Na podstawie art. 49 ustawy z dnia 12 września 1990 r. o szkolnictwie wyższym (Dz. U. nr 65 poz. 385 z późn. zm.), art. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. nr 133 poz. 883 z późn. zm. ) oraz § 18 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 80 poz. 521 z późn. zm.) zarządza się, co następuje:

§ 1

Przetwarzanie danych osobowych pracowników i studentów Uniwersytetu Gdańskiego służy realizacji zadań wynikających z art. 3 ust. 2 ustawy o szkolnictwie wyższym.

§ 2

1. Administratorem danych na Uniwersytecie Gdańskim w rozumieniu ustawy o ochronie danych osobowych jest Rektor.
2. Obowiązki wynikające z ustawy o ochronie danych osobowych Rektor powierza: 1) prorektorom - w zakresie podległych im jednostek, 2) dziekanom - w zakresie pracowników i studentów wydziałów, 3) dyrektorom jednostek organizacyjnych – w zakresie podległych im pracowników, 4) dyrektorowi administracyjnemu - w zakresie podległych mu jednostek
   zwanym dalej lokalnymi administratorami danych osobowych.

§ 3

1. Zgodnie z wymogami § 3 Rozporządzenia MSWiA - Rektor  wyznacza osobę zwaną dalej "administratorem bezpieczeństwa informacji", odpowiedzialną za bezpieczeństwo danych osobowych w systemach informatycznych Uniwersytetu Gdańskiego.
2. Administrator bezpieczeństwa informacji realizuje zadania wynikające z Rozporządzenia MSWiA z pomocą:
   a) pracowników Działu Kadr UG,
   b) dyrektora Ośrodka Informatycznego,
   c) lokalnych administratorów danych osobowych.

§ 4

1. Zobowiązuje się administratora bezpieczeństwa informacji do:

1. prowadzenia ewidencji baz danych w systemach informatycznych, w których przetwarzane są dane osobowe na Uniwersytecie Gdańskim, zgodnie z załącznikiem nr 1 do niniejszego zarządzenia,
2. prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów, zgodnie z załącznikiem nr 2 do niniejszego zarządzenia,
3. prowadzenia ewidencji miejsc przetwarzania danych osobowych i sposobu ich zabezpieczania, zgodnie z załącznikiem nr 3 do niniejszego zarządzenia,

2. Zobowiązuje się pracowników Działu Kadr UG do uzupełniania akt osobowych pracowników zatrudnionych przy przetwarzaniu danych osobowych o oświadczenia, z których wynika, że zapoznali się z przepisami- obowiązującymi w tym zakresie.

3. Udostępnianie danych osobowych pracowników i studentów UG do celów innych niż określone w § 1 niniejszego zarządzenia, odbywa się wyłącznie za pośrednictwem Działu Kadr UG w przypadku pracowników, lub Działu Kształcenia UG, w przypadku studentów, po uprzednim uzyskaniu zgody odpowiednio rektora lub prorektora ds. Kształcenia.

§ 5

1. Zgodnie w wymogami § 11 ust. 1 Rozporządzenia MSWiA wprowadza się do stosowania Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, stanowiącą załącznik nr 4 do niniejszego zarządzenia.
2. Zgodnie z wymogami § 6 ust. 1 Rozporządzenia MSWiA wprowadza się do stosowania Instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych, stanowiącą załącznik nr 5 do niniejszego zarządzenia.

