Zasady przetwarzania danych osobowych dla pracowników i kontrahentów Collegium Da Vinci

1. Obszar, w którym przetwarzane są dane osobowe zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

2. Przebywanie osób nieuprawnionych w obszarze w którym przetwarzane są dane osobowe jest dopuszczalne za zgodą Administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

3. Zabrania się przechowywania dokumentów oraz nośników w miejscu ogólnodostępnym, z wyłączeniem sytuacji, w której nie zawierają one danych osobowych.

4. Nakazuje się niszczenie niepotrzebnej dokumentacji oraz nośników zawierających dane osobowe w taki sposób, aby nie było możliwe odtworzenie zawartych w nich informacji, np. w niszczarce w przypadku informacji na papierze.

5. Podczas wydruku na urządzeniach ogólnodostępnych nakazuje się dopilnować, aby powstałe dokumenty nie trafiły do osób nieupoważnionych.

6. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

a) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie lub przekazuje do firmy utylizacyjnej, z którą została podpisana odpowiednia umowa.

b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

c) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

7. Urządzenia i nośniki zawierające dane osobowe szczególne, przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

8. Przydzielanie uprawnień do systemu informatycznego realizowane jest w oparciu o następujące zasady:

a)„minimalnych przywilejów” – każdy użytkownik posiada prawa dostępu do zasobów ograniczone wyłącznie do tych, które są niezbędne do wykonywania powierzonych mu obowiązków;

b)„wiedzy koniecznej” – użytkownicy posiadają wiedzę o zasobach ograniczoną wyłącznie do zagadnień, które są niezbędne do realizacji powierzonych im zadań;

c)„domniemanej odmowy” – wszystkie działania, które nie są jawnie dozwolone są zabronione.

9. Dostęp do systemu informatycznego mogą posiadać, w zależności od wykonywanych czynności służbowych lub umownych:

a) pracownicy Administratora w zakresie niezbędnym do właściwego wykonywania obowiązków służbowych;

b) osoby, przy pomocy których Administrator wykonuje swoje czynności, w szczególności:

– osoby zatrudnione na podstawie umów cywilnoprawnych;

– pracownicy lub osoby działające w imieniu podmiotu zewnętrznego świadczącego usługi na rzecz Administratora;

– stażyści, praktykanci, na podstawie umowy ze szkołą;

10.  Użytkownik systemu informatycznego jest jednoznacznie identyfikowany poprzez nadany mu indywidualny identyfikator użytkownika. Niedopuszczalne jest korzystanie z tego samego identyfikatora przez więcej niż jednego użytkownika. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi.

11. Użytkownikowi systemu informatycznego zostaje nadany dostęp po:

a) zapoznaniu z przepisami, w tym niniejszą dokumentacją przetwarzania danych osobowych,  dotyczącymi ochrony danych osobowych;

b) podpisaniu oświadczenia o zachowaniu informacji (w tym danych osobowych), do których użytkownik będzie miał dostęp podczas wykonywania obowiązków służbowych lub zobowiązań umownych oraz środków ich zabezpieczania w tajemnicy (również po ustaniu łączącej strony umowy), w tym powstrzymanie się od wykorzystywania ich w celach pozasłużbowych;

12. Użytkownik ponosi pełną odpowiedzialność za utworzenie hasła (prócz pierwszego hasła do systemu nadawanego przez administratora systemu informatycznego) i jego przechowywanie w sposób bezpieczny.

13. Bezpośredni przełożony jest zobowiązany do złożenia wniosku o odebranie uprawnień do systemu informatycznego dotyczącego odebrania użytkownikowi uprawnień do danego zasobu informatycznego.

14. Każdy użytkownik posiadający dostęp do systemów informatycznego Administratora jest obowiązany do:

a) zachowania w poufności wszystkich swoich haseł lub innych danych uwierzytelniających wykorzystanych do pracy w systemie informatycznym;

b) niezwłocznej zmiany haseł w przypadkach zaistnienia podejrzenia lub rzeczywistego ujawnienia;

c) niezwłocznej zmiany hasła tymczasowego, przekazanego przez administratora systemu informatycznego;

d) poinformowania Działu IT o podejrzeniu lub rzeczywistym ujawnieniu hasła (po weryfikacji zgłoszenia i potwierdzeniu możliwości wycieku danych Dział IT zobowiązany jest do niezwłocznego poinformowania IOD);

e) stosowania haseł o minimalnej długości 8 znaków, zawierających kombinację małych i dużych liter oraz cyfr lub znaków specjalnych; stosowania haseł nie posiadających w swojej strukturze części loginu;

f) stosowania haseł nie będących zbliżonymi do poprzednich (np. Tadeusz$2013 – Tadeusz$2014);

15. Zabronione jest:

a) zapisywanie haseł w sposób jawny i umieszczania ich w miejscach dostępnych dla innych osób (np. absolutny zakaz zapisywania ich na karteczkach biurowych);

b) stosowanie haseł opartych na skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczących danej osoby, np. imiona, numery telefonów, daty urodzenia itp.;

c) udostępnianie haseł innym użytkownikom;

d) przeprowadzanie prób łamania haseł;

e) wpisywanie haseł „na stałe” (np. w skryptach logowania) oraz wykorzystywania opcji auto-zapamiętywania haseł np. w przeglądarkach internetowych na urządzeniach prywatnych.

