Instrukcja zarządzania systemem informatycznym

Kancelaria Radcy Prawnego Anna Kowalska

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYMDO PRZETWARZANIA DANYCH OSOBOWYCH W KANCELARII

Warszawa 24.05.2024

§1Cel instrukcji

Celem niniejszej instrukcji jest zapewnienie i wykazanie przez Administratora Bezpieczeństwa Informacji, dalej: „ABI”, zgodności przetwarzania danych osobowych w systemach informatycznych w Kancelarii Radcy Prawnego Anna Kowalska, dalej: „Kancelaria”, z przepisami prawa, w tym w szczególności zgodnie z Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: „RODO”.

§2Postanowienia ogólne

1. Systemem informatycznym w Kancelarii jest zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych przetwarzanych w Kancelarii.

2. System informatyczny w Kancelarii tworzą:a) urządzenia – stacjonarne komputery PC z systemem operacyjnym Windows 11, laptopy z systemem operacyjnym Windows 11, drukarka wielofunkcyjna, skanerb) programy – Microsoft Office 365, program prawniczy Lex Navigatorc) serwer plików NAS Synology DS220+.

§3Nadawanie uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym

1. Dostęp do systemu informatycznego posiadają wyłącznie osoby zatrudnione w Kancelarii lub współpracujące z nią na podstawie umowy cywilnoprawnej, które zostały pisemnie upoważnione przez ABI do przetwarzania danych osobowych w systemie informatycznym. ABI określa zakres i rodzaj operacji przetwarzania danych osobowych, do których uprawnione są osoby określone w zdaniu poprzedzającym.

2. ABI występuje do Specjalisty ds. IT, dalej: „Specjalista IT”, o zarejestrowanie osoby uprawnionej w systemie informatycznym do przetwarzania danych osobowych jako użytkownika systemu informatycznego.

3. Specjalista IT rejestruje użytkownika w systemie informatycznym poprzez:a) nadanie użytkownikowi identyfikatora;b) przydzielenie użytkownikowi hasła;c) utworzenie konta użytkownika.

§4Cofanie uprawnień do przetwarzania danych i wyrejestrowanie tych uprawnień w systemie informatycznym

1. ABI może w każdym czasie cofnąć nadane użytkownikowi uprawnienie do przetwarzania danych osobowych w systemie informatycznym, w szczególności wówczas, gdy użytkownik zaniedbał obowiązki wynikające z niniejszej Instrukcji lub z Polityki ochrony danych osobowych obowiązującej w Kancelarii, dalej: „Polityka”. Cofnięcie uprawnień może nastąpić w całości albo w części, jak również mieć charakter czasowy lub trwały.

2. Na wniosek ABI Specjalista IT wyrejestrowuje użytkownika z systemu informatycznego dokonuje Specjalista IT. W zależności od decyzji ABI – wyrejestrowanie może mieć charakter czasowy lub trwały.

3. Wskutek wyrejestrowania użytkownika blokowane jest jego konto w systemie informatycznym; użytkownik traci dostęp do systemu informatycznego w Kancelarii.

4. Po wyrejestrowaniu użytkownika jego identyfikator konta nie może być przydzielony innej osobie.

§5Metody i środki uwierzytelnienia w systemie informatycznych oraz procedury związane z ich zarządzaniem i użytkowaniem

1. Identyfikatorem użytkownika jest: „pierwsza litera imienia użytkownika(kropka)pełne nazwisko użytkownika”, bez polskich znaków diakrytycznych, np. a.kowalska. Wykluczone jest nadanie tych samych identyfikatorów dwóm różnym osobom w Kancelarii.

2. Pierwsze hasło użytkownika nadaje Specjalista IT. System informatyczny wymusza zmianę nadanego przez Specjalista IT przy pierwszym logowaniu użytkownika do systemu informatycznego.

3. Hasło użytkownika składa się co najmniej z ośmiu znaków, zawiera małe i wielkie litery oraz znaki specjalne (np. !?!@#$%^) lub cyfry. Hasło użytkownika nie może zawierać imienia lub nazwiska identyfikatora użytkownika.