§ 6

Lokalni administratorzy danych osobowych zobowiązani są do przestrzegania wszystkich przepisów ustawy o ochronie danych, w szczególności poprzez:

1. wyznaczenie wydziałowych administratorów sieci komputerowych,
2. określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych,
3. zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie,
4. wykonywania zaleceń administratora bezpieczeństwa informacji UG w zakresie ochrony danych osobowych w funkcjonujących w podległych im jednostkach systemach informatycznych,
5. przekazywanie na bieżąco do administratora bezpieczeństwa informacji aktualnych danych w zakresie wykazu baz danych w systemach informatycznych, w których przetwarzane są dane osobowe, zgodnie z załącznikiem nr 1 do niniejszego zarządzenia, listy osób biorących udział przy przetwarzaniu danych osobowych i ich identyfikatorów, zgodnie z załącznikiem nr 2 do niniejszego zarządzenia, oraz lokalizacji pomieszczeń w których te dane są przetwarzane, zgodnie z załącznikiem nr 3 do niniejszego zarządzenia, w przypadku zaistnienia jakichkolwiek zmian tych danych,
6. wdrażanie i nadzorowanie przestrzegania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, będącej załącznikiem nr 4 do niniejszego zarządzenia,
7. działanie zgodnie z instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych, będącą załącznikiem nr 5 do niniejszego zarządzenia,
8. stwarzanie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych w podległych im jednostkach.

§ 7

Osoby nie przestrzegające przepisów w zakresie ochrony danych osobowych podlegają sankcjom przewidzianym w rozdziale 8 ustawy o ochronie danych osobowych.

§ 8

Zobowiązuje się lokalnych administratorów danych osobowych w terminie 30 dni od dnia wejścia w życie zarządzenia do:

1. przesłania do administratora bezpieczeństwa informacji danych osobowych wydziałowych administratorów sieci komputerowej,
2. zgodnie z załącznikiem nr 1 przygotowanie i przesłanie do administratora bezpieczeństwa informacji ewidencji baz danych w systemach informatycznych, w których przetwarzane są dane osobowe,
3. zgodnie z załącznikiem nr 2, przygotowanie i przesłanie do administratora bezpieczeństwa informacji listy osób zatrudnionych przy przetwarzaniu danych osobowych i ich identyfikatorów,
4. zgodnie z załącznikiem nr 3, przygotowanie i przesłanie do administratora bezpieczeństwa informacji wykazu miejsc, w których ma miejsce przetwarzanie danych osobowych, w podległych im jednostkach.

§ 9

Zarządzenie wchodzi w życie z dniem 17 lutego 2003 roku.

Rektor
dr hab. Andrzej Ceynowa, prof. UG

Załącznik nr 1
do zarządzenia nr 5/R/03 Rektora UG
-z dnia 14 lutego 2003 r.

...................................................

Nazwa jednostki organizacyjnej

Wykaz baz danych w systemach informatycznych w których przetwarzane są dane osobowe na Uniwersytecie Gdańskim

⁽¹⁾nazwa zwyczajowa lub własna, np. dziekanat, kadry, itp.

⁽²⁾np. plik Excela/Windows 2000, lub baza MySQL/Mandrake 9.0

⁽³⁾np. (I) indywidualne hasło dostępu do bazy danych, (S) szyfrowanie bazy danych, (F) wydzielona fizycznie sieć

⁽⁴⁾np. kontrola dostępu

Załącznik nr 2
do zarządzenia nr 5/R/03 Rektora UG
z dnia 14 lutego 2003 r.

...................................................

Nazwa jednostki organizacyjnej

Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów

⁽¹⁾Nazwa bazy danych z załącznika nr 1

⁽²⁾Skróty stosowane do określenia uprawnień

Z- pełne prawa do zarządzania bazą danych

W - pełne prawa do edycji danych (w tym drukowania, archiwizowania, usuwania)

N - prawo do zakładania nowych kont

M - prawo do dodawania i modyfikacji danych

P - prawo do przeglądania danych na ekranie

D - prawo do drukowania danych

A - prawo do wykonywania kopii archiwalnych

Uwaga: w przypadku praw ograniczonych do określonej części bazy danych (np. studentów określonego kierunku studiów) należy ograniczenie to podać w polu Uwagi

⁽³⁾należy podać liczbę porządkową zgodnie z załącznikiem nr 3

Dane aktualne na dzień:......./........./...........

Sporządził:..................................................

