INSTRUKCJA ZARZĄDZANIA SYSTEMEM TELEINFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W AS PPUH ANDRZEJ SMAKULSKI

  1. § 1
    Definicje

    Definicje użyte w niniejszym dokumencie oznaczają:

    1. 1) przedsiębiorca – należy przez to AS PPUH Andrzej Smakulski;
    2. 2) administrator danych –Andrzej Smakulski;
    3. 3) użytkownik systemu – to osoba upoważniona do przetwarzania danych osobowych w systemie informatycznym przedsiębiorcy. Użytkownikiem może być pracownik przedsiębiorcy, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż lub praktyki u przedsiębiorcy, (współpracownik);
    4. 4) identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
    5. 5) hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
    6. 6) uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
    7. 7) integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
    8. 8) poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom.
  2. § 2
    Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym, zwanym dalej „systemem” oraz wskazanie osoby odpowiedzialnej za te czynności

    1. 1. Uprawnienia do przetwarzania danych osobowych nadawane przez administratora danych lub z jego upoważnienie. Uprawnienia dotyczą zarówno danych osobowych gromadzonych w systemie informatycznym, jak również w tradycyjnych zbiorach papierowych.
    2. 2. Wprowadza się rejestr osób upoważnionych do przetwarzania danych osobowych oraz osób pracujących w systemie. Wzór rejestru o którym mowa w zdaniu poprzednim stanowi załącznik Nr 1 do Instrukcji zarządzania systemem teleinformatycznym służącym do przetwarzania danych osobowych w AS PPUH Andrzej Smakulski.
    3. 3. Rejestr prowadzony jest przez administratora danych w AS PPUH Andrzej Smakulski.
    4. 4. Uprawnienia o których mowa w pkt 2 odbierane są w przypadku ustania stosunku pracy, współpracy lub w razie braku potrzeby dalszego posiadania uprawnień.
    5. 5. Użytkowników systemu tworzy oraz usuwa za administrator danych lub osoba przez niego upoważniona.
    6. 6. Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.
  3. § 3
    Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

    1. 1. Każdy użytkownik systemu dopuszczony do pracy przy przetwarzaniu danych osobowych powinien posiadać odrębny, jednoznacznie identyfikujący go login.
    2. 2. Wprowadza się obowiązek uwierzytelnienia własnego loginu poprzez podanie hasła.
    3. 3. Zmianę hasła należy dokonywać nie rzadziej niż co 30 dni.
    4. 4. Hasło składa się co najmniej z 8 znaków, musi zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.
    5. 5. Początkowe hasło dostępu ustala się z administratorem danych lub osobą przez niego upoważnioną, a następnie użytkownik systemu samodzielnie zmienia je przy użyciu odpowiednich narzędzi informatycznych.
    6. 6. Dane osobowe gromadzone są wyłącznie na dyskach twardych. Zabrania się gromadzenia danych osobowych na innych nośnikach danych.
    7. 7. W uzasadnionych przypadkach, za zgodą administratora danych, dane osobowe można przetwarzać na innych nośnikach.
    8. 8. Tworzy się rejestr zewnętrznych nośników informacji, na których przetwarzane są dane osobowe. Wzór rejestru, o którym mowa w zdaniu poprzedzającym stanowi załącznik Nr 2 do Instrukcji zarządzania systemem teleinformatycznym służącym do przetwarzania danych osobowych w AS PPUH Andrzej Smakulski.
    9. 9. Rejestr o którym mowa w pkt 8 prowadzi administrator danych.
    10. 10. Za zabezpieczenie danych osobowych przechowywanych w tradycyjnych rejestrach papierowych odpowiada administrator danych lub osoby przez niego upoważnione.
  4. § 4
    Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

