Instrukcja postępowania w przypadkach naruszenia ochrony danych osobowych
§ 1
1. Instrukcja postępowania w przypadkach naruszenia ochrony danych osobowych, zwana dalej Instrukcją, określa tryb postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych bądź powzięcia podejrzenia o takim naruszeniu.
2. Instrukcja jest wewnętrznym dokumentem Administratora danych, tj. Probajt Sp. z o.o., z siedziba w Kałuszynie, ul. Krzemowej doliny 31, skierowanym do osób świadczących pracę na rzecz tej spółki w zakresie przetwarzania danych osobowych oraz innych osób zatrudnionych przez Probajt Sp. z o.o.
§ 2
1. Administrator danych wyznaczy Administratora bezpieczeństwa informacji, tj. osobę odpowiedzialną za bezpieczeństwo danych osobowych utrwalonych w systemach informatycznych Probajt Sp. z o.o., w szczególności za przeciwdziałanie dostępowi do systemów osób niepowołanych oraz podejmowanie odpowiednich działań w przypadkach, o których mowa w § 1 ust. 1 niniejszej Instrukcji, zwaną dalej ABI.
2. ABI może zlecić innej osobie zatrudnionej u Administratora danych dokonywanie czynności leżących w zakresie obowiązków ABI. W tym przypadku ABI ponosi odpowiedzialność za działanie lub zaniechanie wspomnianej wyżej osoby jak za własne zachowanie, co nie wyłącza jednak odpowiedzialności tej osoby. Podmiot, któremu zlecono wykonywanie czynności z zakresu obowiazków ABI bezzwłocznie informuje ABI o podjętych działaniach.
§ 3
1. Za naruszenia ochrony systemów informatycznych uwaza sie w szczególnosci:
1) naruszenie lub próby naruszenia integralnosci systemów lub zbiorów danych,
2) nieuprawniony dostep lub próbę uzyskania dostępu do pomieszczeń (widoczne uszkodzenia badź naruszenia zabezpieczeń),
3) zniszczenie oraz próby zniszczenia w sposób nieautoryzowany danych zgromadzonych w systemach,
4) zmianę lub utratę danych zapisanych na kopiach zapasowych lub archiwalnych dokonana bez upoważnienia,
5) nieuprawniony dostęp lub próbę uzyskania dostępu do systemów informatycznych (sygnał o nielegalnym logowaniu się lub inny objaw wskazujacy na próbę lub działanie zwiazane z nielegalnym dostępem do systemów),
6) inny stan systemów lub pomieszczeń niz pozostawiony przez użytkownika po zakończeniu lub po przerwie w pracy z systemami.
2. Postanowienia Instrukcji stosuje się odpowiednio w przypadku stwierdzenia, ze stan pomieszczeń i szaf, badź innych mebli biurowych, w których przechowuje się dokumentację lub zawartość tej dokumentacji wzbudzaja podejrzenie, że dostęp do nich mogly mieć osoby trzecie.
§ 4
Zabezpieczenie systemów informatycznych, w zakresie nieuwzglednionym w Instrukcji, reguluje Instrukcja okreslajaca sposób zarzadzania systemem informatycznym.
§ 5
1. ABI sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych, przewidzianych w niniejszej Instrukcji oraz w Instrukcji okreslajacej sposób zarzadzania systemem informatycznym.
2. ABI dokonuje stalych kontroli i oceny funkcjonowania mechanizmów zabezpieczeń i ochrony.
§ 6
W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujacych na naruszenie systemu ochrony danych osobowych, o których mowa w § 3 niniejszej Instrukcji, osoba zatrudniona przy przetwarzaniu danych osobowych oraz pozostali pracownicy zobowiazani sa do bezzwlocznego powiadomienia o tym fakcie ABI.
§ 7
1. Do czasu przybycia ABI, lub osoby przez niego upoważnionej powiadamiajacy:
1) zabezpiecza dostęp do miejsca lub urzadzenia przez osoby trzecie,
2) wstrzymuje pracę na komputerze, na którym zaistniało naruszenie ochrony oraz nie uruchamiania bez koniecznej potrzeby komputerów i innych urzadzen, które w zwiazku z naruszeniem ochrony zostaly wstrzymane,
3) podejmuje, stosownie do zaistniałej sytuacji, inne niezbędne działania celem zapobieżenia dalszym zagrożeniom, które moga skutkować utrata lub poważnym uszkodzeniem danych osobowych.
2. ABI, badź osoba (osoby) przez niego upoważniona, po przybyciu na miejsce, w którym doszło do naruszenia ochrony danych osobowych:
1) ocenia zaistniałą sytuację, na podstawie oględzin i relacji osoby (osób) zatrudnionej przy przetwarzaniu danych osobowych oraz osoby, która dokonała powiadomienia,
2) zarzadza wylogowanie oraz zmianę hasła użytkownika podejrzanego o naruszenie zabezpieczeń danych osobowych,
3) podejmuje decyzje co do dalszego postępowania, stosownie do okoliczności, w szczególności do rozmiaru i charakteru naruszenia ochrony danych osobowych oraz nadzoruje przebieg postępowania naprawczego.
3. ABI albo osoba (osoby) przez niego autoryzowana zarzadza bezzwłoczna archiwizację logów systemowych oraz sprawdza:
1) stan urzadzeń używanych do przetwarzania danych osobowych,
2) zawartość zbiorów danych osobowych,
3) sposób działania systemów.
§ 8
1. ABI sporzadza raport z przebiegu zdarzenia, w którym powinny znaleźć się w szczególności:
1. dane personalne osoby, która stwierdziła naruszenie,
2. rodzaj i rozmiar naruszenia ochrony danych osobowych,
3. opis podjętych czynnosci i ich uzasadnienie
2. Okoliczności i przyczyny naruszeń ochrony ustala albo zespół powołany przez Administratora danych, którym kieruje ABI albo ABI samodzielnie, na polecenie Administratora danych.
3. Zespół, o którym mowa w ust. 2, dokonuje analizy okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych osobowych celem zapobieżenia wystapieniu podobnych sytuacji w przyszłosci, w tym przedstawia propozycje odpowiednich zmian do Instrukcji zarzadzania systemem informatycznym.
4. W przypadku, gdy zachodzi podejrzenie, iż naruszenie bezpieczeństwa danych osobowych spowodowane zostało zaniedbaniem lub naruszeniem dyscypliny pracy, zadaniem ABI jest przedstawienie Administratorowi danych wniosku o wszczęcie postępowania wyjaśniającego i ukaranie odpowiedzialnych osób.
5. Kopia raportu przekazywana jest bezzwlocznie Administratorowi danych badz osobie przez niego wskazanej
§ 9
Zgode na uruchomienie komputerów i innych urzadzeń oraz kontynuowanie pracy wyraża ABI.
§ 10
Uruchomienie urzadzeń używanych do przetwarzania danych osobowych bez uzyskania zgody, o której mowa w § 9 oraz dokonywanie zmian w miejscu naruszenia ochrony bez zezwolenia ABI lub osoby przez niego upoważnionej jest dopuszczalne tylko wtedy, gdy zachodzi konieczność ratowania osób lub mienia albo zapobieżenia grożącemu niebezpieczenstwu.
§ 11
Nininiejsza Instrukcja została wydana 15 listopada 1998 r. i wchodzi w życie po upływie 7 dni od jej ogłoszenia, tj. umieszczenia w sieci infranet i na tablicy obłoszeń w holu głównym siedziby Probajt Sp. z o.o.
Za Zarzad Probajt Sp. z o.o
Tadeusz Pad
Prezes Zarzadu
1
biurokrat