Instrukcja zarządzania systemem informatycznym

§ 1. Kwestie ogólne

  1. W celu zapewnienia ochrony przetwarzanych danych osobowych Właściciel wprowadza „Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.
  2. Podstawą prawną instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych są art. 36 ust. 2 w zw. z art. 3 ust. 2 punkt 2 ustawy odo oraz § 3 i § 5 Rozporządzenia.

§ 2. Definicje

Terminy użyte w niniejszym dokumencie oznaczają:

  1. Instrukcja: niniejsza instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
  2. Właściciel lub Administrator danych: Filters International Sp. z o.o. ul. Ul. F. Perla 10, 41-300 Dąbrowa Górnicza, NIP: 634 281 85 05, REGON: 243274686;
  3. Użytkownik lub Pracownik: pracownik lub współpracownik Właściciela, który przetwarza dane osobowe w systemie informatycznym jak i ręcznym;
  4. Dane osobowe lub dane: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
  5. Ustawa odo: ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. 2014.1182 ze zm.);
  6. Rozporządzenie: rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024.)

§ 3. Zagadnienia organizacyjne

  1. Pracownicy zobowiązani są do zapoznania się z treścią Instrukcji i jej przestrzegania.
  2. Fakt zapoznania się z Instrukcją Pracownik potwierdza własnoręcznym podpisem na wykazie, którego wzór stanowi załącznik nr 1 do Instrukcji.
  3. Dane osobowe, których dotyczy Instrukcja, gromadzone i przechowywane są w serwerach oraz w stacjach roboczych Pracowników.

§ 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie

  1. Przed rozpoczęciem pracy z systemem informatycznym oraz w trakcie pracy każdy Pracownik obowiązany jest do zwrócenia bacznej uwagi, czy nie wystąpiły symptomy mogące świadczyć o naruszeniu ochrony danych osobowych. W przypadku ich wykrycia należy niezwłocznie powiadomić o tym fakcie Administratora danych.
  2. Po zakończeniu pracy w systemie należy zawsze wyłączyć stację roboczą.
  3. Zawieszenie korzystania z systemu informatycznego może nastąpić losowo wskutek awarii lub planowo (np. w celu konserwacji sprzętu). Planowe zawieszenie prac jest uprzedzone informacją do Pracowników (w formie wiadomości email lub osobiście) przez Administratora danych na co najmniej 30 minut przed planowanym zawieszeniem.

§ 5. Nadawanie uprawnień

  1. Przetwarzać dane osobowe w systemach informatycznych może wyłącznie Użytkownik posiadający pisemne upoważnienie do przetwarzania danych osobowych.
  2. Upoważnienia do przetwarzania danych osobowych w systemie informatycznym nadaje Administrator danych.

§ 6. Zabezpieczenia

  1. Ochronę przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane są dane osobowe, zapewniają zasilacze UPS.
  2. Stosuje się aktywną ochronę antywirusową z automatyczną aktualizacją.
  3. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiada co najmniej dwóch Pracowników, wówczas zapewnia się, aby:
    1. w systemie tym rejestrowany był dla każdego Użytkownika odrębny identyfikator Użytkownika (login);
    2. dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora Użytkownika i dokonaniu uwierzytelnienia poprze wprowadzenie hasła.
  4. Identyfikator Użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innemu Użytkownikowi.
  5. W przypadku gdy do uwierzytelniania Użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. Za okresową zmianę haseł odpowiada Użytkownik.
  6. W przypadku podejrzenia, iż wiadomości o sposobie dostępu do elektronicznej bazy danych (w tym hasło) uzyskała osoba do tego niepowołana, Użytkownik powinien niezwłocznie dokonać zmiany hasła w porozumieniu z Administratorem danych.

§ 7. Procedury tworzenia kopii zapasowych

  1. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
  2. Kopie zapasowe:
    1. przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
    2. usuwa się niezwłocznie po ustaniu ich użyteczności.
  3. Odpowiedzialnym za wykonanie kopii zapasowych jest Pracownik obsługujący dany program przetwarzający dane.

§ 8. Odnotowanie informacji

  1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:
    1. daty pierwszego wprowadzenia danych do systemu;
    2. identyfikatora Użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
    3. źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą;
    4. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
    5. sprzeciwu wobec przetwarzania jej danych, zgodnie z przepisami prawa.
  2. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w punkcie 1 powyżej.

§ 9. Procedury wykonywania przeglądów i konserwacji systemów

  1. Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe mogą być wykonywane wyłącznie przez Pracowników lub przez inne upoważnione osoby.
  2. Prace wymienione w ust. 1 powinny uwzględniać wymagany poziom zabezpieczenia danych przed dostępem do nich osób nieupoważnionych.
  3. Przed rozpoczęciem prac wymienionych w ust. 1 przez osoby nie będące Pracownikami należy dokonać potwierdzenia tożsamości tych osób.

§ 10. Niszczenie wydruków i nośników danych

  1. Nośniki przekazywane na zewnątrz powinny być pozbawione zapisów zawierających dane osobowe. Niszczenie poprzednich zapisów powinno odbywać się poprzez wymazywanie informacji oraz formatowanie nośnika.
  2. Uszkodzone nośniki należy fizycznie zniszczyć (przeciąć, przełamać, itp.) przed ich wyrzuceniem.
  3. Po wykorzystaniu wydruki zawierające dane osobowe powinny być niszczone w niszczarce do papieru.
  4. Nośniki danych, na których zapisywane są kopie zapasowe, niszczy się trwale w sposób mechaniczny.

§ 11. Postanowienia końcowe

  1. Instrukcja została przyjęta na mocy zarządzenia Właściciela z dnia 07/05/2018 roku. Zmiana treści Instrukcji może nastąpić w takim samym trybie.
  2. Postanowienia Instrukcji lub jej zmiany wchodzą w życie po upływie dwóch tygodni od podania go do wiadomości Pracowników w sposób przyjęty u Pracodawcy.
  3. W sprawach nie uregulowanych w Instrukcji stosuje się odpowiednie przepisy prawa, w tym Ustawy odo i Rozporządzenia.