System ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym. - OpenLEX

System ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym.

Dzienniki resortowe

Dz.Urz.CBA.2011.1.23

Akt utracił moc
Wersja od: 3 stycznia 2011 r.

DECYZJA Nr 2/11
SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO
z dnia 3 stycznia 2011 r.
w sprawie systemu ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym

Na podstawie § 1 statutu Centralnego Biura Antykorupcyjnego, stanowiącego załącznik do zarządzenia nr 72 Prezesa Rady Ministrów z dnia 6 października 2010 r. w sprawie nadania statutu Centralnemu Biuru Antykorupcyjnemu (M. P. Nr 76, poz. 953), w związku z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.1)) postanawia się, co następuje:
§  1.
Decyzja określa:
1)
sposób organizacji ochrony danych osobowych przetwarzanych w Centralnym Biurze Antykorupcyjnym, zwanym dalej "CBA";
2)
zadania administratora danych;
3)
zadania administratora bezpieczeństwa informacji, lokalnych administratorów danych osobowych, administratora systemu oraz administratorów bezpieczeństwa zbiorów;
4)
zadania pełnomocnika do spraw kontroli przetwarzania przez CBA danych osobowych, o którym mowa w art. 22b ustawy o Centralnym Biurze Antykorupcyjnym (Dz. U. 2006 r. Nr 104, poz. 708 z późn. zm.2)), zwanego dalej "pełnomocnikiem";
5)
wzory dokumentów stosowanych w związku z przetwarzaniem danych osobowych.
§  2.
1.
System ochrony danych osobowych w CBA tworzą:
1)
administrator danych osobowych;
2)
pełnomocnik;
3)
administrator bezpieczeństwa informacji;
4)
lokalni administratorzy danych osobowych;
5)
administrator systemu;
6)
administratorzy bezpieczeństwa zbiorów.
2.
Podmioty, o których mowa w ust. 1, każdy w zakresie swojego działania, odpowiadają za realizację obowiązku przestrzegania zasady legalności, celowości, merytorycznej poprawności oraz adekwatności przetwarzania danych osobowych w CBA.
§  3.
1.
Administratorem danych osobowych jest Szef CBA.
2.
Administrator danych osobowych podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem konieczności właściwej realizacji zadań CBA oraz aktualnych technik zabezpieczenia tych danych.
§  4.
1.
Administrator bezpieczeństwa informacji nadzoruje przestrzeganie zasad ochrony przetwarzanych danych osobowych w CBA.
2.
Administrator bezpieczeństwa informacji wykonuje również powierzone mu zadania administratora danych osobowych polegające na:
1)
opracowaniu i aktualizacji dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych w CBA, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, na którą składają się polityka bezpieczeństwa ochrony danych osobowych w CBA i instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych osobowych w CBA, zwana dalej "instrukcją", określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych" (Dz. U. Nr 100, poz. 1024), zwanym dalej "rozporządzeniem";
2)
prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w CBA, zwanego dalej "wykazem";
3)
nadzorze nad realizacją obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
4)
dokonywaniu okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych oraz wdrażaniu zmian w polityce bezpieczeństwa ochrony danych osobowych w CBA w celu zapewnienia właściwego poziomu ochrony przetwarzanych danych osobowych;
5)
realizowaniu procedur związanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych osobowych przetwarzanych w CBA podlegających rejestracji;
6)
przeprowadzaniu szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do przetwarzania danych osobowych;
7)
udzielaniu osobom uprawnionym informacji o zasadach i sposobach przetwarzania danych osobowych w CBA.
3.
Instrukcja, o której mowa w ust. 2 pkt 1, stanowi załącznik nr 1.
4.
Wzór wykazu, o którym mowa w ust. 2 pkt 2, określa załącznik nr 2.
5.
Polityka bezpieczeństwa ochrony danych osobowych w CBA, o której mowa w ust. 2 pkt 4, stanowi załącznik nr 3.
§  5.
Zadania administratora bezpieczeństwa informacji, o których mowa w § 4, wykonuje pełnomocnik powołany przez Szefa CBA.
§  6.