4. Użytkownik ma obowiązek zmieniać hasło nie rzadziej niż co 30 dni. Zmianę haseł wymusza automatycznie system informatyczny. Hasło zmienione nie może zawierać tych samych słów co hasło poprzednie.

5. Użytkownik jest zobowiązany do zachowania w ścisłej tajemnicy hasła do systemu informatycznego i jego nieujawniania jakimkolwiek innym osobom. Obowiązek, o którym mowa w zdaniu poprzedzającym, dotyczy również innych użytkowników systemu informatycznego w Kancelarii.

§6Rozpoczęcie, zawieszenie i zakończenie pracy przez użytkowników systemu informatycznego

1. Wejście do pomieszczenia, w którym przetwarzane są dane osobowe, jest zabezpieczone czytnikiem kart dostępu.

2. Każdy użytkownik posiada własną, imienną kartę dostępu.

3. Karta dostępu umożliwia wstęp wyłącznie do pomieszczeń, w których użytkownik jest uprawniony do przetwarzania danych osobowych.

4. Użytkownik nie może udostępniać karty dostępu innym osobom, w tym również innym użytkownikom systemu informatycznego w Kancelarii. Użytkownik powinien chronić kartę wstępu przed jej przypadkową utratą.

5. W pomieszczeniu, w którym przetwarzane są dane osobowe, nie powinny znajdować się osoby nieupoważnione przez ABI do przetwarzania danych osobowych.

6. Rozpoczęcie przetwarzania danych osobowych w systemie informatycznym wymaga włączenia komputera oraz wprowadzenia identyfikatora i użytkownika oraz znanego tylko użytkownikowi hasła.

7. System informatyczny automatycznie blokuje konto użytkownika, jeżeli użytkownik trzykrotnie błędnie wpisze identyfikator lub hasło. Odblokowania konta użytkownika może dokonać Specjalista IT za uprzednią zgodą ABI.

8. Użytkownik jest zobowiązany do wylogowania się z systemu informatycznego w każdym przypadku opuszczenia pomieszczenia, w którym przetwarzane są dane osobowe. Wylogowanie z systemu automatycznego następuje automatycznie w ciągu 5 minut od czasu zaprzestania dokonywania czynności na klawiaturze komputera.

9. Po zakończeniu pracy użytkownik:a) wylogowuje się z systemu informatycznego;b) wyłącza komputer;c) niszczy w niszczarce lub chowa do zamykanych na klucz szaf wszelkie wydruki i dokumenty zawierające dane osobowe.

§7Kopie zapasowe

1. Specjalista IT tworzy kopie zapasowe nośników informacji zawierających dane osobowe przetwarzane w Kancelarii.

2. Kopie zapasowe tworzone są w formie elektronicznej i przechowywane na innym serwerze aniżeli kopie podstawowe.

3. Kopie zapasowe tworzone są raz w tygodniu, po zakończeniu dnia roboczego w piątek, a jeżeli piątek jest dniem wolnym od pracy – po zakończeniu ostatniego roboczego w danym tygodniu.

4. Dostęp do serwera zawierającego kopie zapasowe mają wyłącznie Specjalista IT oraz ABI.

§8Nośniki zawierające dane osobowe w systemie informatycznym

1. Zbiory danych osobowych w formie danych osobowych, jak również pliki zawierające dane osobowe przechowywane są na serwerach.

2. Przetwarzanie danych osobowych w formie elektronicznej dopuszczalne jest wyłącznie na przeznaczonych do tego komputerach administrowanych przez Kancelarię. Dostęp do komputera zabezpieczony jest hasłem zgodnie z Instrukcją.

3. Zakazuje się przetwarzania danych osobowych poza siedzibą Kancelarii, jak również przetwarzania ich w formie elektronicznej na innych nośnikach danych niż wskazane w ustępie poprzedzającym. W szczególności zakazuje się przetwarzania danych osobowych przy użyciu prywatnych laptopów, tabletów, notebooków należących do osób upoważnionych w Kancelarii do przetwarzania danych osobowych.

