Wprowadzenie Polityki bezpieczeństwa danych osobowych, Instrukcji zarządzania systemem informatycznym i Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki oraz wyznaczenie osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki.

Dzienniki resortowe

Dz.Urz.PAA.2014.7

Akt utracił moc
Wersja od: 22 września 2014 r.

ZARZĄDZENIE Nr 7
PREZESA PAŃSTWOWEJ AGENCJI ATOMISTYKI
z dnia 30 lipca 2014 r.
w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych, Instrukcji zarządzania systemem informatycznym i Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki oraz w sprawie wyznaczenia osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki

Na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz § 3 § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zarządza się co następuje:
§  1. 
Wprowadza się w Państwowej Agencji Atomistyki, zwanej dalej "Agencją", Politykę bezpieczeństwa danych osobowych, stanowiącą załącznik nr 1 do zarządzenia.
§  2. 
Wprowadza się w Agencji Instrukcję zarządzania system informatycznym, stanowiącą załącznik nr 2 do zarządzenia.
§  3. 
W Agencji obowiązuje Instrukcja przetwarzania danych osobowych wydana w formie procedury Gabinetu Prezesa Państwowej Agencji Atomistyki.
§  4. 
1. 
Nadzór nad przestrzeganiem zasad ochrony danych osobowych w Agencji wykonuje Administrator Bezpieczeństwa Informacji.
2. 
Administratora Bezpieczeństwa Informacji wyznacza Prezes Państwowej Agencji Atomistyki zwany dalej "Prezesem Agencji" zgodnie z wzorem stanowiącym załącznik nr 3 do zarządzenia.
§  5. 
1. 
Ustanawia się Administratora Systemu Informatycznego oraz Administratora Kopii Bezpieczeństwa.
2. 
Administratora Systemu Informatycznego oraz Administratora Kopii Bezpieczeństwa wyznacza Prezes Agencji zgodnie z wzorem stanowiącym załącznik nr 4 do zarządzenia.
3. 
Funkcje Administratora Systemu Informatycznego oraz Administratora Kopii Bezpieczeństwa może pełnić ta sama osoba.
§  6. 
1. 
Opiekunem zbioru lub podzbioru danych osobowych jest dyrektor departamentu, w którym zbiór lub podzbiór jest lub będzie przetwarzany.
2. 
W przypadku zbiorów lub podzbiorów danych osobowych przetwarzanych w więcej niż jednym departamencie lub przez pracowników samodzielnych opiekunem zbioru jest pracownik wskazany przez Prezesa Agencji, a w przypadku braku wskazania - Dyrektor Generalny Agencji.
3. 
W przypadku wyznaczenia opiekuna zbioru lub podzbioru zgodnie z ust. 2, Prezes Agencji informuje wyznaczoną osobę na piśmie o fakcie wyznaczenia.
4. 
Ewidencję opiekunów zbioru i podzbiorów prowadzi Administrator Bezpieczeństwa Informacji a w przypadku gdy nie został wyznaczony - Gabinet Prezesa Agencji.
§  7. 
Traci moc zarządzenie nr 2 Prezesa Państwowej Agencji Atomistyki z dnia 8 maja 2008 r. w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych, Instrukcji przetwarzania danych osobowych i Instrukcji zarządzania systemem informatycznym w Państwowej Agencji Atomistyki oraz w sprawie wyznaczenia osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki.
§  8. 
Zarządzenie wchodzi w życie z dniem ogłoszenia.

ZAŁĄCZNIKI

ZAŁĄCZNIK Nr  1

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W PAŃSTWOWEJ AGENCJI ATOMISTYKI

Spis treści

1. DEFINICJE

2. CEL

3. ZAKRES STOSOWANIA

4. PRZETWARZANIE DANYCH OSOBOWYCH

5. ODPOWIEDZIALNOŚĆ

6. WYKAZ ZBIORÓW DANYCH OSOBOWYCH

7. SYSTEM ZABEZPIECZEŃ DANYCH OSOBOWYCH

8. KONSEKWENCJE NARUSZENIA POLITYKI BEZPIECZEŃSTWA

9. PRZEGLĄDY I AKTUALIZACJE POLITYKI

10. DOKUMENTY POWIĄZANE I ZAŁĄCZNIKI

Oświadczenie Kierownictwa

Kierownictwo Państwowej Agencji Atomistyki świadome wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych do właściwej i skutecznej ochrony danych przetwarzanych w Państwowej Agencji Atomistyki w związku z wykonywaniem ustawowych obowiązków zapewnienia bezpieczeństwa jądrowego i ochrony radiologicznej, deklaruje:

1.
Zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych.
2.
Zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Państwowej Agencji Atomistyki w zakresie problematyki bezpieczeństwa tych danych.
3.
Zamiar traktowania obowiązków osób przetwarzających dane osobowe jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonywania.
4.
Zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.

Kierownictwo Państwowej Agencji Atomistyki świadome jest zagrożeń związanych z przetwarzaniem w PAA danych osobowych - w tym w szczególności danych wrażliwych dotyczących zdrowia.

Kierownictwo Państwowej Agencji Atomistyki będzie stale doskonalić i rozwijać organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie, tak, aby skutecznie zapobiegać zagrożeniom:

-
związanym z infekcjami wirusów i koni trojańskich, które instalując się na komputerze mogą wykradać stacjonarne oraz sieciowe zasoby tego komputera,
-
związanym z dostępem do stron internetowych, na których zainstalowane są skrypty pozwalające wykradać zasoby komputera,
-
związanym z ogólnie dostępnymi komunikatorami internetowymi, w których występują luki, przez które można uzyskać dostęp do komputera,
-
związanym z używaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza Państwową Agencję Atomistyki,
-
związanym z możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,
-
związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane,
-
związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich należytego zabezpieczenia,
-
związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy,
-
związanym z atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery),
-
związanym z działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści,
-
związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone,
-
związanym z przekazywaniem sprzętu z danymi do serwisu,
-
związanym z podszywaniem się przez osoby nieuprawnione pod witrynę internetową, która zbiera dane,
-
i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem techniki metod przetwarzania danych.

1. 

Definicje

Administrator Danych Osobowych - Prezes Państwowej Agencji Atomistyki, który wykonuje swoje czynności poprzez Państwową Agencję Atomistyki ("PAA"), z siedzibą w Warszawie, przy ul. Kruczej 36.

Administrator Bezpieczeństwa Informacji - osoba nadzorująca przestrzeganie zasad bezpieczeństwa danych osobowych, wyznaczona przez Administratora Danych Osobowych.

Administrator Systemów Informatycznych - osoba odpowiedzialna za wdrożenie i stosowanie zasad bezpieczeństwa systemów informatycznych, zobowiązana do stosowania technicznych i organizacyjnych środków ochrony przewidzianych w systemach informatycznych, wyznaczona przez Administratora Danych Osobowych.

Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Zbiór danych osobowych - posiadający strukturę zestaw danych o charakterze osobowym.

2. 

Cel

1.
Celem niniejszej polityki jest określenie kierunków działań dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych przez Administratora Danych Osobowych. Przez bezpieczeństwo przetwarzania danych należy rozumieć:
-
poufność - zapewnienie, że dane są dostępne jedynie osobom upoważnionym,
-
integralność - zapewnienie dokładności i kompletności danych oraz metod przetwarzania,
-
dostępność - zapewnienie, że osoby upoważnione mają dostęp do danych i związanych z nimi aktywów wtedy, gdy jest to potrzebne,
-
rozliczalność - zapewnienie, że działania osób można jednoznacznie przypisać tym osobom.
2.
Dane osobowe w PAA przetwarzane są dla zabezpieczania prawidłowej realizacji zadań, w szczególności:
-
wynikających z ustawy z dnia 29 listopada 2000 r. - Prawo atomowe (Dz. U. z 2012 r. poz. 264 z późn. zm.) oraz wydanych na jej podstawie rozporządzeń,
-
w celu zapewnienia prawidłowej, zgodnej z prawem i celami PAA polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków cywilnoprawnych nawiązywanych przez PAA, działającą jako pracodawca w rozumieniu art. 3 kodeksu pracy lub strona innych stosunków cywilnoprawnych,
-
dla realizacji innych usprawiedliwionych celów i zadań PAA - z poszanowaniem praw i wolności osób powierzających PAA swoje dane.
3.
PAA, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
-
przetwarzane zgodnie z prawem,
-
zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
-
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
-
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
4.
Administrator Danych Osobowych zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnej i zgodnej z przepisami prawa realizacji zadań określonych w ustawie - Prawo atomowe i innych aktach prawnych, a także zapewnienia współdziałania z jednostkami administracji publicznej i innymi podmiotami. System bezpieczeństwa przetwarzania danych osobowych jest określony przez:
-
"Politykę bezpieczeństwa danych osobowych w Państwowej Agencji Atomistyki",
-
"Instrukcję zarządzania systemem informatycznym w Państwowej Agencji Atomistyki",
-
"Instrukcję przetwarzania danych osobowych w Państwowej Agencji Atomistyki".