    1. 1. Logowanie do systemu następuje po podaniu identyfikatora oraz hasła dostępu.
    2. 2. Użytkownik systemu jest odpowiedzialny za zabezpieczenie danych wyświetlanych przez system przed osobami nie mającymi uprawnień.
    3. 3. Zawieszenie pracy polega na opuszczeniu stanowiska pracy bez wylogowania się i jest dopuszczalne tylko w przypadku pozostania w pomieszczeniu.
    4. 4. Zabrania się opuszczania stanowiska pracy bez wcześniejszego wylogowania z systemu z zastrzeżeniem pkt 3.
    5. 5. Zakończenie pracy polega na wylogowaniu się z systemu i wyłączeniu komputera.
    6. 6. Administrator danych lub osoba przez niego upoważniona monitoruje logowanie oraz wylogowanie się użytkowników, a także nadzoruje zakres przetwarzanych przez nich zbiorów danych.
  5. § 5
    Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

    1. 1. Archiwizacja zbiorów danych osobowych znajdujących się na dysku twardym wykonywana jest co najmniej jeden raz w tygodniu i zapisywana na zewnętrzne elektroniczne nośniki informacji
    2. 2. Kopie danych, o których mowa w ust.1, wykonuje administrator danych lub osoba przez niego upoważniona.
  6. § 6
    Sposób, miejsce i okres przechowywania elektronicznych nośników informacji oraz kopii zapasowych

    1. 1. Dane, o których mowa w § 5 ust. 1, zapisywane są na dysku twardym.
    2. 2. Nośniki z danymi przechowywane są szafie metalowej, w pomieszczeniu do którego wyłączny dostęp ma administrator danych lub osoba przez niego upoważniona.
    3. 3. Kopie danych, o których mowa w §5 ust.1, nadpisuje się w przypadku kończącej się wolnej przestrzeni dyskowej na kolejnym dysku twardym.
    4. 4. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
      1. 1) likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się mechanicznie w sposób uniemożliwiający ich odczytanie,
      2. 2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,
      3. 3) naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych osobowych;
      4. 4) urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar przetwarzania danych zabezpiecza się w sposób zapewniający poufność i integralność tych danych.
  7. § 7
    Sposób zabezpieczenia systemu przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

    1. 1. System obejmuje się ochroną antywirusową polegającą na skanowaniu stacji roboczych programem antywirusowym.
    2. 2. Skanowanie stacji roboczych wykonywane jest co najmniej raz w tygodniu przez administratora danych lub osobę przez niego upoważnioną.
    3. 3. Użytkownicy systemu mają obowiązek skanowania każdego zewnętrznego elektronicznego nośnika informacji, a także plików danych pobieranych z zasobów sieci Internet oraz otrzymanych w poczcie elektronicznej.
    4. 4. W celu zabezpieczenia systemu przed ingerencją z zewnątrz, systemy posiadają włączone firewalle.
    5. 5. Przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej system jest chroniony zasilaczami awaryjnymi (UPS).
    6. 6. Każda jednostka komputerowa jest zabezpieczona hasłem do BIOS-a.
    7. 7. Administrator danych lub osoba przez niego upoważniona monitoruje stan systemu, ruch użytkowników w sieci oraz próby ingerencji z zewnątrz w system.
  8. § 8
    Informacje o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia

    1. 1. Tworzy się ewidencję udostępniania danych prowadzoną w formie papierowej, która w szczególności powinna zawierać co najmniej następujące pola: nazwa odbiorcy, data udostępnienia, zakres udostępnienia. Ewidencja, o której mowa w zdaniu poprzedzającym stanowi załącznik Nr 3 do Instrukcji zarządzania systemem teleinformatycznym służącym do przetwarzania danych osobowych w AS PPUH Andrzej Smakulski.
    2. 2. Ewidencję, o której mowa w pkt 1 prowadzi administrator danych;
  9. § 9
    Procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych

    1. 1. Przeglądy i konserwacje systemu oraz nośników informacji służących do przetwarzania danych mogą być wykonywane jedynie przez osoby posiadające upoważnienie wydane przez administratora danych.
    2. 2. Czynności określone w pkt 1 mogą być wykonywane w obecności osoby upoważnionej do przetwarzania danych osobowych.
  10. § 10
    Szczegółowe zasady korzystania ze sprzętu komputerowego i systemu teleinformatycznego

