Ochrona danych osobowych
Regulamin Ochrony danych Osobowych
w Państwowym Ognisku Plastycznym w Starachowicach
Na podstawie Ustawy z dnia 29.08.1997 o ochronie danych osobowych i rozporządzeniu MSWiA z 29.04.2004 dyrektor Państwowego Ogniska Plastycznego w Starachowicach Zarządzeniem nr 3 z dnia 08.01.2015r. wprowadza regulamin Bezpieczeństwa Ochrony Danych Osobowych oraz zarządzania systemami informatycznymi. Obowiązuje z dniem wprowadzenia pracowników etatowych oraz współpracowników (użytkowników), mających upoważnienia do przetwarzania danych osobowych w Państwowym Ognisku Plastycznym w Starachowicach.
SPIS TREŚCI
1 Zasady bezpiecznego użytkowania sprzętu stacjonarnego IT 2
2 Zasady korzystania z oprogramowania 2
3 Zasady korzystania z internetu 2
4 Zasady korzystania z poczty elektronicznej 3
6 Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych 3
8 Procedura rozpoczęcia, zawieszenia i zakończenia pracy 4
9 Postępowanie z elektronicznymi nośnikami zawierającymi dane osobowe 4
10 Postępowanie z danymi osobowymi w wersji papierowej 4
11 Zapewnienie poufności danych osobowych 5
12 Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych 5
1. Zasady bezpiecznego użytkowania sprzętu stacjonarnego IT
-
Sprzęt IT służący do przetwarzania zbioru danych osobowych składa się z komputerów stacjonarnych, serwera, drukarek
-
Użytkownik zobowiązany jest korzystać ze Sprzętu IT w sposób zgodny z jego przeznaczeniem i chronić go przed jakimkolwiek zniszczeniem lub uszkodzeniem
-
Użytkownik zobowiązany jest do zabezpieczenia Sprzętu IT przed dostępem osób nieupoważnionych a w szczególności zawartości ekranów monitorów
-
Użytkownik ma obowiązek natychmiast zgłosić zagubienie, utratę lub zniszczenie powierzonego mu Sprzętu IT
-
Samowolne otwieranie (demontaż) Sprzętu IT, instalowanie dodatkowych urządzeń (np. twardych dysków, pamięci) do lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.
2. Zasady korzystania z oprogramowania
-
Użytkownik zobowiązuje się do korzystania wyłącznie z oprogramowania objętego prawami autorskimi
-
Użytkownik nie ma prawa kopiować oprogramowania zainstalowanego na Sprzęcie IT przez Pracodawcę na swoje własne potrzeby ani na potrzeby osób trzecich
-
Instalowanie jakiegokolwiek oprogramowania na Sprzęcie IT może być dokonane wyłącznie przez osobę upoważnioną
-
Użytkownicy nie mają prawa do instalowania ani używania oprogramowania innego, niż przekazane lub udostępnione im przez Pracodawcę.
-
Użytkownicy nie mają prawa do zmiany parametrów systemu, które mogą być zmienione tylko przez osobę upoważnioną
-
W przypadku naruszenia któregokolwiek z powyższych postanowień Pracodawca ma prawo niezwłocznie i bez uprzedzenia usunąć nielegalne lub niewłaściwie zainstalowane oprogramowanie
3. Zasady korzystania z internetu
-
Użytkownicy mają prawo korzystać z Internetu w celu wykonywania obowiązków służbowych
-
Przy korzystaniu z Internetu, użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego
-
Użytkownicy mają prawo korzystać z Internetu dla celów prywatnych wyłącznie okazjonalnie i powinno być ono ograniczone do niezbędnego minimum
-
Korzystanie z Internetu dla celów prywatnych nie może wpływać na jakość i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych, a także na wydajność systemu informatycznego Pracodawcy .
-
Użytkownicy nie mają prawa korzystać z Internetu w celu przeglądania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec obowiązujących zasad postępowania.
-
W zakresie dozwolonym przepisami prawa, Pracodawca zastrzega sobie prawo kontrolowania sposobu korzystania przez Użytkownika z internetu pod kątem wyżej opisanych zasad. Ponadto, w uzasadnionym zakresie, Pracodawca zastrzega sobie prawo kontroli czasu spędzanego przez Użytkownika w internecie. Pracodawca może również blokować dostęp do niektórych treści dostępnych przez internet.
4. Zasady korzystania z poczty elektronicznej
-
System Poczty Elektronicznej jest przeznaczony wyłącznie do wykonywania obowiązków służbowych
-
Przy korzystaniu z Systemu Poczty Elektronicznej, Użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego
-
Użytkownicy mają prawo korzystać z Systemu Poczty Elektronicznej dla celów prywatnych wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum.
-
Korzystanie z Systemu Poczty Elektronicznej dla celów prywatnych nie może wpływać na jakość i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych, a także na wydajność Systemu Poczty Elektronicznej.