3. 

Zakres stosowania

Zakres stosowania niniejszego dokumentu obejmuje wszystkie dane osobowe przetwarzane w PAA, zarówno w formie elektronicznej, jak i tradycyjnej (papierowej). Polityka obejmuje wszystkie osoby przetwarzające dane osobowe w PAA.

4. 

Przetwarzanie danych osobowych

1.
Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dopuszcza się do ich przetwarzania w systemie informatycznym lub tradycyjnym wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych lub inną upoważnioną do tego osobę.
2.
Zakres upoważnienia może wynikać w szczególności:
a.
z charakteru pracy,
b.
z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy lub
c.
z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych.
3.
Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia Administratora Danych Osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii.
4.
Polityka bezpieczeństwa w zakresie ochrony danych osobowych zapewnia kontrolę nad dostępem do tych danych. Kontrola ta w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych.
5.
Osoby nie przetwarzające danych osobowych określonej kategorii w związku z zatrudnieniem, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych, mogą mieć do nich wgląd wyłącznie w obecności upoważnionego pracownika PAA.
6.
PAA, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, zapewnia zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także środkami ochrony tych danych stosowanymi w PAA.
7.
Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także środkami ochrony tych danych stosowanymi w PAA może odbywać się w szczególności poprzez:
a.
instruktaż na stanowisku pracy,
b.
szkolenie wewnętrzne realizowane przez PAA,
c.
szkolenie zewnętrzne.
8.
Osoby upoważnione przez Administratora Danych Osobowych do przetwarzania danych osobowych zostają zaznajomione o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych w PAA.

5. 