4. Nośniki (płyty CD, dyskietki, dyski przenośne, pendrive, itd.) mogą być używane pod warunkiem, że są przechowywane w miejscach, do których nie posiadają dostępu osoby nieupoważnione przez ABI do przetwarzania danych osobowych.

5. Nośniki informatyczne przechowywane są w miejscach zabezpieczonych przed dostępem osób nieupoważnionych.

6. Zakazuje się wynoszenia z Kancelarii nośników zawierających dane osobowe.

7. O przetwarzaniu danych osobowych na nośnikach (płyty CD, dyskietki, dyski przenośne, pendrive, itd.) należy poinformować ABI.

§9Zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

1. W Kancelarii stosuje się zabezpieczenia przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, w tym w szczególności: program antywirusowy ESET Endpoint Security, firewall sprzętowy, szyfrowanie dysków twardych.

2. System antywirusowy podlega automatycznej aktualizacji zgodnie z warunkami i licencjami jego użytkowania.

3. Użytkownik niezwłocznie zawiadamia ABI oraz Specjalistę IT o wszelkich wykrytych przez system zabezpieczeń zagrożeniach systemu informatycznego.

4. Specjalista IT dokonuje przeglądu stosowanych systemów zabezpieczeń nie rzadziej niż raz na 3 miesiące. Specjalista IT zawiadamia ABI w razie uznania, że dla ochrony danych osobowych zasadne byłoby wdrożenie systemów zabezpieczeń innych niż określone w ust. 1 niniejszego paragrafu.

§ 10Przeglądy konserwacje systemów i nośników informacji oraz naprawy urządzeń komputerowych z służących do przetwarzania danych osobowych

1. Specjalista IT dokonuje przeglądu i konserwacji systemu informatycznego oraz nośników informacji służących do przetwarzania danych nie rzadziej niż raz trzy miesiące, jednakże - w razie potrzeby - ABI może zlecić Specjaliście IT dokonanie tych czynności w dowolnym czasie.

2. W razie potrzeby Specjalista IT dokonuje naprawy urządzeń komputerowych służących do przetwarzania danych osobowych.

3. Wykonywanie przez Specjalistę IT czynności, o których mowa w ust. 1 lub 2 niniejszego paragrafu, nie powinno prowadzić do wystąpienia ryzyka naruszenia ochrony danych osobowych.

4. Jeżeli w trakcie czynności, o których mowa w ust. 1 lub 2 niniejszego paragrafu, Specjalista IT ustali, że doszło lub mogło dojść do przypadku naruszenia ochrony danych, zawiadamia o tym ABI niezwłocznie, nie później jednak niż w ciągu godziny od ustalenia okoliczności.

5. Niezależnie od obowiązku zawiadomienia, o którym mowa w ustępie poprzedzającym, po zakończeniu czynności, o których mowa w ust. 1 lub 2 niniejszego paragrafu, Specjalista IT sporządza w formie pisemnej protokół, w którym ocenia w szczególności stan zabezpieczeń, sygnalizuje ewentualne ryzyka związane z operacjami przetwarzania danych osobowych oraz rekomendacje dotyczące zwiększenia stopnia ochrony danych. Protokół przekazywany jest ABI.

§ 11Poczta elektroniczna

1. Do przesyłania oraz odbierania wiadomości e-mail zawierających dane osobowe, których administratorem, podmiotem przetwarzającym lub odbiorcą jest Kancelaria, użytkownicy mogą używać jedynie służbowych kont e-mail.

2. Użytkownicy zobowiązani są do szczególnej dbałości o to, aby wiadomości e-mail zawierające dane osobowe kierowane były wyłącznie do osób do tego uprawnionych. Na końcu każdej wysyłanej wiadomości e-mail jest ustawiona domyślnie informacja: Niniejsza wiadomość wraz z załącznikami jest przeznaczona jedynie dla osoby lub podmiotu będącego jej adresatem i może zawierać poufne informacje. Zakazane jest przeglądanie, przesyłanie, rozpowszechnianie lub inne wykorzystywanie tych informacji, jak również podejmowanie działań na ich podstawie, przez osoby lub podmioty inne niż zamierzony adresat. Jeśli otrzymali Państwo tę wiadomość przez pomyłkę, prosimy o niezwłoczne poinformowanie nadawcy i nieodwracalne usunięcie jej wraz z wszystkimi załącznikami.

3. Należy zachować szczególną ostrożność przy odbiorze wiadomości od nieznanych adresatów. W razie podejrzenia, że otrzymana wiadomość może zawierać złośliwe oprogramowanie (wirus), przed jej otwarciem należy skontaktować się z ABI lub Specjalistą IT.

§ 12Wykonanie instrukcji

1. ABI sprawuje nadzór nad prawidłowym wykonywaniem niniejszej instrukcji i zapobiega jej naruszeniom.

2. Specjalista IT zobowiązany jest do dokonywania wszystkich czynności, o których mowa w niniejszej instrukcji, zgodnie z jej postanowieniami, z Polityką, RODO i innymi przepisami prawa, jak również zgodnie z najlepszymi zasadami wiedzy technicznej.

3. Zgodnie z art. 28 RODO Kancelaria i Firma Informatyczna "CyberSec" Sp. z o.o. zawarli umowę o powierzenie przetwarzania danych osobowych dla potrzeb wykonania niniejszej instrukcji.

4. Umowa cywilnoprawna o współpracy zawarta pomiędzy Kancelarią a Janem Nowakiem zabezpiecza wykonanie przez Jan Nowak obowiązków, o których mowa w niniejszej instrukcji.

5. ABI zapewnia, że Specjalista IT oraz wszyscy użytkownicy przetwarzający dane osobowe w systemie informatycznymi zapoznali się z niniejszą instrukcją i na piśmie zobowiązały się do przestrzegania jej postanowień.

6. ABI oraz Specjalista IT, z własnej inicjatywy lub na wniosek osoby dokonującej operacji przetwarzania danych osobowych, udzielają jej porad, informacji, wskazówek, a także wiążących poleceń dotyczących ochrony danych osobowych, w tym niniejszej instrukcji.

7. Zarówno ABI, jak i każda osoba dokonująca operacji przetwarzania danych osobowych w systemie informatycznym może zgłaszać ABI propozycje optymalizacji systemu informatycznego w Kancelarii w związku z przetwarzaniem danych osobowych w Kancelarii, mając na względzie przede wszystkim ochronę praw i wolności osób, których dane dotyczą. Zgłoszone propozycje mogą w szczególności skutkować zmianą niniejszej instrukcji lub przeglądu, o którym mowa w § 13 ust. 4 poniżej.

8. Za naruszenie niniejszej instrukcji Specjalista IT oraz osoby przetwarzające dane osobowe na polecenie Kancelarii mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach, w tym w szczególności w Kodeksie pracy. W szczególności naruszenie niniejszej instrukcji może stanowić: może stanowić:a) przyczynę uzasadniającą wypowiedzenie umowy o pracę;b) ciężkie naruszenie podstawowych obowiązków pracowniczych uzasadniające rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika;c) ważny powód wypowiedzenia umowy zlecenia lub umowy o świadczenie usług.

§ 13Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą instrukcją stosuje się Politykę ochrony danych osobowych powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO, jak również wskazówki i polecenia ABI oraz Specjalisty IT.

2. Polityka została sporządzona w formie pisemnej w jednym egzemplarzu. Podpisany oryginał Instrukcji przechowywany jest w Kancelarii, natomiast jego skan udostępniony jest osobom upoważnionym przez ABI na serwerze Kancelarii.

3. Niniejsza instrukcja wchodzi w życie z dniem 24.05.2024.

4. Niniejsza instrukcja obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w roku, ABI – w razie potrzeby po konsultacjach z Specjalistą IT lub osobami dokonującymi operacji przetwarzania danych osobowych w Kancelarii – dokonuje przeglądu Instrukcji, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochrony praw i wolności osób, których dane dotyczą. ABI dokona zmiany niniejszej w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.

5. Z dniem wejścia w życie niniejszej instrukcji traci moc Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych z dnia 15.06.2023.

Anna Kowalska (podpis)(pieczęć)