    1. 1. Zasady korzystania ze sprzętu komputerowego i systemów informatycznych:
      1. 1) użytkownik zobowiązany jest do bezterminowego zachowania w tajemnicy informacji, które uzyskał związku z korzystaniem z systemu;
      2. 2) sprzęt komputerowy oraz zainstalowane na nim oprogramowanie, jakie zostało oddane użytkownikowi w okresie jego pracy jest wykorzystywany tylko do celów realizacji zadań powierzonych przez przedsiębiorcę;
      3. 3) użytkownik dba o powierzony mu sprzęt oraz chroni go przed szkodliwym wpływem warunków zewnętrznych;
      4. 4) użytkownik zabezpiecza w miarę posiadanych możliwości sprzęt przed kradzieżą;
      5. 5) hasła użytkowników do systemów podlegają następującym zasadom:
        1. a) hasło składa się z minimum 8 znaków, przy czym zawiera wielki i małe litery, oraz cyfry lub znaki specjalne;
        2. b) hasło musi być zmieniane minimum co 30 dni;
        3. c) kolejne hasła muszą być różne;
        4. d) hasła należy przechowywać w sposób gwarantujący ich poufność;
        5. e) zabrania się udostępniania haseł innym osobom;
        6. f) zabrania się tworzenia haseł na podstawie:
          1. a. cech i numerów osobistych (np. dat urodzenia, imion itp.);
          2. b. sekwencji klawiszy klawiatury (np. qwerty, 12qwaszx);
          3. c. identyfikatora użytkownika;
          4. d. innych haseł łatwych do odgadnięcia.
      6. 6) użytkownicy nie mogą udostępniać innym osobom indywidualnych identyfikatorów (nazwa użytkownika, token, karta inteligentna i inne dane umożliwiające uwierzytelnienie);
      7. 7) użytkownik zobowiązany jest przestrzegać zasady „czystego biurka” i „czystego ekranu”. Stosowanie tych zasad sprowadza się do:
        1. a) schowania wszystkich dokumentów, nośników danych, związanych z informacjami chronionymi w miejsce niedostępne dla innych osób po zakończeniu pracy,
        2. b) odchodząc od stacji roboczej, użytkownik blokuje komputer uniemożliwiając zalogowanie się do systemu osobie nieuprawnionej,
        3. c) kończąc pracę użytkownik zamyka wszystkie aplikacje, wylogowuje się z systemu i wyłącza komputer;
      8. 8) zabrania się użytkownikom uruchamiać (w tym aplikacji przenośnych ang. portable) i instalować na sprzęcie służbowym jakiegokolwiek oprogramowania. Instalacji oprogramowania dokonuje Administrator danych lub osoba przez niego upoważniona;
      9. 9) zabrania się użytkownikom:
        1. a) omijania mechanizmów kontroli (np. używania serwerów proxy),
        2. b) testowania wdrożonych zabezpieczeń,
        3. c) skanowania urządzeń sieciowych, serwerów oraz stacji roboczych pod kątem badania świadczonych usług,
        4. d) wyłączania programów uruchamianych automatycznie przy starcie systemu,
        5. e) odinstalowania programów,
        6. f) przyłączania i użytkowania prywatnego sprzętu, w tym używania prywatnych nośników danych,
        7. g) podejmowania jakichkolwiek prób ingerencji w sprzęt komputerowy, poza czynnościami związanymi z codzienną eksploatacją;
      10. 10) ważne pliki należy przechowywać w wyznaczonych folderach na serwerach, które gwarantują bezpieczeństwo danych;
      11. 11) za bezpieczeństwo danych przechowywanych lokalnie na komputerze odpowiada użytkownik;
      12. 12) zabrania się przechowywania na sprzęcie służbowym gier oraz plików multimedialnych np. filmów, obrazów, dźwięków nie związanych z zadaniami służbowymi;