Załącznik nr 3
do zarządzenia nr 5/R/03 Rektora UG
z dnia 14 lutego 2003 r.

...................................................

Nazwa jednostki organizacyjnej

Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych na Uniwersytecie Gdańskim

UWAGA: do każdej lokalizacji należy dołączyć szkic sytuacyjny określający położenie stanowisk komputerowych w pomieszczeniu, z zaznaczeniem strefy ochronnej do której nie mają dostępu osoby nieupoważnione, drzwi wejściowe,- okna oraz zabezpieczenia fizyczne.

⁽¹⁾ nazwa bazy danych z załącznika nr 1

⁽²⁾ (S) - serwer, (K) - miejsce przechowywania kopii bezpieczeństwa, Z - pomieszczenie w którym wykonywane są kopie bezpieczeństwa, U - pomieszczenie osób wprowadzających dane, A - pomieszczenie administratora bazy danych

⁽³⁾ (K) - kraty w oknach, (A) - alarm, (W) - wzmocnione drzwi

Załącznik nr 4
do zarządzenia nr 5/R/03 Rektora UG
z dnia 14 lutego 2003 r.

Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych

1. Niniejsza instrukcja określa ogólne zasady zarządzania każdym systemem informatycznym służącym do przetwarzania danych osobowych na Uniwersytecie Gdańskim oraz stanowi podstawę do opracowania instrukcji szczegółowych uwzględniających specyfikę poszczególnych systemów informatycznych funkcjonujących na uczelni.
2. Administrator bezpieczeństwa informacji UG

1. czuwa nad wdrażaniem niniejszej instrukcji w systemach informatycznych Uniwersytetu Gdańskiego w których rzetwarzane są dane osobowe oraz dba o bieżące jej uaktualnianie stosownie do zmieniających się technologii informatycznych oraz zagrożeń bezpieczeństwa systemów informatycznych uczelni
2. określa strategię zabezpieczania systemów informatycznych uczelni
3. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w ystemach informatycznych uczelni
4. określa potrzeby w zakresie zabezpieczenia systemów informatycznych w których przetwarzane są dane osobowe
5. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych oraz ich przetwarzania

3. Lokalni administratorzy danych osobowych stwarzają właściwe warunki organizacyjno-techniczne gwarantujące bezpieczeństwo systemów informatycznych w podległych im jednostkach, a w szczególności:
   1. wyznaczają administratorów poszczególnych systemów informatycznych funkcjonujących w podległych im jednostkach
   2. stosują się do zaleceń administratora bezpieczeństwa informacji (lub - uwzględniają w miarę możliwości finansowo-lokalowych zalecenia administratora bezpieczeństwa informacji) w zakresie

1. lokalizacji pomieszczeń w których przetwarzane są dane osobowe
2. lokalizacji pomieszczeń w których przechowywane są kopie awaryjne zbiorów danych osobowych
3. instalowania krat i systemów alarmowych adekwatnych do zagrożenia systemów informatycznych
4. zakupu systemów operacyjnych, baz danych, oprogramowania antywirusowego oraz systemów kryptograficznych podnoszących bezpieczeństwo danych osobowych oraz gwarantujących spełnienie wymogów określonych ustawą
5. zakupu pamięci masowych, streamerów oraz innych urządzeń i nośników umożliwiających wykonywanie kopii zapasowych danych osobowych w systemach informatycznych
6. właściwego prowadzenia i zabezpieczenia okablowania sieci komputerowej służącej do przetwarzania danych osobowych w systemach informatycznych w celu wyeliminowania niebezpieczeństwa podsłuchu lub zniszczenia infrastruktury sieciowej
7. zakupu niszczarek do dokumentów do pomieszczeń w których generowane są wydruki zawierające dane osobowe
8. zakupu szaf pancernych do przechowywania kopii zapasowych danych osobowych z systemów informatycznych

3. w przypadku systemów informatycznych działających w środowisku sieciowym
   1. dokonują wyboru lub migracji do technologii minimalizującej zagrożenie uzyskania dostępu do sieci osobom nieupoważnionym
   2. zakupują oprogramowanie umożliwiające rejestrowanie identyfikatorów i czas logowania użytkowników sieci
   3. nadzorują proces monitorowania sieci pod kątem zabezpieczenia przed dostępem osób nieupoważnionych
4. zabezpieczają budynki oraz pomieszczenia w których przetwarzane są dane osobowe w systemach informatycznych przed dostępem osób niepowołanych, a w szczególności
   1. wprowadzają i nadzorują bieżącą aktualizację listy osób upoważnionych do pobierania kluczy do pomieszczeń w których przetwarzane są dane osobowe
   2. wprowadzają ewidencję osób pobierających klucz do pomieszczeń w których przetwarzane są dane osobowe zawierającą m.in. czas pobierania i zdawania kluczy
   3. określają tryb szkolenia portierów w budynkach w których przetwarzane są dane osobowe w systemach informatycznych
   4. określają tryb szkolenia osób sprzątających pomieszczenia w których przetwarzane są dane osobowe w systemach informatycznych uwzględniający specyfikę konserwacji systemów komputerowych
5. określają zasady i ewidencję wykonywania czynności serwisowych w systemach informatycznych w podległych jednostkach w celu wyeliminowania
   1. ożliwości wykonania kopii danych osobowych przez osoby nieupoważnione,
   2. przemieszczania urządzeń komputerowych i ich części służących do przetwarzania danych osobowych poza obszar objęty ochroną
   3. podmiany elementów sprzętu komputerowego lub oprogramowania na inny, który zawiera cechy ukryte

4.1 Wydziałowi administratorzy sieci komputerowej opracowują i na bieżąco uaktualniają z pomocą administratorów poszczególnych systemów informatycznych szczegółowe instrukcje zarządzania systemami informatycznymi w podległych im systemach informatycznych, które powinny zawierać w szczególności

1. sposób przydziału haseł dla użytkowników poszczególnych systemów informatycznych i częstotliwość ich zmiany oraz wskazanie osoby odpowiedzialnej za te czynności
2. określenie sposobu rejestrowania i wyrejestrowywania użytkowników oraz wskazanie osoby odpowiedzialnej za te czynności
3. procedury rozpoczęcia i zakończenia pracy
4. metody i częstotliwość wykonywania kopii awaryjnych
5. metody i częstotliwość sprawdzania systemów informatycznych na obecność wirusów komputerowych oraz metodę ich usuwania
6. sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków
7. sposób postępowania w zakresie komunikacji w sieci komputerowej