Odpowiedzialność

1.
Administrator Danych Osobowych odpowiada za zabezpieczenie danych osobowych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, utratą, uszkodzeniem, zniszczeniem lub nieautoryzowaną zmianą.
2.
W imieniu Administratora Danych Osobowych nadzór nad przestrzeganiem zasad ochrony danych osobowych sprawuje Administrator Bezpieczeństwa Informacji, który powoływany jest przez Prezesa PAA.
3.
Administrator Bezpieczeństwa Informacji jest zobowiązany do:
a.
prowadzenia i aktualizacji ewidencji wydanych upoważnień do przetwarzania danych,
b.
nadzorowania fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w szczególności systemu kontroli dostępu oraz kontroli przebywających w nich osób pod kątem posiadania upoważnienia do przetwarzania danych osobowych,
c.
nadzorowania przestrzegania zasad określonych w polityce i instrukcjach dotyczących bezpieczeństwa danych osobowych,
d.
nadzorowania obiegu oraz przechowywania dokumentów zawierających dane osobowe, w tym generowanych przez systemy informatyczne,
e.
analizy sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych (jeśli takie wystąpiło) oraz przygotowania i przedstawienia Administratorowi Danych propozycji zmian, które pozwolą uniknąć podobnych sytuacji w przyszłości,
f.
szkolenia pracowników z zakresu bezpieczeństwa przetwarzania danych osobowych,
g.
nadzorowania wycofania uprawnień dostępu do systemów informatycznych w przypadku odebrania pracownikowi upoważnienia do przetwarzania danych osobowych.
4.
W celu realizacji powierzonych zadań Administrator Bezpieczeństwa Informacji ma prawo:
a.
kontrolować wraz z Administratorem Systemów Informatycznych komórki organizacyjne w zakresie właściwego zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe oraz zabezpieczenia systemów informatycznych,
b.
wydawać polecenia kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych,
c.
informować Administratora Danych Osobowych o przypadkach naruszenia bezpieczeństwa danych osobowych,
d.
żądać od wszystkich pracowników wyjaśnień w sytuacjach podejrzenia naruszenia bezpieczeństwa danych osobowych.
5.
Za techniczne aspekty funkcjonowania systemów informatycznych odpowiedzialny jest Administrator Systemów Informatycznych.
6.
Administrator Systemów Informatycznych obowiązany jest do:
a.
nadzorowania przeglądów, konserwacji, uaktualnień oraz wszystkich innych czynności wykonywanych w systemie informatycznym,
b.
nadzorowania systemu komunikacji w sieci komputerowej oraz przesyłania danych przy użyciu urządzeń teletransmisyjnych,
c.
nadzorowania funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym oraz kontroli dostępu do danych osobowych,
d.
podjęcia działań zabezpieczających system informatyczny w przypadku:
-
wykrycia naruszenia zabezpieczeń systemu,
-
otrzymania informacji o naruszeniu bezpieczeństwa systemu,
-
otrzymania informacji o zmianach w sposobie działania programów lub urządzeń wskazujących na naruszenie bezpieczeństwa danych osobowych,
e.
udzielania pomocy opiekunom zbiorów i Administratorowi Bezpieczeństwa Informacji w sprawach związanych z działaniem systemów informatycznych.
7.
Opiekun zbioru obowiązany jest do:
a.
współdziałania z Administratorem Bezpieczeństwa Informacji w zakresie przestrzegania zasad ochrony danych osobowych,
b.
informowania Administratora Bezpieczeństwa Informacji o zmianie celu przetwarzania danych osobowych w systemie lub poszerzeniu zakresu zbieranych danych osobowych,
8.
Bezpośredni przełożony obowiązany jest do:
a.
niezwłocznego wystąpienia do Administratora Danych Osobowych o przydzielenie uprawnień oraz wydanie upoważnienia do przetwarzania danych osobowych dla podległych mu pracowników, na formularzu, którego wzór stanowi załącznik nr 1 Polityki bezpieczeństwa,
b.
niezwłocznego wystąpienia do Administratora Systemów Informatycznych o odebranie lub modyfikację uprawnień dostępu do systemu informatycznego pracownikowi upoważnionemu do przetwarzania za jego pomocą danych osobowych, na formularzu, którego wzór stanowi załącznik nr 1 Polityki bezpieczeństwa w przypadku utraty przez pracownika upoważnienia w sytuacji: ustania stosunku pracy, zmiany stanowiska, komórki organizacyjnej, oddelegowania i innych.
9.
Opiekunowie zbiorów mają obowiązek poinformowania Administratora Danych Osobowych, za pośrednictwem Administratora Bezpieczeństwa Informacji, o zamiarze utworzenia, likwidacji, modyfikacji struktury zbioru lub zmiany lokalizacji zbioru. Informację przekazuje się na formularzu "Informacja o zbiorze danych osobowych", którego wzór stanowi załącznik nr 2 do Polityki bezpieczeństwa.
10.
Każdy pracownik przetwarzający dane osobowe posiada upoważnienie do przetwarzania danych osobowych zawierające:
-
imię i nazwisko,
-
stanowisko, pełną nazwę komórki organizacyjnej,
-
datę nadania i okres jego obowiązywania,
-
zakres danych, które osoba może przetwarzać (zbiory danych),
-
cel przetwarzania danych osobowych,
-
identyfikator użytkownika (dotyczy wyłącznie zbiorów danych prowadzonych w formie elektronicznej).

Wzór upoważnienia stanowi załącznik nr 3 do Polityki bezpieczeństwa.

11.
Każdy pracownik przetwarzający dane osobowe zobowiązany jest zapewnić ich należytą ochronę, a w szczególności przestrzegać zasad opisanych w "Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki" oraz w "Instrukcji zarządzania system informatycznym w Państwowej Agencji Atomistyki".

6. 