Pełnomocnik, niezależnie od zadań określonych w § 4, sprawuje nadzór nad zgodnością przetwarzania danych osobowych gromadzonych w CBA z przepisami prawa, na podstawie odrębnych przepisów, w szczególności przez:
1)
kontrolę prawidłowości przetwarzania przez CBA danych osobowych;
2)
wydawanie pisemnych poleceń usunięcia stwierdzonych uchybień w zakresie prawidłowości przetwarzania danych osobowych;
3)
prowadzenie działań zmierzających do wyjaśnienia okoliczności naruszenia przepisów prawa w zakresie przetwarzania danych osobowych w CBA;
4)
wydawanie zaleceń dotyczących usprawnienia systemu ochrony danych osobowych w CBA;
5)
inicjowanie zmian w polityce bezpieczeństwa ochrony danych osobowych w CBA w celu zapewnienia właściwego poziomu ochrony przetwarzanych danych osobowych.
§  7.
Administrator bezpieczeństwa informacji realizuje zadania wynikające z przepisów dotyczących ochrony danych osobowych przy pomocy:
1)
lokalnych administratorów danych osobowych;
2)
administratorów bezpieczeństwa zbioru;
3)
administratora systemu.
§  8.
Zadania lokalnych administratorów danych osobowych wykonują, w podległych im jednostkach organizacyjnych CBA, o których mowa w § 3 ust. 1 statutu Centralnego Biura Antykorupcyjnego, stanowiącego załącznik do zarządzenia nr 72 Prezesa Rady Ministrów z dnia 6 października 2010 r. w sprawie nadania statutu Centralnemu Biuru Antykorupcyjnemu (M. P. Nr 76, poz. 953), zwanych dalej "jednostkami organizacyjnymi", kierownicy tych jednostek.
§  9.
1.
Lokalni administratorzy danych osobowych są obowiązani do:
1)
wyznaczania spośród podległych im funkcjonariuszy lub pracowników CBA administratorów bezpieczeństwa zbiorów, w których przetwarzane są dane osobowe;
2)
kierowania na szkolenie osób upoważnionych do przetwarzania danych osobowych z przepisów obowiązujących w tym zakresie;
3)
wykonywania zaleceń administratora bezpieczeństwa informacji w zakresie ochrony danych osobowych;
4)
niezwłocznego przekazywania administratorowi bezpieczeństwa informacji aktualnych danych do wykazu, w przypadku zaistnienia zmian w tych danych.
2.
Lokalni administratorzy danych osobowych, w podległych im jednostkach organizacyjnych CBA, na podstawie upoważnienia Szefa CBA wykonują zadania administratora danych osobowych polegające na:
1)
nadawaniu upoważnień do przetwarzania danych osobowych dla podległych funkcjonariuszy i pracowników CBA;
2)
określaniu obowiązków i zakresu odpowiedzialności osób upoważnionych do przetwarzania danych osobowych oraz prowadzeniu ewidencji tych osób;
3)
stosowaniu środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych;
4)
udostępnianiu danych osobowych ze zbiorów danych, w związku z realizacją zadań służbowych, podmiotom uprawnionym do ich otrzymania.
3.
Zakres i formę upoważnienia, o którym mowa w ust. 2 pkt 1, określają odrębne przepisy dotyczące zakresów obowiązków i odpowiedzialności funkcjonariuszy i pracowników CBA.
4.
Wzór ewidencji, o której mowa w ust. 2 pkt 2, określa załącznik nr 4.
§  10.
Administratorzy bezpieczeństwa zbiorów są obowiązani w zakresie podległych im zbiorów danych osobowych do:
1)
wdrażania i nadzorowania przestrzegania instrukcji oraz polityki bezpieczeństwa ochrony danych osobowych w CBA;
2)
wykonywania zaleceń administratora bezpieczeństwa informacji w zakresie ochrony danych osobowych.
§  11.
1.
Administratorem systemu jest kierownik jednostki organizacyjnej, do której zadań należy zapewnienie ciągłości działania systemów i sieci teleinformatycznych służących do przetwarzania danych osobowych.
2.
Szczegółowe zadania administratora systemu określa instrukcja.
§  12.
W terminie 30 dni od dnia wejścia w życie decyzji, lokalni administratorzy danych osobowych:
1)
rozpoczną realizację obowiązków, o których mowa w § 9 ust. 2 pkt 2,
2)
przekażą administratorowi bezpieczeństwa informacji w formie elektronicznej, dane do wykazu, zgodnie z załącznikiem nr 1 do decyzji.
§  13.
Decyzja wchodzi w życie z dniem podpisania, z wyjątkiem § 16, § 22 i § 25 załącznika nr 1 do decyzji oraz § 14 załącznika nr 3 do decyzji, które wchodzą w życie w terminie 6 miesięcy od dnia podpisania.
______

1) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170 i Nr 176, poz. 1238 oraz z 2010 r. Nr 41, poz. 233 i Nr 182, poz. 1228.

2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. Nr 158, poz. 1122 i Nr 218, poz. 1592, z 2008 r. Nr 171, poz. 1056, z 2009 r. Nr 18, poz. 97, Nr 85, poz. 716 i Nr 157, poz. 1241 oraz z 2010 r. Nr 151, poz. 1014 i Nr 182, poz. 1228.

ZAŁĄCZNIKI

ZAŁĄCZNIK Nr  1

Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych osobowych w Centralnym Biurze Antykorupcyjnym

Rozdział  I

Zagadnienia ogólne

§  1.
Instrukcja określa sposób zarządzania i funkcjonowania systemu teleinformatycznego, wykorzystywanego do przetwarzania danych osobowych w CBA, zwanego dalej "systemem teleinformatycznym", w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
§  2.
Przepisów instrukcji nie stosuje się w przypadku, gdy system teleinformatyczny posiada szczegółową dokumentację przetwarzania danych osobowych, która spełnia wymagania dla dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, o której mowa w rozporządzeniu.

Rozdział  II

Procedura nadawania uprawnień do przetwarzania danych osobowych i rejestrowanie lub wyrejestrowywanie uprawnień w systemie teleinformatycznym

§  3.
1.
Dostęp do systemu teleinformatycznego może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych przez lokalnego administratora danych osobowych, zarejestrowana jako użytkownik w tym systemie przez administratora systemu.
2.
Rejestracja użytkownika, o której mowa w ust. 1, następuje na wniosek lokalnego administratora danych osobowych i polega na przyporządkowaniu użytkownikowi w systemie: identyfikatora, przydzieleniu hasła i nadaniu określonych we wniosku uprawnień oraz wprowadzeniu tych danych do bazy użytkowników systemu.
§  4.
1.
Wyrejestrowania użytkownika z systemu teleinformatycznego dokonuje administrator systemu na wniosek lokalnego administratora danych osobowych lub administratora bezpieczeństwa informacji.
2.
Wyrejestrowanie, o którym mowa w ust. 1, może mieć charakter czasowy lub trwały.
3.
Wyrejestrowanie następuje poprzez:
1)
zablokowanie konta użytkownika lub odebranie uprawnień do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe);
2)
usunięcie danych użytkownika z bazy użytkowników systemu lub odebranie uprawnień (wyrejestrowanie trwałe).
§  5.
Czasowe wyrejestrowanie użytkownika z systemu teleinformatycznego może nastąpić w razie:
1)
nieobecności dłuższej niż 30 dni kalendarzowych;
2)
zawieszenia w czynnościach służbowych;
3)
wszczęcia postępowania dyscyplinarnego;
4)
przeniesienia do dyspozycji Szefa CBA.
§  6.
Rozwiązanie lub wygaśnięcie stosunku służby, pracy lub innego stosunku prawnego, w ramach którego użytkownik wykonywał swoje obowiązki oraz odebranie uprawnień, stanowi podstawę do trwałego wyrejestrowania użytkownika z systemu teleinformatycznego.

Rozdział  III

Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

§  7.
1.
Użytkownicy są obowiązani do logowania się do systemu teleinformatycznego tylko na własne konto założone przez administratora systemu.
2.
Dostęp jest indywidualnie zdefiniowany dla każdego użytkownika. Użytkownik ma dostęp jedynie do zasobów, które są mu niezbędne do wykonywania obowiązków służbowych.
3.
Tożsamość każdego użytkownika systemu jest jednoznacznie określona i jest sprawdzona przed rozpoczęciem pracy w systemie (uwierzytelnienie).
4.
Uwierzytelnienie w systemie teleinformatycznym odbywa się z wykorzystaniem indywidualnych haseł oraz wymaga od użytkowników, w szczególności:
1)
nieujawniania haseł do kont w systemie teleinformatycznym;
2)
natychmiastowej zmiany hasła w przypadku podejrzenia jego ujawnienia, o ile istnieje taka możliwość techniczna.
§  8.
1.
Aktualne hasła do kont administratora systemu przechowuje administrator systemu w zbiorze haseł awaryjnych.
2.
Hasła, o których mowa w ust. 1, są przechowywane odrębnie dla każdego systemu i zabezpieczone przed dostępem osób nieuprawnionych.
3.
Administrator systemu dokumentuje każdy dostęp i użycie hasła ze zbioru, o którym mowa w ust. 1.
§  9.
1.
Użytkownik jest odpowiedzialny za użycie zasobów teleinformatycznych przy wykorzystaniu jego identyfikatora i hasła, z zastrzeżeniem ust. 5.
2.
Hasło powinno składać się z unikalnego zestawu co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie może być identyczne z identyfikatorem użytkownika ani jego imieniem lub nazwiskiem.
3.
Pierwsze hasło wymagane do uwierzytelnienia się w systemie teleinformatycznym przydzielane jest przez administratora systemu po pouczeniu osoby upoważnionej o obowiązku zachowania w tajemnicy pierwszego i następnych haseł oraz potwierdzeniu odbioru pierwszego hasła.
4.
System teleinformatyczny powinien wymuszać zmianę hasła przy pierwszym logowaniu oraz co 30 dni.
5.
Administrator bezpieczeństwa informacji może, w uzasadnionych sytuacjach polecić dokonanie zmiany hasła przez użytkownika.
6.
Administrator systemu jest uprawniony do dokonania zmiany hasła dostępu do konta użytkownika.
7.
Zablokowanie konta użytkownika w systemie następuje po trzech nieudanych próbach wprowadzenia hasła, o ile istnieje taka możliwość techniczna.

Rozdział  IV

Procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu teleinformatycznego

§  10.
1.
Rozpoczęcie pracy na stacji roboczej w systemie teleinformatycznym następuje po wprowadzeniu indywidualnego, znanego tylko użytkownikowi, hasła i identyfikatora (logowanie).
2.
W pomieszczeniu, w którym przetwarzane są dane osobowe, mogą znajdować się osoby postronne tylko za zgodą i w towarzystwie użytkownika lub innej osoby upoważnionej do przebywania w tym pomieszczeniu.
§  11.
1.
W przypadku czasowego opuszczenia stanowiska pracy użytkownik jest obowiązany zablokować stację roboczą.
2.
Zakończenie pracy na stacji roboczej następuje po prawidłowym wylogowaniu się użytkownika.
§  12.
1.
W przypadku braku możliwości załogowania się na konto przez użytkownika lub stwierdzenia innych nieprawidłowości w pracy systemu, użytkownik jest zobowiązany powiadomić niezwłocznie administratora systemu.
2.
W przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane osobowe lub użytkowane w tym celu narzędzia programowe lub sprzętowe, użytkownik jest zobowiązany powiadomić administratora systemu oraz lokalnego administratora danych osobowych.

Rozdział  V

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz zasady ich przechowywania

§  13.
1.
Użytkownicy nie są upoważnieni do kopiowania całych zbiorów danych osobowych.
2.
Całe zbiory danych mogą być kopiowane tylko przez administratora systemu, administratora bezpieczeństwa zbioru lub automatycznie przez system, z zachowaniem procedur ochrony danych osobowych.
3.
Jednostkowe dane osobowe mogą być kopiowane na nośniki magnetyczne, optyczne i inne, z zastrzeżeniem, że po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane.
§  14.
1.
Tworzenie kopii zapasowych zbiorów danych jest obligatoryjne.
2.
Częstotliwość tworzenia kopii zapasowych musi uwzględniać charakter zbioru, częstotliwość jego modyfikacji, zmiany liczby danych oraz zasady jego funkcjonowania.
§  15.
1.
Kopie zapasowe mogą być udostępniane:
1)
lokalnemu administratorowi danych osobowych;
2)
administratorowi bezpieczeństwa zbioru;
3)
administratorowi systemu;
4)
administratorowi bezpieczeństwa informacji.
2.
Nośniki zawierające kopie zapasowe należy oznaczać jako "kopia zapasowa" wraz z podaniem daty sporządzenia i nazwy systemu teleinformatycznego.
§  16.
Administrator bezpieczeństwa informacji w uzgodnieniu z lokalnym administratorem danych osobowych oraz administratorem systemu niezwłocznie określi:
1)
szczegółowe procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania;
2)
zasady przechowywania kopii, o których mowa w pkt 1.

Rozdział  VI

Sposób i miejsce przechowywania elektronicznych nośników informacji zawierających dane osobowe

§  17.
1.
Elektroniczne nośniki informacji zawierające dane osobowe przechowuje się w sposób zapewniający ochronę przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem.
2.
Dopuszcza się przechowywanie nośników, o których mowa w ust. 1, w zamykanych na klucz meblach biurowych, z wyłączeniem przypadków, gdy odrębne przepisy nakładają wyższe rygory bezpieczeństwa ich przechowywania.
3.
Nośniki, o których mowa w ust. 1, podlegają obligatoryjnemu ewidencjonowaniu.
§  18.
Nośniki, o których mowa w § 17 ust. 1, nie mogą być pozostawiane bez nadzoru poza obszarem przetwarzania danych osobowych.
§  19.
Podstawowe zasady bezpieczeństwa przetwarzania danych osobowych w CBA, o których mowa w "Polityce bezpieczeństwa ochrony danych osobowych w CBA" stosuje się również do danych osobowych zgromadzonych na nośnikach, o których mowa w § 17 ust. 1.

Rozdział  VII

Zabezpieczenie systemu teleinformatycznego przed oprogramowaniem szkodliwym oraz przeglądy i konserwacja systemów i nośników służących do przetwarzania danych osobowych

§  20.
1.
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, uszkodzone lub nienadające się do dalszej eksploatacji niszczy się w sposób uniemożliwiający ich odczytanie.
2.
Naprawa urządzeń, dysków lub innych elektronicznych nośników informacji, zawierających dane osobowe jest przeprowadzana wyłącznie na obszarze przetwarzania danych osobowych w CBA.
3.
Naprawa urządzeń przetwarzających dane osobowe może zostać przeprowadzona poza siedzibą CBA po wymontowaniu z nich i pozostawieniu w siedzibie CBA dysków lub innych elektronicznych nośników informacji.
§  21.
Administrator systemu jest obowiązany do:
1)
zainstalowania i aktualizowania oprogramowania antywirusowego oraz określenia częstotliwości automatycznych aktualizacji definicji wirusów, dokonywanych przez to oprogramowanie;
2)
usuwania wszelkich nieprawidłowości w pracy systemu;
3)
zapewnienia ciągłości pracy systemu i nadzoru nad jego prawidłowym funkcjonowaniem;
4)
przeglądu i konserwacji systemu.
§  22.
1.
Administrator bezpieczeństwa informacji, w uzgodnieniu z administratorem systemu, niezwłocznie określi sposób zabezpieczenia systemu teleinformatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu.
2.
Administrator bezpieczeństwa informacji, w uzgodnieniu z administratorem systemu oraz lokalnym administratorem danych określi procedury wykonywania przeglądów i konserwacji systemów oraz nośników służących do przetwarzania danych osobowych.

Rozdział  VIII

Warunki eksploatacji systemu teleinformatycznego oraz realizacji wymagań rozliczalności przetwarzania danych osobowych w systemach

§  23.
1.
System teleinformatyczny posiadający połączenie z Internetem chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
2.
Administrator bezpieczeństwa informacji, w uzgodnieniu z administratorem systemu oraz lokalnym administratorem danych, niezwłocznie określi sposób zabezpieczenia systemu teleinformatycznego posiadającego połączenie z Internetem.
§  24.
System teleinformatyczny umożliwia automatycznie:
1)
przypisanie przetwarzanych danych użytkownikowi, identyfikowanego w systemie na podstawie unikalnego, przyznanego mu identyfikatora, który te dane przetwarza;
2)
sygnalizację wygaśnięcia czasu obowiązywania hasła dostępu do konta użytkownika, o ile istnieje taka możliwość techniczna.
§  25.
Administrator bezpieczeństwa informacji w uzgodnieniu z administratorem systemu, oraz lokalnym administratorem danych określi rodzaj, zakres i czas przechowywania informacji o zdarzeniach w systemie teleinformatycznym, gromadzonych dla potrzeb kontroli.
§  26.
Do podstawowych zasad bezpiecznej eksploatacji systemów przeznaczonych do przetwarzania danych osobowych należy:
1)
zakaz podłączania do gniazd dedykowanej sieci elektrycznej przeznaczonych dla sprzętu komputerowego innych urządzeń;
2)
obowiązek dbania o prawidłową eksploatację sprzętu i oprogramowania zgodnie z instrukcjami, wytycznymi administratora systemu i administratora bezpieczeństwa informacji oraz zaleceniami producenta.

ZAŁĄCZNIK Nr  2

WZÓR

Wykaz zbiorów danych osobowych przetwarzanych w ..........................................................................

(nazwa jednostki organizacyjnej)
Lp.Nazwa zbioru danychPodstawa prawna utworzenia zbioru danychData utworzenia zbioru danychCel przetwarzania danych osobowychForma funkcjonowania zbioru danych1)Imię i nazwisko administratora bezpieczeństwa zbioru danychMiejsce przetwarzania danych osobowych2)Klauzula tajności zbioru danychDokumentacja dotycząca funkcjonowania zbioru danychPoziom bezpieczeństwa danych osobowych3)

..................................................................................................

(data, podpis i pieczęć kierownika jednostki organizacyjnej)

______

1) Ewidencja papierowa/system teleinformatyczny/dualny (papierowy i teleinformatyczny), w przypadku zbioru funkcjonującego w systemie teleinformatycznym należy dodatkowo wskazać program zastosowany do przetwarzania danych, system scentralizowany/rozproszony - z uwagi na strukturę zbioru,

2) Adres siedziby, piętro, nr pokoju; w przypadku przetwarzania danych osobowych w środowisku rozproszonym należy wskazać nazwę sieci lub lokalizację stanowisk, na których są przetwarzane dane,

3) Podstawowy (w systemie teleinformatycznym nie są przetwarzane dane, o których mowa w art. 27 ust. 1 ustawy; żadne z urządzeń systemu nie jest połączone z siecią publiczną); podwyższony (w systemie teleinformatycznym są przetwarzane dane, o których mowa w art. 27 ust. 1 ustawy; żadne z urządzeń systemu nie jest połączone z siecią publiczną); wysoki (co najmniej jedno urządzenie systemu teleinformatycznego połączone jest z siecią publiczną).