4.2 Wydziałowi administratorzy sieci komputerowej są zobowiązani do

1. wykonywania poleceń administratora bezpieczeństwa informacji UG w zakresie zarządzania podległymi systemami informatycznymi
2. czuwania nad właściwym eksploatowaniem podległych im systemów informatycznych
3. prowadzenia, uaktualniania na bieżąco oraz przesyłania administratorowi bezpieczeństwa informacji UG, danych w zakresie
   1. listy osób biorących udział przy przetwarzaniu danych osobowych
   2. lokalizacji pomieszczeń w których te dane są przetwarzane, w przypadku zaistnienia jakichkolwiek zmian tych danych
   3. rodzaju systemów informatycznych funkcjonujących w zakresie ich działania
   4. listy identyfikatorów osób biorących udział przy przetwarzaniu danych osobowych w podległych im systemach informatycznych
   5. czynności serwisowych wykonywanych w podległych systemach informatycznych
   6. zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym m.in.
      • wykrytych wirusów, koni trojańskich itp.
      • oprogramowania nielegalnego lub zainstalowanego bez upoważnienia
      • awarii systemu informatycznego lub jego nieprawidłowego działania
      • stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną
      • awarii zasilania
4. kontrolowania i zabezpieczenia prawidłowości przebiegu czynności serwisowych w podległych systemach informatycznych, przy czym urządzenia, dyski lub inne nośniki zawierające dane osobowe, pozbawiają przed naprawą zapisu tych danych lub nadzorują ich naprawę
5. pozbawiania zapisu danych osobowych z tych nośników, które przeznaczone są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych
6. pozbawiania zapisu danych osobowych lub uszkadzania w sposób uniemożliwiający odczytanie tych nośników, które przeznaczone są do likwidacji
7. instalowania zabezpieczeń w podległych systemach informatycznych wynikających z zaleceń administratora bezpieczeństwa informacji UG
8. zgłaszania wydziałowym administratorom danych oraz administratorowi bezpieczeństwa informacji UG potrzeb w zakresie zabezpieczenia podległych im systemów informatycznych
9. postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych
10. kontrolowania procesu okresowego sprawdzania przez administratorów poszczególnych systemów informatycznych kopii awaryjnych pod kątem prawidłowości ich wykonania oraz ich dalszej przydatności do odtworzenia w przypadku awarii
11. znajomości oraz posiadania dokumentacji funkcji poszczególnych systemów informatycznych ze szczególnym uwzględnieniem procedur
    1. ostępu i modyfikowania do danych osobowych
    2. zarządzania identyfikatorami i hasłami użytkowników
    3. wykonywania kopii awaryjnych oraz odtwarzania danych z tych kopii
    4. generowania wydruków danych osobowych
    5. dostępu do plików rejestrujących identyfikatory oraz czas logowania użytkowników

5. Administratorzy poszczególnych systemów informatycznych służących do przetwarzania danych osobowych odpowiadają za ich bieżącą eksploatację, a w szczególności za

1. wszystkie czynności związane z ich funkcjonowaniem i modernizacją
2. rejestrowanie i wyrejestrowywanie z systemu użytkowników oraz projektantów i programistów w czasie instalowania systemu oraz jego modyfikacji
3. przydzielanie uprawnień do poszczególnych funkcji systemu oraz określenie trybu i częstotliwości zmiany haseł
4. procedury wykonywania kopii awaryjnych, określenie ich częstotliwości, zmianę nośników oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i likwidację
5. lokalizację sprzętu komputerowego, ustawienie monitorów i drukarek uniemożliwiające wgląd w dane osobom nieupoważnionym lub kradzież wymiennych nośników danych
6. postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych 

Załącznik nr 5
do zarządzenia nr 5/R/03 Rektora UG
z dnia 14 lutego 2003 r.

Instrukcja postępowania
w sytuacji naruszenia ochrony danych osobowych

Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy:

1. stwierdzono naruszenie zabezpieczenia systemu informatycznego, lub
2. stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.

Każdy pracownik lub student Uniwersytetu Gdańskiego, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym UG zobowiązany jest do niezwłocznego poinformowania o tym administratora tego systemu informatycznego, lokalnego administratora danych osobowych lub w przypadku ich nieobecności administratora bezpieczeństwa informacji UG.

Administrator bazy danych osobowych, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego:

1. zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu,
2. jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania,
3. przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp.
4. podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in.
   1. fizycznego odłączenia urządzeń i segmentów sieci które mogły umożliwić dostęp do bazy danych osobie niepowołanej,
   2. wylogowania użytkownika podejrzanego o naruszenie ochrony danych,
   3. zmianę hasła na konto administratora i użytkownika poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu.
5. szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych,
6. przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej
   z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą.

Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych.

Jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości.

Jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych.

Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych, w porozumieniu z właściwym lokalnym administratorem danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 14 dni od daty jego zaistnienia przekazuje lokalnemu administratorowi danych oraz administratorowi bezpieczeństwa informacji UG.

Administrator bezpieczeństwa informacji na UG przeprowadza analizę raportów pochodzących od wydziałowych administratorów bezpieczeństwa informacji i uwzględnia je w opracowywaniu corocznego raportu dla administratora danych na UG.