Wykaz zbiorów danych osobowych

Wykaz zbiorów danych osobowych wraz z opisem obszaru przetwarzania i struktury zbiorów danych zgodnie ze wzorem określonym w załączniku nr 4 do Polityki bezpieczeństwa, prowadzi Administrator Bezpieczeństwa Informacji, a w przypadku gdy Administrator Bezpieczeństwa Informacji nie został wyznaczony - Gabinet Prezesa PAA.

7. 

System zabezpieczeń danych osobowych

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, dostępności i rozliczalności przetwarzanych danych.
1.
Ochrona danych osobowych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem.
2.
W celu ochrony danych przetwarzanych w systemie informatycznym należy wykorzystywać wchodzące w jego skład mechanizmy zarówno sprzętowe, jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych.
3.
Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, wiąże się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych.
4.
Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, wiąże się z zastosowaniem dostępnych środków zabezpieczających przetwarzane dane osobowe. W szczególności w razie, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym, uniemożliwiającym dostęp do danych osobowych osobom niepowołanym.
5.
Budynki, w których przetwarzane są zbiory danych osobowych są nadzorowane przez pracowników ochrony przez całą dobę.
6.
Procedurę zarządzania uprawnieniami do systemów informatycznych reguluje "Instrukcja zarządzania systemem informatycznym w Państwowej Agencji Atomistyki".
7.
Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady:
-
kontrola dostępu do zbiorów danych osobowych,
-
indywidualne identyfikatory użytkowników (pracowników przetwarzających dane osobowe),
-
uwierzytelnianie użytkowników (potwierdzanie ich tożsamości).
8.
W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem:
-
dla zbiorów danych osobowych wdrożono polityki tworzenia kopii zapasowych,
-
urządzenia informatyczne mające wpływ na integralność danych osobowych wyposażono w awaryjne zasilanie,
-
wdrożono oprogramowanie antywirusowe,
-
dostęp do systemów informatycznych z sieci publicznej jest kontrolowany za pomocą zapory sieciowej,
-
dostęp z sieci zewnętrznej w celu przetwarzania danych osobowych jest nadzorowany przez Administratora Systemów Informatycznych,
-
zastosowano środki fizyczne chroniące urządzenia przed dostępem osób nieupoważnionych oraz zagrożeniami ze strony sił natury.
9.
Administrator Systemów Informatycznych nadzoruje nośniki danych osobowych podczas użytkowania ich na terenie Agencji oraz przy udostępnianiu ich innym podmiotom.
10.
Udostępnienie danych osobowych wymaga uzyskania zgody Administratora Bezpieczeństwa Informacji.
11.
Nowo przyjmowani pracownicy, którzy w ramach swoich obowiązków będą przetwarzali dane osobowe, zapoznają się z przepisami z zakresu ochrony danych osobowych oraz uregulowaniami wewnętrznymi PAA.
12.
Pracownicy PAA są szkoleni z zakresu ochrony danych osobowych. Szkolenie obejmuje w szczególności treść ustawy o ochronie danych osobowych oraz zakres wewnętrznych uregulowań.

8. 

Konsekwencje naruszenia Polityki bezpieczeństwa

1.
Naruszanie przez zatrudnione w ramach stosunku pracy osoby upoważnione do dostępu lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania może zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie.
2.
Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia pomieszczenia oraz znajdujących się w nim zbiorów danych jest niedopuszczalne i może zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych.

9. 

Przeglądy i aktualizacje Polityki bezpieczeństwa

1.
System bezpieczeństwa danych osobowych podlega corocznemu przeglądowi pod kątem aktualności i stosowalności. Przeglądu dokonuje zespół powołany przez Prezesa PAA. W skład zespołu wchodzą Administrator Bezpieczeństwa Informacji oraz Administrator Systemów Informatycznych.
2.
Polityka bezpieczeństwa podlega aktualizacji każdorazowo w przypadku:
a.
likwidacji, utworzenia lub zmiany zawartości zbioru,
b.
zmiany lokalizacji zbioru,
c.
zmiany przepisów prawa dotyczących ochrony danych osobowych, wymagającej aktualizacji Polityki bezpieczeństwa,
d.
innych znaczących zmian w funkcjonowaniu PAA, dotyczących danych osobowych.
3.
Projekt aktualizacji polityki przygotowuje Administrator Bezpieczeństwa Informacji.