-
Użytkownik nie ma prawa wysyłać wiadomości zawierających informacje poufne dotyczące Pracodawcy, jego pracowników, uczniów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej
-
Zakazuje się uczestnictwa w tzw. „łańcuszkach szczęścia”
-
Użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie sugeruje związku z wypełnianymi przez nich obowiązkami służbowymi.
-
Użytkownicy nie powinni uruchamiać wykonywalnych załączników dołączonych do wiadomości przesyłanych pocztą elektroniczną.
-
Użytkownicy zobowiązani są do skanowania plików wprowadzanych z zewnętrznych nośników programem antywirusowym
-
Zakazane jest wyłączanie systemu antywirusowego podczas pracy systemu informatycznego przetwarzającego dane osobowe
-
W przypadku stwierdzenia zainfekowania systemu, użytkownik obowiązany jest poinformować niezwłocznie o tym fakcie osobę upoważnioną.
6. Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych
-
Za nadawanie upoważnień odpowiada ADO
-
Każdy użytkownik systemu przed nadaniem upoważnienia musi zapoznać się z niniejszym regulaminem
-
ADO nadaje pisemne upoważnienia Pracownikom
-
Upoważnienie nadawane jest do zbiorów w wersji papierowej i elektronicznej
-
ADO odpowiada za aktualizację i anulowanie Upoważnień
-
Hasło dostępu do zbioru danych składa się co najmniej z 8 znaków (dużych i małych liter oraz z cyfr lub znaków specjalnych)
-
Użytkownik systemu w trakcie pracy w aplikacji może zmienić swoje hasło
-
Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności
-
Zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom
8. Procedura rozpoczęcia, zawieszenia i zakończenia pracy
-
Użytkownik rozpoczyna pracę z systemem informatycznym przetwarzającym dane osobowe z użyciem hasła
-
Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym na wgląd do danych wyświetlanych na monitorach komputerowych – tzw. Polityka czystego ekranu
-
Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wywołać blokowany hasłem wygaszacz ekranu lub wylogować się z systemu.
-
Po zakończeniu pracy, użytkownik zobowiązany jest:
-
wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy
-
zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki magnetyczne i optyczne, na których znajdują się dane osobowe
-
9. Postępowanie z elektronicznymi nośnikami zawierającymi dane osobowe
-
Elektroniczne nośniki, to: Wymienne twarde dyski, pen-drive, płyty CD, DVD, pamięci typu Flash.
-
Użytkownicy nie mogą wynosić na zewnątrz firmy wymiennych elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody Pracodawcy. W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe należy fizycznie zniszczyć nośnik przez spalenie lub rozdrobnienie.
10. Postępowanie z danymi osobowymi w wersji papierowej
-
Za bezpieczeństwo dokumentów i wydruków zawierających dane osobowe odpowiedzialne są osoby upoważnione .
-
Dokumenty i wydruki zawierające dane osobowe przechowuje się w pomieszczeniach zabezpieczonych fizycznie przed dostępem osób nieupoważnionych
-
Użytkownicy są zobowiązani do stosowania „polityki czystego biurka”. Polega ona na zabezpieczaniu dokumentów np. w szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem osób nieupoważnionych
-
Użytkownicy zobowiązani są do przewożenia dokumentów w sposób zapobiegający ich kradzieży, zagubieniu lub utracie
-
Użytkownicy zobowiązani są do niszczenia dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania
11. Zapewnienie poufności danych osobowych
-
Użytkownik zobowiązany jest do zachowania w tajemnicy danych osobowych, do których ma lub będzie miał/a dostęp w związku z wykonywaniem zadań służbowych lub obowiązków pracowniczych lub zadań zleconych przez Pracodawcę
-
Użytkownik zobowiązany jest do niewykorzystywania danych osobowych w celach pozasłużbowych bądź niezgodnych ze zleceniem o ile nie są one jawne
-
Użytkownik zobowiązany jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych o ile nie są one jawne
-
Zabrania się przekazywania bezpośrednio lub przez telefon danych osobowych osobom nieupoważnionym
12. Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych
-
Użytkownik zobowiązany jest do powiadomienia Administratora Danych Osobowych w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych
-
Typowe sytuacje, gdy użytkownik powinien powiadomić ADO:
-
ślady na drzwiach, oknach i szafach wskazują na próbę włamania
-
dokumentacja jest niszczona bez użycia niszczarki
-
fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie
-
otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
-
ustawienie monitorów pozwala na wgląd osób postronnych na dane osobowe
-
wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia ADO
-
udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej
-
telefoniczne próby wyłudzenia danych osobowych
-
kradzież komputerów lub CD, twardych dysków, Pen-drive z danymi osobowymi
-
maile zachęcające do ujawnienia identyfikatora i/lub hasła,
-
pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
-
hasła do systemów przyklejone są w pobliżu komputera
-
13. Postępowanie dyscyplinarne
-
Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
-
Kara dyscyplinarna, orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby zgodnie 1. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.) oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.