Ochrona danych osobowych przetwarzanych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej.
Dz.Urz.MTBiGM.2012.49
Akt utracił mocZARZĄDZENIE Nr 49
MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ
z dnia 19 lipca 2012 r.
w sprawie ochrony danych osobowych przetwarzanych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1
Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej
Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej
Postanowienia ogólne
Postanowienia ogólne
Zasady przetwarzania danych osobowych
Zasady przetwarzania danych osobowych
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
Wykaz zbiorów danych osobowych
Wykaz zbiorów danych osobowych
Środki ochrony danych osobowych
Środki ochrony danych osobowych
Załącznik Nr 1 7
WZÓR
Wyznaczenie do pełnienia funkcji
WZÓR
Wyznaczenie do pełnienia funkcji
I GOSPODARKI MORSKIEJ
WZÓR
Administratora Bezpieczeństwa Informacji
Działając na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
wyznaczam Panią/Pana:
.......................................................................................................................................................
(imię, nazwisko, stanowisko)
do pełnienia funkcji:
Administratora Bezpieczeństwa Informacji
Na czas ........................................................................................................................................
.........................................................................................
(pieczęć i podpis Administratora Danych Osobowych)
Przyjęłam/Przyjąłem:
.................................... .....................................................................................
(miejscowość i data) (podpis osoby wyznaczonej do pełnienia funkcji
Administratora Bezpieczeństwa Informacji)
Wyznaczenie sporządza się w dwóch egzemplarzach, z których jeden otrzymuje ABI, drugi zaś załącza się do akt osobowych pracownika.
Załącznik Nr 2
WZÓR
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH1)
WZÓR
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH1)
I GOSPODARKI MORSKIEJ
WZÓR
Działając na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
upoważniam Panią/Pana:
…………………………………………………………………………………………………...
(imię, nazwisko, stanowisko)
wyznaczoną/ego do pełnienia funkcji
Administratora Bezpieczeństwa Informacji
do przetwarzania danych osobowych w zbiorach określonych w Wykazie zbiorów danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej, dla których Administratorem Danych Osobowych jest2)................................................................................
Upoważnienie jest udzielone na czas pełnienia obowiązków Administratora Bezpieczeństwa Informacji, w zakresie niezbędnym do sprawowania ww. funkcji.
…...……………………………………………………….
(pieczęć i podpis Administratora Danych Osobowych)
Oświadczam, że zapoznałam/em się z Polityką bezpieczeństwa w zakresie ochrony danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej.
Zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w ww. dokumentach oraz nieujawniania informacji zawartych w tych dokumentach, a także danych osobowych, z którymi zapoznam się w trakcie wykonywania obowiązków służbowych. Powyższe informacje zobowiązuję się zachować w tajemnicy przez cały okres zatrudnienia, a także po jego ustaniu.
Oświadczam, że jestem świadoma/my odpowiedzialności karnej, wynikającej z art. 51 - 54a ustawy o ochronie danych osobowych oraz art. 266 Kodeksu karnego.
Przyjęłam/Przyjąłem:
……………………. ……………………………………….……
(miejscowość i data) (czytelny podpis osoby upoważnionej)
______
1) Upoważnienie dla Administratora Bezpieczeństwa Informacji;
2) Należy wpisać właściwego administratora danych (Minister Transportu, Budownictwa i Gospodarki Morskiej lub Dyrektor Generalny Ministerstwa Transportu, Budownictwa i Gospodarki Morskiej).
Upoważnienie sporządza się w dwóch egzemplarzach, z których jeden otrzymuje ABI, drugi zaś załącza się do akt osobowych pracownika.
Załącznik Nr 3 8
WZÓR
Wyznaczenie do pełnienia funkcji
WZÓR
Wyznaczenie do pełnienia funkcji
I GOSPODARKI MORSKIEJ
WZÓR
Administratora Systemu Informatycznego
Działając na podstawie § 3 ust. 4 Polityki bezpieczeństwa w zakresie ochrony danych osobowych w Ministerstwie Transportu Budownictwa i Gospodarki Morskiej
wyznaczam Panią/Pana:
.......................................................................................................................................................
(imię, nazwisko, stanowisko)
do pełnienia funkcji:
Administratora Systemu Informatycznego
.......................................................................................................................................................
(nazwa zbioru)
Na czas .........................................................................................................................................
.............................................................................................
(pieczęć i podpis Administratora Danych Osobowych)
Uzgadniam:
...................................................................
(pieczęć i podpis Dyrektora Biura Zarządzania
Kryzysowego i Ochrony Informacji Niejawnych)
Przyjęłam/Przyjąłem:
................................ .................................................................................".
(miejscowość i data) (podpis osoby wyznaczonej do pełnienia funkcji
Administratora Systemu Informatycznego)
Wyznaczenie sporządza się w trzech egzemplarzach, z których jeden otrzymuje ABI, drugi załącza się do akt osobowych pracownika
Załącznik Nr 4
Zadania ABI, ASI, osoby upoważnionej do przetwarzania danych osobowych oraz dyrektora komórki organizacyjnej, w której przetwarzane są dane osobowe
Zadania ABI, ASI, osoby upoważnionej do przetwarzania danych osobowych oraz dyrektora komórki organizacyjnej, w której przetwarzane są dane osobowe
1) analiza zagrożeń i ryzyk związanych z przetwarzaniem danych osobowych;
2) analiza i w miarę potrzeby aktualizacja dokumentacji w zakresie ochrony danych osobowych;
3) zgłaszanie zbiorów danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych oraz zmian dotyczących zarejestrowanych zbiorów, zgodnie z wymogami ustawy;
4) udzielanie upoważnień do przetwarzania danych osobowych;
5) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
6) monitorowanie środków ochrony danych osobowych określonych w Polityce bezpieczeństwa, w celu potwierdzenia ich adekwatności;
7) organizowanie i prowadzenie szkoleń dla osób upoważnionych do przetwarzania danych osobowych w Ministerstwie;
8) organizowanie i prowadzenie kontroli przetwarzania danych osobowych w Ministerstwie;
9) przygotowanie procedury określającej sposób postępowania w zakresie realizacji zadań wynikających z ustawy o ochronie danych osobowych i zamieszczenie jej na wewnętrznym portalu intranetowym Ministerstwa;
10) nadzór nad realizacją zadań dotyczących bezpieczeństwa danych osobowych, wykonywanych przez ASI;
11) realizowanie obowiązku informacyjnego wobec osób, których dane są przetwarzane, zgodnie z wymogami ustawy;
12) rozpatrywanie wniosków osób, których dane są przetwarzane, dotyczących uzupełnienia, uaktualnienia, sprostowania, wstrzymania przetwarzania lub usunięcia ich danych osobowych.
Do zadań ASI należy w szczególności:
1) analiza zagrożeń i ryzyk związanych z przetwarzaniem danych osobowych;
2) zapewnianie, aby do pracy w systemie dopuszczane były wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych w systemie informatycznym;
3) sprawdzanie poprawności działania systemu;
4) informowanie ABI o wszelkich zauważonych nieprawidłowościach i incydentach skutkujących obniżeniem poziomu ochrony danych osobowych;
5) podejmowanie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszaniu zabezpieczeń systemu informatycznego lub informacji o zmianach, sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych osobowych;
6) dokonywanie analizy sytuacji okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych i przygotowanie oraz przedstawienie Administratorowi danych osobowych odpowiednich zmian w regulacjach wewnętrznych, w tym w Instrukcji zarządzania systemem informatycznym;
7) zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych;
8) zapewnienie funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych;
9) zarządzanie hasłami użytkowników i zapewnianie przestrzegania procedur określających częstotliwość ich zmiany zgodnie z Instrukcją zarządzania systemem informatycznym;
10) sprawdzanie systemu pod kątem obecności wirusów komputerowych zgodnie z Instrukcją zarządzania systemem informatycznym;
11) wykonywanie kopii awaryjnych, ich przechowywanie oraz okresowe sprawdzanie pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu;
12) prowadzenie spraw przeglądów, konserwacji oraz uaktualnienia systemów służących do przetwarzania danych osobowych oraz innych czynności wykonywanych na bazach danych osobowych;
13) prowadzenie spraw likwidacji sprzętu komputerowego, na którym przetwarzane były dane osobowe;
14) nadzór nad prawidłowym ustawieniem monitorów komputerów, w których następuje przetwarzanie danych osobowych, w sposób uniemożliwiający wgląd w dane osobowe osobom nieupoważnionym.
Do zadań osoby upoważnionej do przetwarzania danych osobowych (użytkownika) należy w szczególności:
1) przestrzeganie zasad ochrony danych osobowych określonych w przepisach o ochronie danych osobowych oraz w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym;
2) przetwarzanie danych osobowych zgodnie z celami przetwarzania;
3) informowanie przełożonych o wszelkich zauważonych nieprawidłowościach i incydentach skutkujących obniżeniem poziomu ochrony danych osobowych;
4) zapewnienie poufności danych osobowych, do których uzyskuje dostęp w związku z wykonywaniem czynności służbowych;
5) ochrona zbiorów danych przed zniszczeniem i nieupoważnionym dostępem;
6) niepozyskiwanie danych osobowych z nielegalnych źródeł;
7) przestrzeganie zasad ochrony antywirusowej;
8) okresowa analiza zagrożeń i ryzyka związanego z przetwarzaniem danych osobowych oraz przekazywanie ABI propozycji zmian regulacji wewnętrznych, a w przypadku przetwarzania danych osobowych w systemie informatycznym - w porozumieniu z ASI.
Do zadań dyrektora komórki organizacyjnej, w której przetwarzane są dane osobowe należy w szczególności:
1) składanie wniosku o nadanie, zmianę lub utratę uprawnień użytkownika;
2) informowanie ASI o planowanych nieobecnościach użytkowników, dłuższych niż 14 dni, w celu zablokowania konta użytkownika na czas jego nieobecności w pracy;
3) informowanie ABI o nowych zbiorach danych osobowych oraz o zmianach w zakresie informacji wskazanych w załącznikach Nr 7 i Nr 8 do Polityki bezpieczeństwa.
Załącznik Nr 5
9 (uchylony).
9 (uchylony).
Załącznik Nr 5a 10
WZÓR
UPOWAŻNIENIE
WZÓR
UPOWAŻNIENIE
I GOSPODARKI MORSKIEJ
WZÓR
DO PRZETWARZANIA DANYCH OSOBOWYCH
Działając na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.)
upoważniam Panią/Pana:
.......................................................................................................................................................
(imię, nazwisko, stanowisko)
do przetwarzania danych osobowych w zbiorze (zbiorach) w następującym zakresie:
..............................................................................................................................................................................................................................................................................................................
(nazwa zbioru danych osobowych zgodnie z Wykazem zbiorów danych osobowych w Ministerstwie)
Upoważnienie jest udzielone na czas trwania zatrudnienia na stanowisku pracy, na którym przetwarzane są dane osobowe w ww. zbiorze (zbiorach).
............................................................................................
(pieczęć i podpis Administratora Danych Osobowych * )
Oświadczam, że zapoznałam/em się z Polityką bezpieczeństwa w zakresie ochrony danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej.
Zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w ww. dokumentach oraz nieujawniania informacji zawartych w tych dokumentach, a także danych osobowych, z którymi zapoznam się w trakcie wykonywania obowiązków służbowych. Powyższe informacje zobowiązuję się zachować w tajemnicy przez cały okres zatrudnienia, a także po jego ustaniu.
Oświadczam, że jestem świadoma/my odpowiedzialności karnej, wynikającej z art. 51 - 52 ustawy o ochronie danych osobowych oraz art. 266 Kodeksu karnego.
Przyjęłam/Przyjąłem:
.................................... ......................................................................
(miejscowość i data) (czytelny podpis osoby upoważnionej)
Upoważnienie sporządza się w trzech egzemplarzach, z których jeden otrzymuje upoważniony, drugi załącza się do akt osobowych pracownika, trzeci otrzymuje ABI.
Wypełnia pracownik Biura Dyrektora Generalnego
Pani/Pan .....................................................................................................................................
w dniu ..........................................................................................................................................
została/został przeszkolona/y w zakresie przepisów o ochronie danych osobowych oraz postanowień Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym.
...........................................................................................
(data, czytelny podpis pracownika BDG)
Wypełnia Administrator Systemu Informatycznego w przypadku upoważnienia do przetwarzania danych osobowych w systemie informatycznym
W dniu.................................................
zostało założone konto użytkownika
...........................................................
(identyfikator)
umożliwiające przetwarzanie danych w zbiorze
........................................................................
(nazwa zbioru)
za pomocą systemu informatycznego
........................................................................
(nazwa systemu)
z zakresem uprawnień
.......................................................................................
(opis uprawnień)
W dniu ......................................... użytkownik został przeszkolony w zakresie zasad pracy w systemie informatycznym
..........................................................................................................
(data, czytelny podpis Administratora Systemu Informatycznego)
W dniu ............................................ zostało usunięte konto użytkownika
...........................................................
(identyfikator)
..........................................................................................................".
(data, czytelny podpis Administratora Systemu Informatycznego)
Upoważnienie sporządza się w trzech egzemplarzach, z których jeden otrzymuje upoważniony, drugi załącza się do akt osobowych pracownika, trzeci otrzymuje ABI.
Załącznik Nr 5b 11
WZÓR
UPOWAŻNIENIE
WZÓR
UPOWAŻNIENIE
I GOSPODARKI MORSKIEJ
WZÓR
DO PRZETWARZANIA DANYCH OSOBOWYCH
Działając na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 ,r. Nr 101, poz. 926, z późn. zm.)
upoważniam Panią/Pana:
......................................................................................................................................................
(imię i nazwisko)
do przetwarzania danych osobowych w zbiorze (zbiorach) w następującym zakresie:
..............................................................................................................................................................................................................................................................................................................
(nazwa zbioru danych osobowych zgodnie z Wykazem zbiorów danych osobowych w Ministerstwie)
Upoważnienie jest udzielone na czas ...........................................................................................
...........................................................................................
(pieczęć i podpis Administratora Danych Osobowych * )
Oświadczam, że zapoznałam/em się z Polityką bezpieczeństwa w zakresie ochrony danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej.
Zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w ww. dokumentach i do zachowania tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczania.
Oświadczam, że jestem świadoma/my odpowiedzialności karnej, wynikającej z art. 51 - 52 ustawy o ochronie danych osobowych oraz art. 266 Kodeksu karnego.
Przyjęłam/Przyjąłem:
..................................... ..........................................................................
(miejscowość i data) (czytelny podpis osoby upoważnionej)
Upoważnienie sporządza się w trzech egzemplarzach, z których jeden otrzymuje upoważniony, drugi załącza się do dokumentacji prowadzonej przez komórkę organizacyjną wnioskującą o wydanie upoważnienia, trzeci otrzymuje ABI.
Wypełnia Administrator Systemu Informatycznego w przypadku upoważnienia do przetwarzania danych osobowych w systemie informatycznym
W dniu.................................................
zostało założone konto użytkownika
...........................................................
(identyfikator)
umożliwiające przetwarzanie danych w zbiorze
........................................................................
(nazwa zbioru)
za pomocą systemu informatycznego
........................................................................
(nazwa systemu)
z zakresem uprawnień
.......................................................................................
(opis uprawnień)
W dniu ......................................... użytkownik został przeszkolony w zakresie zasad pracy w systemie informatycznym
..........................................................................................................
(data, czytelny podpis Administratora Systemu Informatycznego)
W dniu ............................................ zostało usunięte konto użytkownika
...........................................................
(identyfikator)
..........................................................................................................".
(data, czytelny podpis Administratora Systemu Informatycznego)
Upoważnienie sporządza się w trzech egzemplarzach, z których jeden otrzymuje upoważniony, drugi załącza się do dokumentacji prowadzonej przez komórkę organizacyjną wnioskującą o wydanie upoważnienia, trzeci otrzymuje ABI.
Załącznik Nr 6
WZÓR
MINISTERSTWO TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ
WZÓR
MINISTERSTWO TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ
DO PRZETWARZANIA
DANYCH OSOBOWYCH
Nr strony... …
Lp. | Imię i nazwisko | Departament/Biuro (pełna nazwa) | Data nadania upoważnienia i numer upoważnienia | Data ustania upoważnienia | Zakres upoważnienia (w tym nazwa zbioru) | Identyfikator | Uwagi |
Załącznik Nr 7
WZÓR
WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE W MINISTERSTWIE TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ ZE WSKAZANIEM ADMINISTRATORA DANYCH OSOBOWYCH, PODSTAWY PRAWNEJ PROWADZENIA DANEGO ZBIORU, PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH
WZÓR
WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE W MINISTERSTWIE TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ ZE WSKAZANIEM ADMINISTRATORA DANYCH OSOBOWYCH, PODSTAWY PRAWNEJ PROWADZENIA DANEGO ZBIORU, PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH
Lp. | Komórka organizacyjna MTBiGM | Nazwa zbioru | Program zastosowany do przetwarzania danych osobowych | Administrator danych osobowych | Podstawa prawna prowadzenia zbioru | Budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe |
Załącznik Nr 8
WZÓR
WZÓR
1. Nazwa zbioru danych osobowych
Nazwa zbioru danych osobowych |
POLA INFORMACYJNE PRZETWARZANE W ZBIORZE |
1. |
2. |
3. |
4. |
5. |
Sposób przepływu danych w systemie/pomiędzy poszczególnymi systemami:
(należy przedstawić w formie graficznej)
Załącznik Nr 9
Środki techniczne i organizacyjne zastosowane w celu ochrony danych osobowych
Środki techniczne i organizacyjne zastosowane w celu ochrony danych osobowych
ŚRODKI ORGANIZACYJNE
ŚRODKI ORGANIZACYJNE
Środki ochrony fizycznej
Środki ochrony fizycznej
2. System tripodów przy wejściu na teren Ministerstwa.
3. Instalacja odgromowa, instalacja przeciwpożarowa.
Zasady pracy ze zbiorami danych osobowych
Zasady pracy ze zbiorami danych osobowych
2. Klucze od szaf, w których przechowywane są dokumenty zawierające dane osobowe, umieszczane są przez osobę upoważnioną do przetwarzania danych osobowych po zakończeniu dnia jej pracy w ustalonym, przeznaczonym do tego miejscu.
3. Przetwarzanie danych osobowych w komputerach przenośnych jest zakazane.
4. Drukowanie dokumentów zawierających dane osobowe odbywa się wyłącznie w obecności osoby uprawnionej do przetwarzania danych osobowych zawartych w drukowanych dokumentach.
5. Komputerowy wygaszacz ekranu aktywowany jest automatycznie w przypadku braku aktywności osoby upoważnionej do przetwarzania danych osobowych dłuższej niż 5 minut.
6. Ekrany komputerowe ustawione są w sposób uniemożliwiający zapoznanie się z treścią na nich wyświetloną przez osoby nieupoważnione do przetwarzania danych zawartych w tych komputerach.
7. Osoba upoważniona do przetwarzania danych osobowych, na czas swojej nieobecności zamyka drzwi pokoju na klucz.
8. Osoba upoważniona do przetwarzania danych osobowych po zakończeniu dnia jej pracy, zamyka okna, zamyka drzwi pokoju na klucz, który składa na portierni.
9. Osoby nieuprawnione nie są pozostawiane bez nadzoru w pokojach, w których przetwarzane są dane osobowe.
10. Osoba upoważniona do przetwarzania danych osobowych nie dopuszcza do sytuacji, w której stanowisko pracy pracownika zajmie osoba nieuprawniona do przetwarzania danych osobowych.
Zasady korzystania z haseł przez osoby uprawnione do przetwarzania danych osobowych w systemach informatycznych
Zasady korzystania z haseł przez osoby uprawnione do przetwarzania danych osobowych w systemach informatycznych
2. Użytkownik końcowy systemu informatycznego:
1) przechowuje swoje hasło w sposób uniemożliwiający zapoznanie się z nim przez inne osoby;
2) występuje do ASI o zmianę hasła w przypadku co najmniej podejrzenia ujawnienia hasła.
Zarządzanie nieprawidłowościami systemu informatycznego i zbioru manualnego
Zarządzanie nieprawidłowościami systemu informatycznego i zbioru manualnego
2. Każda nieprawidłowość oraz incydent, które mogą skutkować obniżeniem stopnia ochrony danych osobowych, są wyjaśniane i usuwane przez ABI, a w przypadku nieprawidłowości systemu informatycznego - we współpracy z ASI.
3. Kontrole ochrony przetwarzania danych przeprowadza ABI.
Szkolenia
Szkolenia
1) przepisów o ochronie danych osobowych oraz postanowień Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym;
2) zasad pracy w systemie informatycznym - w przypadku przetwarzania danych w systemie informatycznym.
ŚRODKI TECHNICZNE
ŚRODKI TECHNICZNE
Środki ochrony systemów informatycznych i narzędzi baz danych
Środki ochrony systemów informatycznych i narzędzi baz danych
2. System informatyczny umożliwia dostęp do bazy tylko upoważnionym użytkownikom.
3. Każdy użytkownik posiada indywidualne hasło i identyfikator.
4. Nazwa profilu użytkownika nie zmienia się przez cały okres jego pracy w Ministerstwie, z wyłączeniem takich przypadków jak np. zmiana nazwiska.
5. Liczba użytkowników posiadających uprawnienia do przetwarzania danych osobowych w danym systemie powinna być ograniczona do niezbędnego minimum, jednak nie mniej niż do dwóch osób.
6. W komputerach użytkowników przetwarzających dane osobowe zainstalowane są jedynie kopie oprogramowania, do których Ministerstwo posiada prawo do instalacji i eksploatacji. Instalacji dokonują wyłącznie pracownicy Pionu Informatyki.
7. W celu zmniejszenia prawdopodobieństwa ataku wirusowego:
1) oprogramowanie systemów podlega kontroli konfiguracji, wykonywanej przez pracowników Pionu Informatyki;
2) nośniki ze źródeł zewnętrznych są sprawdzane na obecność wirusów;
3) w systemie zainstalowane jest wyłącznie autoryzowane oprogramowanie licencjonowane;
4) wymiana oprogramowania ograniczona jest tylko do uzasadnionych przypadków.
Zabezpieczenie sprzętu
Zabezpieczenie sprzętu
2. Stanowiska dostępowe podłączane są do sieci zasilającej dedykowanej lub do lokalnych UPS.
3. Konserwacja sprzętu komputerowego, na którym przechowywane są bazy zawierające dane osobowe, odbywa się w terminach określonych przez producenta sprzętu lub dostawcę w instrukcji obsługi, w siedzibie Ministerstwa.
4. Użytkownik po wykryciu usterki sprzętu komputerowego lub innego problemu związanego ze sprzętem lub oprogramowaniem - kontaktuje się z odpowiednim - ASI bądź ABI. ASI - po konsultacji z użytkownikiem, podejmuje decyzje o zasadności zgłoszenia zlecenia naprawy sprzętu bądź oprogramowania i kontaktuje się z pracownikiem Pionu Informatyki odpowiedzialnym za naprawę.
5. Realizacja naprawy o ile to możliwe odbywa się w miejscu użytkowania danego sprzętu komputerowego. Podczas naprawy użytkownik odpowiedzialny za sprzęt nadzoruje prace związane z realizacją naprawy.
6. Ze sprzętu komputerowego przekazywanego do naprawy poza siedzibę Ministerstwa pracownicy Pionu informatyki usuwają wszystkie nośniki informacji, na których przechowywane są dane osobowe. Nośnik te przechowywane są przez użytkownika systemu informatycznego w szafie zamykanej na klucz. Ponownej instalacji nośników dokonują pracownicy Pionu Informatyki
7. Naprawy i konserwacje sprzętu komputerowego, na którym przechowywane są bazy zawierające dane osobowe, są ewidencjonowane na formularzach napraw i konserwacji sprzętu, które zawierają:
1) datę dokonanej naprawy lub konserwacji;
2) typ oraz numer sprzętu;
3) opis wykonanych czynności;
4) imię i nazwisko osoby dokonującej naprawy;
5) imię i nazwisko osoby nadzorującej.
8. Formularze, o którym mowa w ust. 7 prowadzi Pion informatyki.
9. W przypadku przekazywania osobom trzecim sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych pracownicy Pionu informatyki usuwają wszelkie nośniki danych, na których rejestrowane były dane osobowe.
ZAŁĄCZNIK Nr 2
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Ministerstwie Transportu, Budownictwa i Gospodarki Morskiej
- zmieniony przez § 1 pkt 2 zarządzenia nr 9 z dnia 26 kwietnia 2013 r. (Dz.Urz.MTBiGM.13.21) zmieniającego nin. zarządzenie z dniem 26 kwietnia 2013 r.
- zmieniony przez § 1 pkt 1 lit. a) zarządzenia nr 33 z dnia 9 października 2013 r. (Dz.Urz.MTBiGM.2013.64) zmieniającego nin. zarządzenie z dniem 10 października 2013 r.