10. 

Dokumenty powiązane i załączniki

-
Instrukcja zarządzania systemem informatycznym w Państwowej Agencji Atomistyki,
-
Instrukcja przetwarzania danych osobowych w Państwowej Agencji Atomistyki.

Wykaz przywołanych załączników:

1.
Wzór wniosku o nadanie upoważnienia do przetwarzania danych osobowych.
2.
Wzór informacji o zbiorze danych osobowych.
3.
Wzór upoważnienia do przetwarzania danych osobowych.
4.
Opis zbiorów danych osobowych.

Podstawa prawna:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.),

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024).

Załącznik Nr  1  1  

WZÓR

Wniosek o nadanie upoważnienia do przetwarzania danych osobowych oraz

o nadanie, modyfikację lub odebranie uprawnień dla użytkownika w systemie

informatycznym Państwowej Agencji Atomistyki

UŻYTKOWNIK
Imię i nazwisko: ...........................................................................................................................................................................
Pełna nazwa komórki organizacyjnej :..........................................................................................................................................
Stanowisko: ..................................................................................................................................................................................
Nr pokoju: ....................................................................................................................................................................................
Telefon wew.: ...............................................................................................................................................................................
Cel przetwarzania danych: ...........................................................................................................................................................
□ ŕ Nowy użytkownik□ ŕ Modyfikacja uprawnień□ ŕ Odebranie uprawnień w systemie
Data wniosku: ........................................................

Termin upływu ważności uprawnień: nieokreślony/ określony: ................................................

PRAWA DOSTĘPU DO ZASOBÓW

ZBIÓR/PODZBIÓR DANYCH OSOBOWYCHFORMA:

ELEKTRONICZNA (E) PAPIEROWA (P)

NAZWA APLIKACJI LUB SYSTEMU W PRZYPADKU ZBIORU W FORMIE ELEKTRONICZNEJZAKRES UPOWAŻNIENIAOPIEKUN ZBIORU/OSOBA ODPOWIEDZIALNAZGODA/PODPIS

.....................................................................

data/podpis bezpośredniego przełożonego

lub osoby występującej z wnioskiem

Załącznik Nr  2  2  

WZÓR

Informacja o zbiorze danych osobowych

Wnioskuję o odnotowanie informacji o następującym zbiorze danych osobowych:

Rodzaj operacji: utworzenie - modyfikacja - likwidacja*

1. Nazwa zbioru/podzbioru danych osobowych: .........................................................................

2. Pełna nazwa komórki organizacyjnej: .....................................................................................

3. Forma: elektroniczna/papierowa*

4. Lokalizacja zbioru (oznaczenie budynku/numery pomieszczeń) ........................../.................

5. Aplikacja informatyczna służąca do przetwarzania danych zawartych w zbiorze (opcjonalnie): ...............................................................................................................................

6. Nazwa komputera służącego do przetwarzania danych zawartych w zbiorze (opcjonalnie):

.......................................................................................................................................................

7. Cel tworzenia zbioru: ...............................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

8. Zakres danych osobowych przechowywanych w zbiorze (np. imię, nazwisko, data urodzenia, itp.) ** zebranych/modyfikowanych *:

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Zgodnie/niezgodne z ustawą*
..................................................................................................................................................................................
.........................................................................................(data, czytelny podpis Opiekuna Zbioru)
.........................................................................................
.........................................................................................
Nie akceptuję/Akceptuję*
(opinia o zgodności z ustawą, data, pieczęć oraz podpis Administratora Bezpieczeństwa Informacji).........................................................................................
(data, pieczęć oraz podpis Administratora Danych Osobowych)

* Niepotrzebne skreślić

** Proszę nie wpisywać treści danych

Załącznik Nr  3  3  

WZÓR

Upoważnienie do przetwarzania danych osobowych

1. Imię: ........................................................................................................................................

2. Nazwisko: ...............................................................................................................................

3. Stanowisko: ............................................................................................................................

4. Pełna nazwa komórki organizacyjnej: .....................................................................................

