmienione po wznowieniu wykonywania obowiązków.
§ 2
1. Użytkownik zobowiązany jest do utrzymania hasła dostępu w tajemnicy (tak w czasie zatrudnienia, jak też po jego ustaniu). 2. W sytuacji udostępnienia hasła innej osobie, jego faktyczny właściciel ponosi odpowiedzialność za skutki i następstwa, wynikłe z faktu wykorzystania tego hasła przez osoby trzecie. 3. Administrator Danych Osobowych, do weryfikacji tożsamości użytkowników w systemie informatycznym, może stosować inne niż hasło metody, w tym karty mikroprocesorowe lub metody biometryczne. 4. Użytkownik nie może przechowywać hasła w formie jakiegokolwiek rodzaju zapisu, w tym w
8
postaci makra, przypisania do klawiszy funkcyjnych lub jakiegokolwiek zautomatyzowanego procesu rejestracji w systemie informatycznym. 5. W przypadku zastosowania awaryjnego dostępu do systemu informatycznego na poziomie użytkownika (zapomniane hasło, blokada dostępu), Administrator Systemu Informatycznego nadpisuje hasło użytkownika za pomocą nowego hasła początkowego, po dokonaniu uprzedniej weryfikacji tożsamości użytkownika.
Rozdział 4
Procedury rozpoczęcia, zawieszenia i zakończenia pracy użytkowników systemu informatycznego.
§ 1
1. Użytkownik rozpoczynający pracę, zobowiązany jest przestrzegać procedury, mającej na celu sprawdzenie zabezpieczeń systemu, a w szczególności: a) sprawdzenie zabezpieczeń fizycznych pomieszczenia, b) sprawdzenie ogólnego stanu sprzętu informatycznego oraz miejsca przechowywania nośników zawierających dane osobowe. 2. Rozpoczęcie pracy na stacji roboczej następuje po włączeniu zasilacza awaryjnego i komputera, a następnie wprowadzeniu indywidualnego, znanego tylko użytkownikowi oraz hasła. 3. Użytkownik, w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, w czasie pracy ma obowiązek: a) ustawienia monitorów w pomieszczeniach w sposób uniemożliwiający osobom nieupoważnionym podgląd, a w przypadku przetwarzania danych sensytywnych, jeżeli jest to możliwe, stosowania monitorów z ekranami wyposażonymi w filtry uniemożliwiające obserwację zawartości ekranu z pozycji innej niż na wprost monitora, b) zapewnienia, aby w obszarach przetwarzania danych osobowych, osoby nieupoważnione do przetwarzania danych nie przebywały bez nadzoru osoby upoważnionej do przetwarzania danych, c) stosowania wygaszacza ekranu w czasie zawieszenia przetwarzania danych (przerwa w pracy). Wyłączenie wygaszacza należy zabezpieczyć hasłem znanym tylko użytkownikowi, d) wylogowania się z systemu w przypadku, kiedy przerwa w pracy trwa dłużej niż 30 minut, e) nie pozostawiania bez nadzoru (np. w drukarce lub na biurku) nośników informacji (np. wydruków dokumentów lub dyskietek) zawierających dane osobowe – dotyczy to także okresu po zakończeniu pracy (obowiązuje tzw. zasada „czystego biurka”). 4. Logowanie się oraz praca na innych stanowiskach, niż indywidualne stanowisko komputerowe użytkownika, wymaga zgody przełożonego i jest dozwolone jedynie w sytuacjach wyjątkowych lub związanych z pracą zmianową. 5. Przed zakończeniem pracy w systemie informatycznym, użytkownik zobowiązany jest wykonać następujące czynności:
9
a) zapisać wszelkie zmiany w otwartych aplikacjach, b) wykonać kopie zapasowe, jeżeli jest to przewidziane w dokumentacji systemu, c) zamknąć wszystkie używane programy, d) sprawdzić, czy w urządzeniach nie pozostały wymienne elektroniczne nośniki informacji, e) zamknąć system poprzez użycie polecenia „Zamknij system”. 6. Po zakończeniu pracy w systemie informatycznym, użytkownik zobowiązany jest przestrzegać następującej procedury: a) wylogować się z systemu i zaczekać na jego wyłączenie, b) sprawdzić, czy elektroniczne nośniki informacji, zawierające dane osobowe, nie zostały pozostawione bez nadzoru, c) wyłączyć odbiorniki energii elektrycznej, zamknąć i zabezpieczyć pomieszczenie, jeżeli wychodzi jako osoba ostatnia, d) umieścić klucze do szaf w ustalonym, przeznaczonym do tego miejscu, e) opuszczając pokój, należy zamknąć za sobą drzwi na klucz. 7. Użytkownik zobowiązany jest do postępowania zgodnie z obowiązującymi procedurami, instrukcjami i podręcznikami dotyczącymi administrowania, eksploatacji i użytkowania systemu informatycznego służącego do przetwarzania danych osobowych oraz stosowania się do zaleceń Administratora Systemu Informatycznego i Administratora Bezpieczeństwa Informacji.
Rozdział 5
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.
§ 1
1. W celu zapewnienia bezpieczeństwa w systemie informatycznym, przetwarzającym dane osobowe, istnieje obowiązek tworzenia kopii zapasowych. 2. W systemie informatycznym, wykorzystującym technologię klient-serwer, kopie zapasowe wykonuje się po stronie serwera. 3. Dostęp do kopii bezpieczeństwa mają tylko osoby upoważnione przez Administratora Danych Osobowych. 4. Kopie zapasowe przeznaczone są do odtworzenia zbioru danych lub systemu, w przypadku całkowitej lub częściowej zmiany, utraty, uszkodzenia czy też zniszczenia zbioru danych bądź systemu. 5. Nośniki zawierające kopie bezpieczeństwa należy opisać, zarejestrować i przechowywać odpowiednio zabezpieczone.

§ 11 1. Wyboru metody i częstotliwości tworzenia kopii zapasowych, nośnika do ich zapisywania dokonuje Administrator Systemu Informatycznego, po uzgodnieniu z Administratorem Danych Osobowych
10
lub osobą przez niego upoważnioną, uwzględniając specyfikę systemów i zbiorów danych oraz tempo ich narastania. 2. Kopie zapasowe: a) na serwerze – wykonuje właściwy Administrator Systemu Informatycznego, b) programów i narzędzi – wykonuje właściwy Administrator Systemu Informatycznego. 3. Kopie bezpieczeństwa należy okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych, w wypadku awarii systemu informatycznego. 4. Sprawdzenie kopii bezpieczeństwa pod kątem ich dalszej przydatności do odtworzenia danych, w wypadku awarii systemu, dokonuje Administrator Systemu Informatycznego. 5. Po upływie przydatności lub okresu przechowywania kopii zapasowych, podlegają one nadpisaniu nową kopią zapasową. 6. Kopie zapasowe, które zostały przeznaczone do likwidacji, pozbawia się zapisu danych osobowych, poprzez nadpisanie danych lub ich fizyczne zniszczenie. 7. Uszkodzone kopie zapasowe, dyski lub inne elektroniczne nośniki informacji, które zawierają dane osobowe, należy niszczyć mechanicznie, w sposób uniemożliwiający ich ponowne użycie. 8. Czynności, o których mowa w ust. 6 i 7, wykonuje Administrator Systemu Informatycznego w obecności powołanej komisji przez ABI. Z wykonanych czynności sporządza się protokół, którego kopię przechowuje ABI. 9. Wzór protokołu, o którym mowa w ust. 8, stanowi załącznik nr 4 do niniejszej Instrukcji.
Rozdział 6
Sposoby, miejsca i okresy przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
§ 1
1. Czas przechowywania kopii zapasowych powinien być nie krótszy, niż jest to konieczne dla bezpieczeństwa systemu informatycznego.
§ 2
1. W celu zapewnienia bezpieczeństwa kopii zapasowych, należy przechowywać je w innych pomieszczeniach, niż centra przetwarzania danych osobowych. 2. Nośniki informacji, zawierające dane osobowe, przechowuje się w zamkniętych na klucz szafach, zabezpieczonych meblach biurowych, lub specjalnych do tego typu zastosowań szafach na nośniki magnetyczne. 3. Pomieszczenia i sprzęty, o których mowa w ust. 1 i 2, powinny zapewniać bezpieczeństwo przechowywania kopii zapasowych i elektronicznych nośników informacji, zawierających dane osobowe, przed nieuprawnionym dostępem, modyfikacją, uszkodzeniem lub ich zniszczeniem.
11
§ 3
1. Nośniki informacji, zawierające dane osobowe, można przekazywać do innej jednostki organizacyjnej, tylko na pisemny, umotywowany wniosek, gdy jest to bezwzględnie konieczne do realizacji jej zadań regulaminowych. 2. Nośniki informacji, o których mowa w ust. 1, trzeba na czas transportu odpowiednio zabezpieczyć przed dostępem osób nieuprawnionych. 3. W przypadku posługiwania się nośnikami danych, pochodzącymi od podmiotu zewnętrznego, użytkownik zobowiązany jest do sprawdzenia go programem antywirusowym, na wyznaczonym w tym celu stanowisku komputerowym. 4. Nośniki magnetyczne z zaszyfrowanymi danymi osobowymi są na czas ich użyteczności przechowywane w zamkniętych na klucz szafkach, a po wykorzystaniu dane na nich zawarte są trwale usuwane lub nośniki te są niszczone.
Rozdział 7
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
§ 1
1. Obszarami systemu informatycznego, narażonymi na ingerencję wirusów oraz innego szkodliwego oprogramowania są m. in.: a) dysk twardy urządzenia, b) pamięć RAM, c) elektroniczne nośniki informacji np. płyty CD /DVD, pamięci USB, 2. Drogą przedostania się wirusów i szkodliwego oprogramowania do systemu mogą być sieci informatyczne, zainfekowane elektroniczne nośniki danych, oraz załączniki poczty e-mail pochodzące od nieznanych nadawców. 3. Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie odbywa się przy wykorzystaniu specjalistycznego oprogramowania antywirusowego, zainstalowanego na serwerach, stacjach roboczych oraz komputerach przenośnych przez Administratora Systemu Informatycznego. 4. Systemy antywirusowe sprawują ciągły nadzór (ciągła praca w tle) nad pracą systemu i jego zasobami. 5. W przypadku zastosowania oprogramowania antywirusowego na lokalnej stacji roboczej, nie zarządzanej przez serwer antywirusowy, użytkownik ma obowiązek na bieżąco sprawdzać obecność wirusów w systemie. Opcja automatycznego rozpoznawania i sygnalizowania obecności wirusów powinna być elementem systemu i uaktywniać się w momencie jego uruchomienia. 6. Użytkownik zobowiązany jest powiadomić Administratora Systemu Informatycznego o wykryciu wirusa niemożliwego do usunięcia przez program antywirusowy, chyba że system informatyczny
12
wyposażony jest w centralny system antywirusowy z centralną kontrolą zarządzania. 7. Do obowiązków Administratora Systemu Informatycznego należy aktualizacja oprogramowania antywirusowego. W przypadku systemów antywirusowych z opcją automatycznej aktualizacji, obowiązki Administratora Systemu Informatycznego ograniczają się do sprawdzenia poprawności wykonania aktualizacji przez system. W przypadku błędnie wykonanej aktualizacji baz antywirusowych, Administrator Systemu Informatycznego ma obowiązek dokonania ręcznej aktualizacji.
§ 2
1. Administrator Systemu Informatycznego jest zobowiązany zabezpieczyć system przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do danych, poprzez wdrażanie technicznych i logicznych zabezpieczeń chroniących system. Podejmuje również działania: a) kontroli przepływu informacji pomiędzy wewnętrznym systemem informatycznym i publiczną siecią informatyczną oraz kontroli działań inicjowanych z sieci informatycznej i systemu, b) zastosowania systemu Firewall do ochrony dostępu do sieci komputerowej, c) instalowania w systemie oprogramowania zapobiegającego nieuprawnionemu dostępowi do danych osobowych.
§ 3
1. Urządzenia i nośniki zawierające dane osobowe, które są przekazywane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność tych danych, w szczególności poprzez hasło dostępu. 2. W przypadku przesyłania danych osobowych poza sieć przystosowaną do transferu danych osobowych jeżeli pozwala na to system i oprogramowanie, należy zastosować szczególnie środki bezpieczeństwa, które obejmują: a) zastosowanie mechanizmów szyfrowania danych osobowych, b) zastosowanie mechanizmów podpisu elektronicznego zabezpieczającego transmisje danych osobowych oraz rejestrację transmisji wysyłanych danych osobowych.

Rozdział 8 Wymogi systemu w zakresie procedur przetwarzania danych osobowych, kontrola nad wprowadzaniem, przetwarzaniem i udostępnianiem danych osobowych
§ 1
Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym ― z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie ― zaleca się zapewnia (jeśli pozwala na to system bądź oprogramowanie używane przez Użytkownika) odnotowanie:
13
a) daty pierwszego wprowadzenia danych do systemu; b) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; c) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; d) informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; e) sprzeciwu, osoby której dane dotyczą.
§ 2
1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. 2. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa powyżej, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.
§ 3
1. Urządzenia i elektroniczne nośniki informacji, zawierające dane wrażliwe, przekazywane poza obszar przetwarzania tych danych, obowiązkowo zabezpiecza się przed: a) dostępem osób i podmiotów nieupoważnionych, b) modyfikacją, lub zniszczeniem w sposób nieautoryzowany.
§ 4
1. Osoba użytkująca komputer przenośny lub inne urządzenie, zawierające dane osobowe, zobowiązana jest do zachowania szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem. Użytkownik komputera przenośnego jest zobowiązany do:  transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia; ◦ przenoszenie komputera w bagażu podręcznym; ◦ nie pozostawienie komputera w samochodzie, hotelu, przechowalni bagażu, w miejscach publicznych itp.,  zabezpieczenia komputera przenośnego hasłem,  blokowanie dostępu komputera przenośnego w przypadku, gdy nie jest on wykorzystywany przez pracownika,  wykorzystywanie haseł odpowiedniej jakości, zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym, przetwarzającym dane osobowe,  nie zezwala się osobom nieupoważnionym, do korzystania z komputera przenośnego, na
14
którym przetwarzane są dane osobowe,  kopiowanie danych osobowych, przetwarzanych na komputerze przenośnym do systemu informatycznego, w celu umożliwienia wykonywania kopii awaryjnych tych danych,  korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera przenośnego w miejscach publicznych i w środkach transportu publicznego,  zaleca się stosowanie środków ochrony kryptograficznej podczas transmisji danych z komputerów przenośnych oraz dodatkowo zastosować oprogramowanie do szyfrowania dysków twardych.
§ 5
1. Uwzględniając kategorie przetwarzanych danych osobowych oraz fakt podłączenia do sieci publicznej, Administrator Systemu Informatycznego zobowiązany jest do zastosowania w systemie środków bezpieczeństwa, określonych zgodnych z niniejszą instrukcją.
Rozdział 9
Procedury wykonywania przeglądów, napraw i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych
§ 1
1. Wykonywanie przeglądów i konserwacja systemu informatycznego ma na celu: a) przegląd stosowanych elementów bezpieczeństwa, b) kontrolowanie właściwej konfiguracji systemu, c) sprawdzenie funkcjonalności i jakości pracy systemu, d) zakwalifikowanie sprzętu i urządzeń do naprawy lub modyfikacji. 2. Zakres czynności, o których mowa w ust. 1 pkt a, obejmuje w szczególności: a) sprawdzenie działania urządzeń zabezpieczających przed nieuprawnionym dostępem, b) kontrolę działania awaryjnego zasilania, c) kontrolę czasu uaktywnienia wygaszaczy ekranu oraz sposobu ich zabezpieczenia, d) sprawdzenie poprawności wykonania kopii bezpieczeństwa. 3. Zakres czynności, o których mowa w ust. 1 pkt b i c, obejmuje: a) sprawdzenie poprawności zainstalowanych aplikacji oraz urządzeń, b) inwentaryzację zainstalowanego oprogramowania służącego do przetwarzania danych osobowych, c) kontrolę działania zabezpieczeń systemowych w „Dzienniku Zdarzeń”. § 2 1. Przegląd i konserwację systemu wykonują: a) Administrator Systemu Informatycznego,
15
b) podmioty zewnętrzne, uprawnione przez Administratora Danych Osobowych lub osobę przez niego upoważnioną, do wykonywania naprawy i konserwacji, w obszarze przetwarzania danych osobowych, na podstawie zawartej umowy, c) podmioty zewnętrzne, w ramach usług serwisowych, na podstawie zawartej umowy. 2. Administrator Systemu Informatycznego pozbawia zapisu danych urządzenia, dyski lub inne elektroniczne nośniki informacji, przekazane do naprawy podmiotowi, o którym mowa w ust. 1 pkt c. 3. Napraw i konserwacji, o których mowa w ust. 1 pkt b, dokonuje się pod nadzorem Administratora Systemu Informatycznego lub osoby upoważnionej przez Administratora Danych Osobowych. 4. Administrator Systemu Informatycznego ma obowiązek niezwłocznie powiadomić Administratora Danych Osobowych o działaniach, o których mowa w ust. 1 pkt b i c. 5. Wykaz podmiotów, o których mowa w ust. 1, pkt b i c, prowadzi ABI, którego wzór stanowi załącznik nr 5 do niniejszej Instrukcji.
Rozdział 10
Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego.
§ 1
1. Stałą kontrolę bezpieczeństwa przetwarzania danych osobowych na swoim stanowisku pracy sprawuje użytkownik. 2. Użytkownik zobowiązany jest do zwracania uwagi i zgłaszania do ABI wszelkich zauważonych lub podejrzewanych słabości systemów i usług oraz zagrożeń z nimi związanych. 3. Przypadki podejmowania przez użytkowników wszelkich działań – niezgodnych z ich zakresem obowiązków i obowiązującymi instrukcjami – dotyczących sprzętu, i oprogramowania, uznaje się jako naruszenie bezpieczeństwa danych osobowych.
§ 2
1. Naruszeniem bezpieczeństwa danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub zniszczenia danych lub jakiegokolwiek elementu systemu informatycznego lub nieinformatycznego, niezbędnego do przetwarzania danych. 2. Za naruszenie bezpieczeństwa danych osobowych uważa się w szczególności: a) udostępnienie lub umożliwienie zapoznania się z danymi osobowymi osobom nieupoważnionym, b) zmiany w narzędziach programowych lub sprzętowych, powodujące naruszenie ich integralności, c) kradzież, lub zniszczenie nośników informacji, zawierających dane osobowe,
16
d) złamanie zabezpieczeń, umożliwiające wykonanie czynności wymienionych w ust. 1, e) jakąkolwiek nieupoważnioną ingerencję w przetwarzane dane.
§ 3
1. W przypadku stwierdzenia okoliczności wskazujących na naruszenia bezpieczeństwa danych osobowych, o których mowa w § 14 ust. 2, użytkownik zobowiązany jest do bezzwłocznego powiadomienia bezpośredniego przełożonego, który powiadamia Administratora Danych Osobowych, 2. Administrator Danych Osobowych ma obowiązek po rozpoznaniu sprawy, sporządzić raport z przebiegu zdarzenia, którego wzór stanowi załącznik nr 2 do niniejszej Instrukcji. 3. Do czasu przybycia Administratora Danych Osobowych, użytkownik zobowiązany jest do: a) powstrzymania się od pracy na urządzeniach, w których zaistniało naruszenie systemu bezpieczeństwa, jak również uruchamiania urządzeń, które mogą mieć związek z zaistniałym zdarzeniem, b) zanotowania wszelkich możliwych informacji, związanych ze zdarzeniem, a w szczególności komunikatów pojawiających się na ekranie, c) podjęcia stosownie do zaistniałej sytuacji działań, które zapobiegną ewentualnej utracie danych osobowych, d) fizycznego odłączenia komputera od sieci informatycznej (w uzasadnionych przypadkach). 4. Administrator Danych Osobowych, po otrzymaniu informacji o naruszeniu bezpieczeństwa systemu informatycznego, zleca Administratorowi Systemu Informatycznego podjęcie działań, zmierzających do wyjaśnienia przyczyn powstania zagrożenia, oceny negatywnych skutków oraz do ich usunięcia.
§ 3
1. Administrator Danych Osobowych w przypadku stwierdzenia: a) złego stanu urządzenia lub niewłaściwego działania programu – niezwłocznie informuje Administratora Systemu Informatycznego, który zleca wykonanie czynności serwisowych oraz sporządza dla Administrator Danych Osobowych notatkę wyjaśniającą przyczyny zaistniałej sytuacji, b) naruszenia przez użytkownika obowiązków pracowniczych, w zakresie danych osobowych albo zdarzenia posiadającego znamiona przestępstwa (np. włamanie do sieci) – bezzwłocznie informuje bezpośredniego przełożonego danego użytkownika. 2. W celu realizacji zadań, związanych z ochroną danych osobowych, Administrator Danych Osobowych ma prawo żądania pisemnych wyjaśnień od pracowników,. 3. Wykaz form naruszeń bezpieczeństwa przetwarzania danych osobowych stanowi załącznik nr 3 do niniejszej Instrukcji.
17
Rozdział 11
Postanowienia końcowe
§ 1
Użytkownikom, korzystającym z systemu informatycznego, zabrania się instalowania na komputerach jakiegokolwiek oprogramowania, jeżeli nie są do tego uprawnieni.
§ 2
Użytkownik, dopuszczony do korzystania z systemu informatycznego, musi być przeszkolony przez Administratora Systemu Informatycznego w zakresie inicjowania pracy komputerów, pracujących w sieci oraz postępowania w wypadku wykrycia awarii lub wystąpienia nietypowych zdarzeń.
§ 3
1. Administrator Danych Osobowych prowadzi okresową kontrolę przestrzegania zasad ochrony danych osobowych w Spółki.
§ 4
1. Dane osobowe, przekazane do przetwarzania innemu podmiotowi, na podstawie umowy, mogą być przetwarzane tylko w zakresie i celu określonym w umowie. 2. Odpowiedzialność za przestrzeganie procedur dotyczących bezpieczeństwa danych powierzonych innemu podmiotowi, o których mowa w ust. 1, spoczywa na Administratorze Danych Osobowych lub osobie przez niego upoważnionej oraz podmiocie, z którym zawarto umowę.
§ 5
1. Pracownicy Spółki są odpowiedzialni za przestrzeganie procedur przetwarzania danych osobowych, określonych przez Administratora Danych Osobowych. 2. Naruszenie przez pracownika posiadającego upoważnienie do przetwarzania danych osobowych, postanowień niniejszej Instrukcji może stanowić podstawę do pociągnięcia go do odpowiedzialności, z tytułu naruszenia obowiązków pracowniczych.
§ 6
Administrator Systemu Informatycznego lub inne osoby, upoważnione przez Administratora Danych Osobowych, zobowiązani są do uwzględniania warunków bezpieczeństwa danych osobowych, przy wprowadzeniu rozwiązań programowych i sprzętowych, służących do przetwarzania danych.
§ 7
W sprawach nieuregulowanych, niniejszą Instrukcją, mają zastosowanie przepisy ustawy o ochronie danych osobowych oraz odrębne akty, regulaminy, dotyczące bezpieczeństwa teleinformatycznego.

Co nas wyróżnia?

Personalizacja szkoleń

Wychodząc naprzeciw oczekiwań klientów starannie przygotowujemy programy szkoleniowe tak aby szkolenie było idealną odpowiedzią na wymogi uczestników. Wyróżnia nas przeprowadzana indywidualna analiza potrzeb Klienta, na podstawie której dostosowujemy charakter szkolenia do oczekiwań uczestników, uwzględniając ich kompetencje. Dzięki takiemu procesowi gwarantujemy sukces i pełne zadowolenie uczestnika szkolenia.

Trenerzy

Pragnąc zapewnić naszym klientom wysoką jakość organizowanych przez nas szkoleń współpracujemy z ekspertami z wieloletnim doświadczeniem w swoich dziedzinach. Praktycy, specjaliści, informatycy, certyfikowani trenerzy i egzaminatorzy to nasz główny aut.

Zespół

Największą wartością naszej firmy to zespół – który tworzą ludzie z pasją i wielkim zaangażowaniem. To profesjonaliści, eksperci w swojej dziedzinie pracy. Jesteśmy zespołem który opiera rozwiązania na doświadczeniach i efektywności.

Doświadczenie

Autorskie programy szkoleniowe opierają się na wiedzy i dokonaniach uznanych trenerów w swoich dziedzinach gwarantują nam najwyższą jakość świadczonych usług. Wysoka efektywność zajęć pozwala uczestnikom na wykorzystanie zdobytej wiedzy i umiejętności w codziennej pracy.