16. Użytkownikowi zostaje nadany dedykowany adres skrzynki poczty elektronicznej działający w domenie Administratora, w związku z tym: 

a) informacja o służbowym adresie skrzynki pocztowej jest jawna i dostępna powszechnie, w tym może być dostępna na łamach witryny internetowej Administratora w postaci książki adresowej.

b) nadany użytkownikowi adres skrzynki poczty elektronicznej służy wyłącznie do realizacji celów służbowych lub umownych. Korespondencja realizowana drogą elektroniczną z wykorzystaniem systemów informatycznych administratora danych podlega rejestrowaniu i może być monitorowana. Informacje przesyłane za pośrednictwem sieci administratora danych (w tym do i z Internetu) nie stanowią własności prywatnej użytkownika.

c) wszelka korespondencja elektroniczna niezwiązana z działalnością Administratora powinna być prowadzona przez prywatną skrzynkę poczty elektronicznej użytkownika.

d) korzystanie z systemu poczty elektronicznej dla celów prywatnych nie może wpływać na wydajność systemu poczty elektronicznej.

e) użytkownicy dokonujący wysyłki korespondencji masowej poza organizację, obowiązani są do ukrywania odbiorów w kopii (pole BCC lub UDW).

f) Obowiązuje zasada ogólnego ograniczania przekazywania danych osobowych przy komunikacji grupowej (np. wysyłając listę ocen cząstkowych do grupy identyfikujemy poszczególnych studentów numerem Albumu. Oceny za kurs i moduł przekazywane są wyłącznie przez Wirtualną Uczelnię. Bez zgody Studenta zabronione jest przekazywanie jego prac grupie (również w formie fizycznej).

g) zabronione jest:

– wysyłanie materiałów służbowych na konta prywatne (np. celem pracy nad dokumentami w domu);

– wykorzystywanie systemu poczty elektronicznej do działań mogących zaszkodzić wizerunkowi Administratora;

– odbieranie przesyłek z nieznanych źródeł;

– otwieranie załączników z plikami samorozpakowującymi się bądź wykonalnymi typu exe, com, itp.;

 – przesyłanie pocztą elektroniczną plików wykonywalnych typu: bat, com, exe, plików multimedialnych oraz plików graficznych;

– ukrywanie lub dokonywanie zmian tożsamości nadawcy;

– czytanie, usuwanie, kopiowanie lub zmiana zawartości skrzynek pocztowych innego użytkownika;

– odpowiadanie na niezamówione wiadomości reklamowe lub wysyłane łańcuszki oraz na inne formy wymiany danych określanych spamem; w przypadku otrzymania takiej wiadomości należy przesłać ją Działu IT;

– posługiwanie się adresem służbowym e-mail w celu rejestrowania się na stronach handlowych, informacyjnych, chat’ach lub forach dyskusyjnych, które nie dotyczą zakresu wykonywanej pracy lub obowiązków umownych;

– wykorzystywanie poczty elektronicznej do reklamy prywatnych towarów lub usług, działalności handlowo-usługowej innej niż wynikającej z potrzeb Administratora lub do poszukiwania dodatkowego zatrudnienia.

 17. Użytkownik wykonując czynności zawodowe lub umowne w domu, powinien zadbać o należyte zabezpieczenie powierzonego sprzętu oraz dostępu do informacji przed nieautoryzowanym dostępem osób trzecich;

18. W przypadku utraty nośnika elektronicznego lub sprzętu komputerowego zawierające dane osobowe powierzone przez Administratora należy ten fakt bezzwłocznie zgłosić do bezpośredniego przełożonego oraz Działu IT. Bezpośredni przełożony lub Dział IT bezzwłocznie zgłaszają taki fakt do Inspektora Ochrony Danych, ponieważ  zagubienie nośnika przetwarzającego dane może wiązać się z utratą poufności informacji chronionych przez Administratora;

19. Każdy użytkownik zobowiązany jest do przestrzegania zakazu prowadzenia rozmów, podczas których może dochodzić do wymiany informacji danych osobowych lub informacji poufnych u Administratora, jeśli rozmowy te odbywają się w miejscach publicznych, otwartych pomieszczeniach biurowych lub takich, które nie gwarantują zachowania poufności rozmów.

20. Każdy kto przetwarza dane posiadane przez Administratora zobowiązany jest do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Dokumentacji przetwarzania danych osobowych  Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy. W sprawach nieuregulowanych w niniejszej Instrukcji zarządzania mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy Ustawy.