5. Termin upływu ważności uprawnień: nieokreślony / określony: ............................................

6. Cel przetwarzania danych osobowych ...................................................................................

ZBIÓR/PODZBIÓR DANYCH OSOBOWYCHFORMA:

ELEKTRONICZNA (E) PAPIEROWA (P)

NAZWA APLIKACJI LUB SYSTEMU W PRZYPADKU ZBIORU W FORMIE ELEKTRONICZNEJZAKRES UPOWAŻNIENIAIDENTYFIKATOR UŻYTKOWNIKA W SYSTEMIE TELEINFORMATYCZNYM
Oświadczam, że zapoznałem/zapoznałam się z ustawą o ochronie danych osobowych oraz wewnętrznymi uregulowaniami dotyczącymi przetwarzania danych osobowych obowiązującymi w Państwowej Agencji Atomistyki i zobowiązuję się do ich przestrzegania.
..................................................................................................................................................................................
(data, pieczęć oraz podpis Administratora Danych Osobowych)(data, czytelny podpis Pracownika)
Nadany numer upoważnienia: ____________________

Załącznik Nr  4

WZÓR

OPIS ZBIORÓW DANYCH OSOBOWYCH

L.p.ZbiórPodzbiórForma:

Elektroniczna (E)

lub papierowa (P)

Pomieszczenia, w których możliwy jest dostęp do systemów informatycznychMiejsce przechowywania dokumentówZakres danychSystemy informatyczne - aplikacje

ZAŁĄCZNIK Nr  2

Instrukcja zarządzania systemem informatycznym w Państwowej Agencji Atomistyki

§  1. 
1. 
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Państwowej Agencji Atomistyki, zwanej dalej "PAA", określa:
1)
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2)
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3)
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4)
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5)
sposób, miejsce i okres przechowywania:
a)
elektronicznych nośników informacji zawierających dane osobowe,
b)
kopii zapasowych, o których mowa w pkt 4;
6)
sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7)
sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024);
8)
procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych;
9)
podstawowe zasady dotyczące funkcjonowania i bezpieczeństwa sieci komputerowej PAA.
2. 
Szczegółowy opis postępowania oraz stosowania wymagań, o których mowa w ust. 1 pkt 1-8 dla systemu informatycznego służącego do przetwarzania danych osobowych w PAA określa procedura Biura Dyrektora Generalnego. Procedura jest dostępna na wewnętrznym portalu intranetowym PAA.
§  2. 
1. 
Do przetwarzania danych osobowych w systemie informatycznym dopuszczone są wyłącznie osoby przeszkolone w zakresie zasad przetwarzania danych osobowych i obsługi systemu informatycznego oraz posiadające upoważnienie do przetwarzania danych osobowych.
2. 
Wzór upoważnienia, o którym mowa w ust. 1, określa załącznik nr 3 do Polityki bezpieczeństwa.
§  3. 
Ustala się następujące podstawowe zasady dotyczące funkcjonowania i bezpieczeństwa sieci komputerowej PAA, o których mowa w § 1 ust. 1 pkt 9:
1.
Sieci LAN oparte są o topologię Ethernet, realizowaną na zarządzanych modularnych przełącznikach rozlokowanych w węzłach sieci. W zależności od potrzeb tworzy się wirtualne sieci typu VLAN oparte na warstwie fizycznej okablowania strukturalnego w poszczególnych budynkach, w których znajdują się pomieszczenia PAA. W szczególności sieci typu VLAN są utworzone dla sieci wydzielonych. Urządzenia zabezpieczone są hasłem dostępowym, do każdego urządzenia przydzielony jest indywidualny adres (numer) IP.
2.
Serwery sieciowe oparte są na systemach operacyjnych Microsoft Windows lub Linux lub ich pochodnych. Dane zapisane na dyskach serwerowych zabezpieczone są za pomocą praw NTFS i praw do udziałów.
3.
Okablowanie strukturalne poprowadzone jest nadtynkowo w korytkach PCV.
4.
Zasilanie elektryczne sprzętu teleinformatycznego jest realizowane w części pomieszczeń należących do PAA w układzie wydzielonych instalacji elektrycznych, przeznaczonych wyłącznie dla sprzętu komputerowego. W innych pomieszczeniach wykorzystywana jest instalacja tzw. ogólna. Serwery w sieci podłączone są do zasilaczy awaryjnych (UPS), podtrzymujących zasilanie z baterii na kilkanaście lub kilkadziesiąt minut. Ze względów bezpieczeństwa i zapewnienia zasilania systemów część szaf dystrybucyjnych wyposażono w zasilacze awaryjne.
5.
Serwerownie są centralnymi węzłami sieci komputerowych, posiadającymi dodatkowe zabezpieczenia chroniące przed nieupoważnionym dostępem. Pomieszczenia serwerowni są monitorowane przez włączenie do systemu ochrony obiektów PAA albo mają podwyższony poziom kontroli dostępu. Dostęp do serwerowni mają tylko osoby uprawnione.
6.
Dla zapewnienia bezpieczeństwa, poprawności i ciągłości działania systemów informatycznych, w tym sieci komputerowej, PAA podejmuje działania polegające na zlecaniu wyspecjalizowanym firmom części zadań informatycznych w drodze usług wsparcia informatycznego.