ZAŁĄCZNIK Nr  3

Polityka bezpieczeństwa ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym

Rozdział  I

Cel i zakres stosowania

§  1.
Polityka bezpieczeństwa ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym, zwana dalej "polityką bezpieczeństwa", ma na celu zabezpieczenie przetwarzanych danych osobowych w Centralnym Biurze Antykorupcyjnym, w tym danych, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.).
§  2.
1.
Polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach teleinformatycznych.
2.
Dane osobowe mogą być przetwarzane w systemach teleinformatycznych Centralnego Biura Antykorupcyjnego, zwanego dalej "CBA", połączonych z Internetem pod warunkiem wykorzystania dostarczonych przez administratora systemu urządzeń i technologii oraz połączenia udostępnionego i administrowanego przez administratora systemu.

Rozdział  II

Obowiązki osób upoważnionych do przetwarzania danych osobowych

§  3.
1.
Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do dostępu i przetwarzania danych osobowych, zarówno funkcjonariuszy, jak i pracowników CBA.
2.
Osoba upoważniona do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków służbowych.
3.
Zwolnienie ze służby, rozwiązanie stosunku pracy, odwołanie z zajmowanego stanowiska i przeniesienie do dyspozycji Szefa CBA powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych.
§  4.
1.
Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do zachowania w tajemnicy danych osobowych.
2.
Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres pełnienia służby lub zatrudnienia w CBA, a także po ustaniu stosunku służby lub pracy.
§  5.
1.
Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do zapoznania się i przestrzegania przepisów prawa w zakresie ochrony danych osobowych oraz postanowień polityki bezpieczeństwa i instrukcji.
2.
Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do stosowania określonych przez administratora danych oraz administratora bezpieczeństwa informacji procedur oraz zaleceń mających na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych.
§  6.
1.
Osoba upoważniona do przetwarzania danych osobowych korzysta z systemu teleinformatycznego CBA zgodnie z dokumentacją użytkową i zaleceniami administratora bezpieczeństwa informacji.
2.
Osoba upoważniona do przetwarzania danych osobowych jest obowiązana:
1)
zabezpieczać dane przed ich udostępnianiem osobom nieupoważnionym;
2)
przetwarzać dane w sposób uniemożliwiający dostęp osób nieupoważnionych.

Rozdział  III

Obszary przetwarzania danych osobowych

§  7.
1.
Obszar przetwarzania danych osobowych w CBA stanowi obszar budynków pozostających w dyspozycji CBA, nad którymi nadzór sprawuje wyłącznie CBA.
2.
Środki bezpieczeństwa, w tym środki ochrony fizycznej, stosowane w obszarach przetwarzania danych osobowych na podstawie odrębnych przepisów, stosuje się również do systemów teleinformatycznych i danych, o których mowa w § 2 ust. 2.
3.
Przetwarzanie danych osobowych poza obszarami, o których mowa w ust. 1, jest dopuszczalne za zgodą lokalnego administratora danych osobowych.

Rozdział  IV

Szkolenia z zakresu ochrony danych osobowych

§  8.
1.
Administrator bezpieczeństwa informacji przeprowadza szkolenia dla osób upoważnionych do przetwarzania danych osobowych.
2.
Szkolenie przeprowadza się obligatoryjnie:
1)
przed udzieleniem osobie upoważnienia do przetwarzania danych osobowych,
2)
w przypadku istotnej zmiany zasad ochrony danych osobowych.
§  9.
Tematyka szkoleń obejmuje:
1)
przepisy dotyczące ochrony danych osobowych;
2)
sposoby ochrony danych przed osobami postronnymi i zasady udostępniania danych osobom, których one dotyczą;
3)
obowiązki osób upoważnionych do przetwarzania danych osobowych i innych;
4)
odpowiedzialność za naruszenie obowiązków z zakresu ochrony danych osobowych.

Rozdział  V

Zasady ochrony danych osobowych

§  10.
Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do:
1)
przetwarzania danych wyłącznie w zakresie zgodnym z udzielonym upoważnieniem;
2)
przetwarzania danych tylko w zakresie wynikającym z obowiązków służbowych;
3)
przetwarzania danych osobowych w celach zgodnych z celem gromadzenia i przetwarzania tych danych w CBA;
4)
ciągłej weryfikacji adekwatności i niezbędności posiadanych oraz przetwarzanych danych osobowych.
§  11.
1.
Osoby upoważnione do przetwarzania danych osobowych są obowiązane do przestrzegania zasad bezpieczeństwa systemu teleinformatycznego, do którego posiadają dostęp, w szczególności poprzez:
1)
zakaz samodzielnego instalowania oprogramowania na urządzeniach przetwarzających dane osobowe;
2)
zakaz gromadzenia i przechowywania w urządzeniach przetwarzających dane osobowe, danych niezwiązanych z realizacją zadań służbowych, w szczególności plików multimedialnych;
3)
zakaz celowego opracowywania, generowania, kompilowania, kopiowania, rozpowszechniania, uruchamiania lub próby wprowadzania szkodliwych kodów komputerowych, określanych powszechnie jako "kody złośliwe" (np. wirusów, trojanów, keyloggerów itp.), na urządzeniach przetwarzających dane osobowe;
4)
stosowanie zasad ochrony antywirusowej.
2.
Ochrona antywirusowa, o której mowa w ust. 1 pkt 4, polega na:
1)
sprawdzaniu nośników zewnętrznych przed ich użyciem programem antywirusowym;
2)
przestrzeganiu zasad użytkowania programu antywirusowego.
§  12.
Do podstawowych zasad bezpieczeństwa przetwarzania danych osobowych w CBA, należy:
1)
zakaz udostępniania identyfikatora i hasła, uprawniającego do przetwarzania danych osobowych w systemie teleinformatycznym, innym osobom;
2)
obowiązek działania osób upoważnionych do przetwarzania danych osobowych wyłącznie w granicach swoich uprawnień do przetwarzania danych osobowych, tj. właściwego korzystania z baz danych, ksiąg, wykazów i innych zbiorów danych osobowych;
3)
nakaz ewidencjonowania materiałów i nośników zawierających dane osobowe;
4)
obowiązek stosowania się do zaleceń administratora bezpieczeństwa informacji;
5)
niszczenie w niszczarce zbędnych materiałów zawierających dane osobowe;
6)
kasowanie zbędnych plików zawierających dane osobowe w systemach teleinformatycznych;
7)
obowiązek przechowywania w szafach zamykanych na klucz wszelkich wydruków, ksiąg, wykazów i innych zbiorów ewidencyjnych, po zakończeniu pracy z danymi osobowymi;
8)
zakaz pozostawiania urządzeń przenośnych oraz nośników zawierających dane osobowe bez nadzoru poza obszarami przetwarzania danych;
9)
zakaz pozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, w tym także pracowników serwisu czy też osób sprzątających, bez obecności osoby upoważnionej do przetwarzania danych osobowych bądź innej osoby upoważnionej do przebywania w tym pomieszczeniu;
10)
zakaz wynoszenia i przesyłania poza obszar przetwarzania danych osobowych, na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej, bez upoważnienia lokalnego administratora danych osobowych;
11)
przesyłanie danych osobowych pocztą elektroniczną w postaci zaszyfrowanej, z zastrzeżeniem zakazu, o którym mowa w pkt 10.
§  13.
Lokalny administrator danych, uwzględniając zasady bezpieczeństwa przetwarzania danych osobowych, wskazuje stacje robocze, na których są przetwarzane dane osobowe, które będą posiadały szerokopasmowe połączenie z Internetem.
§  14.
Administrator bezpieczeństwa zbioru, w zakresie podległego mu zbioru danych osobowych, na podstawie wytycznych przekazanych przez administratora bezpieczeństwa informacji, określi:
1)
strukturę zbioru danych, ze wskazaniem poszczególnych pól informacyjnych i powiązań między nimi,
2)
programy zastosowane do przetwarzania danych osobowych,
3)
sposób przepływu danych między poszczególnymi systemami.