      13. 13) na sprzęcie komputerowym instaluje się oprogramowanie do ilościowej jak i jakościowej kontroli użytkowników, które stosuje się w celu okresowej kontroli wykorzystania sprzętu służbowego przez użytkowników;
      14. 14) w przypadku używania zewnętrznych nośników danych na stacji roboczej użytkownik wcześniej wykonuje skanowanie programem antywirusowym wszystkich danych na nośniku;
      15. 15) w przypadku gdy użytkownik wykryje zainfekowane dane niezależnie od źródła (np. strona internetowa, załącznik poczty elektronicznej, dane na nośniku) bezzwłocznie powiadamia o tym fakcie administratora danych;
      16. 16) zabrania się użytkownikom samodzielnego przenoszenia i podłączania sprzętu teleinformatycznego między stanowiskami pracy. Czynności te wykonuje administrator danych lub osoba przez niego upoważniona.
    2. 2. Zasady korzystania z poczty elektronicznej
      1. 1) nadzór i opiekę techniczną nad systemem poczty elektronicznej sprawuje administrator danych lub osoba przez niego upoważniona. Użytkownik zobowiązany jest do sprawdzania własnej skrzynki poczty elektronicznej;
      2. 2) poczta elektroniczna jest wykorzystywana tylko do celów związanych z działalnością przedsiębiorcy;
      3. 3) zabrania się rozsyłania m.in.:
        1. a) ogłoszeń komercyjnych,
        2. b) tzw. łańcuszków szczęścia (listów, które wykorzystując elementy socjotechniki generują niepożądany ruch na serwerach poczty elektronicznej),
        3. c) treści wulgarnych,
        4. d) materiałów erotycznych,
        5. e) treści niezgodnych z obowiązującymi przepisami prawa,
        6. f) treści prawem chronionych bez odpowiedniego zabezpieczenia np. szyfrowanie;
      4. 4) korespondencja, którą przechowuje i dostarcza system pocztowy jest własnością przedsiębiorcy;
      5. 5) przedsiębiorca w celach dowodowych oraz bezpieczeństwa systemów ma prawo do kontroli skrzynek pocztowych użytkowników. O wynikach kontroli powinien być poinformowany użytkownik;
      6. 6) nie należy otwierać linków oraz załączników poczty elektronicznej ze źródeł niewiadomego pochodzenia;
      7. 7) w przypadku dostępu do poczty elektronicznej z sieci Internet należy przeczytać uważnie pojawiające się w przeglądarce komunikaty o alertach bezpieczeństwa i nigdy nie ignorować ostrzeżeń;
      8. 8) nie zaleca się logowania do systemów poczty elektronicznej z komputerów dostępnych publicznie (np. kafejki internetowe);
      9. 9) skrzynki pocztowe posiadają ograniczoną wielkość. Użytkownik zobowiązany jest do okresowej archiwizacji wiadomości.
    3. 3. Zasady korzystanie z Internetu
      1. 1) użytkownicy korzystają z dostępu do Internetu tylko w związku z celami przedsiębiorcy lub w celach realizacji zadań im powierzonych przez administratora danych;
      2. 2) praca w sieci Internet nie może zagrażać bezpieczeństwu systemów informatycznych;
      3. 3) administrator danych może wprowadzić kategoryzację stron internetowych oraz zablokować dostęp do wybranych kategorii;
      4. 4) Zabrania się:
        1. a) wykorzystywania sieci Internet w sposób, który mógłby narazić przedsiębiorcę na utratę dobrego imienia,
        2. b) pobierania oprogramowania (w tym w wersjach darmowych), nie związanego z celami przedsiębiorcy lub zadaniami powierzonymi przez administratora danych,
        3. c) podłączania sieci Internet do fizycznie odseparowanych sieci,
        4. d) udostępniania łącza internetowego dostarczonego przez przedsiębiorcę innym osobom bez zgody administratora danych.