ZAŁĄCZNIK Nr  3

WZÓR

Warszawa, dnia ................. 20 ..... r.

Wyznaczenie Administratora Bezpieczeństwa Informacji

Działając na podstawie art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wyznaczam Panią/Pana:

.......................................................................................................................................................

(imię, nazwisko, stanowisko)

do pełnienia funkcji Administratora Bezpieczeństwa Informacji

Na czas .........................................................................................................................................

.........................................................................................

(pieczęć i podpis Administratora Danych Osobowych)

Przyjęłam/Przyjąłem:

............................................................................................................

(miejscowość i data)(podpis osoby wyznaczonej do pełnienia funkcji

Administratora Bezpieczeństwa Informacji)

Wyznaczenie sporządza się w dwóch egzemplarzach, z których jeden otrzymuje Administratora Bezpieczeństwa Informacji, drugi zaś załącza się do akt osobowych pracownika.

ZAŁĄCZNIK Nr  4

WZÓR

Warszawa, dnia ................. 20 ..... r.

Wyznaczenie

Administratora Systemu Informatycznego/ Administratora Kopii Bezpieczeństwa*

Działając na podstawie § 5 ust. 2 zarządzenia Prezesa PAA w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych, Instrukcji zarządzania systemem informatycznym i Instrukcji przetwarzania danych osobowych w Państwowej Agencji Atomistyki oraz w sprawie wyznaczenia osób wykonujących zadania w zakresie ochrony danych osobowych w Państwowej Agencji Atomistyki

wyznaczam Panią/Pana:

.......................................................................................................................................................

(imię, nazwisko, stanowisko)

do pełnienia funkcji: Administratora Systemu Informatycznego/Administratora Kopii Bezpieczeństwa*

Na czas .........................................................................................................................................

................................................................................................

(pieczęć i podpis Administratora Danych Osobowych)

Przyjęłam/Przyjąłem:

.....................................................................................................................................

(miejscowość i data)(podpis osoby wyznaczonej do pełnienia funkcji Administratora

Systemu Informatycznego/Administratora Kopii

Bezpieczeństwa*)

Wyznaczenie sporządza się w trzech egzemplarzach, z których jeden otrzymuje Administratora Bezpieczeństwa Informacji, drugi załącza się do akt osobowych pracownika.

1 Załącznik nr 1 zmieniony przez § 1 pkt 1 zarządzenia nr 9 z dnia 22 września 2014 r. (Dz.Urz.PAA.2014.9) zmieniającego nin. zarządzenie z dniem 22 września 2014 r.
2 Załącznik nr 2 zmieniony przez § 1 pkt 2 zarządzenia nr 9 z dnia 22 września 2014 r. (Dz.Urz.PAA.2014.9) zmieniającego nin. zarządzenie z dniem 22 września 2014 r.
3 Załącznik nr 3 zmieniony przez § 1 pkt 3 zarządzenia nr 9 z dnia 22 września 2014 r. (Dz.Urz.PAA.2014.9) zmieniającego nin. zarządzenie z dniem 22 września 2014 r.
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .