Procedura nadawania upoważnień/poleceń do przetwarzania danych w systemach teleinformatycznych

Procedury zawarte w podrozdziałach 3.12.1-3.12.7 są jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury przedsiębiorstwa i wykonywanych operacji przetwarzania danych.

W systemie teleinformatycznym jednostki organizacyjnej można rozróżnić następujące kategorie użytkowników:

  • administrator systemu informatycznego – osoba (lub zespół osób) posiadająca dostęp do zasobów sprzętowo-programowych systemu wymagany przez zakres obowiązków przedstawiony w dokumentacji bezpieczeństwa, wyznaczona do pełnienia funkcji na podstawie decyzji kadrowej administratora danych osobowych,
  • inspektor ochrony danych osobowych – osoba posiadająca uprawnienia wymagane przez zakres obowiązków przedstawiony w dokumentacji bezpieczeństwa, wyznaczona do pełnienia funkcji na podstawie decyzji kadrowej administratora danych osobowych,
  • użytkownicy – pracownicy merytoryczni jednostki orga­nizacyjnej posiadający dostęp w granicach uprawnień nadanych przez administratora danych osobowych lub osobę przez niego upoważnioną.

Wszyscy użytkownicy systemu IT posiadają upoważnienie do dostępu do danych osobowych wydane przez administratora danych osobowych lub osobę przez niego upoważnioną. Osoba upoważniona do dostępu do danych osobowych musi być przeszkolona z zakresu ochrony danych osobowych. Szczegółowy wykaz osób upoważnionych (wraz z informacją na temat aktualnie posiadanych upoważnień i oświadczeń o przeszkoleniu) przechowuje inspektor ochrony danych osobowych lub inna osoba wyznaczone przez administratora.

Inspektor ochrony danych osobowych lub inna osoba wyznaczona przez administratora odpowiada za zapoznanie wszystkich użytkowników systemu w jednostce organizacyjnej z procedurami i zasadami przetwarzania danych osobowych przed uzyskaniem dostępu do zasobów systemu IT.

Niewykorzystywane i nieaktualne konta użytkowników w systemie IT są blokowane przez administratora systemu informatycznego i na polecenie administratora danych osobowych lub osoby przez niego upoważnionej mogą zostać wykasowane po upływie 1 roku od dezakty­wacji konta.

Wszystkie operacje wykonywane z kontem użytkownika systemu IT (założenie konta, zablokowanie konta, usunięcie konta) administrator systemu informatycznego musi niezwłocznie odnotować w prowadzonej dokumentacji systemu.

Uprawnienia do pracy w systemie

Nadawanie uprawnień:

  • Administrator systemu informatycznego – uprawnienia do administrowania systemem nadawane są przez administratora danych osobowych w formie decyzji, i upoważniają one do posiadania konta w systemie w grupie administratorów. W ramach tego konta administrator przeprowadza jedynie czynności administracyjne, posiada dostęp do zasobów systemu, bez dostępu do danych użytkowników. Konto ma uprawnienia administratora.
  • Inspektor ochrony danych osobowych – uprawnienia nadawane są przez administratora danych osobowych w formie decyzji, upoważniają one odczytu logów systemowych w systemie. Powołanie inspektora ochrony danych osobowych odbywa się na podstawie art. 37 lit. b i c RODO.

Warunki, jakie musi spełniać inspektor ochrony danych osobowych:

  1. musi posiadać kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, które na nim spoczywają,
  2. może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług.
  • Użytkownik systemu – upoważnienie do przetwarzania danych osobowych nadawane są przez administratora danych osobowych lub osobę upoważnioną przez niego w formie pisemnej. Każdy użytkownik posiada uprawnienia do odczytu, tworzenia, modyfikacji i zapisu plików tylko w ramach swojego konta użytkownika oraz korzystania z drukarki i optycznych czytników danych oraz portów USB. Szczegółowy zakres dostępu do danych osobowych określa przełożony użytkownika.

Odbieranie uprawnień:

  • Administrator systemu informatycznego – uprawnienia do administrowania systemem odbierane są przez administratora danych osobowych jako konsekwencja zmiany decyzji. ADO upoważnia nowego administratora do zablokowania konta osoby, której te uprawnienia odebrano.
  • Inspektor ochrony danych osobowych – uprawnienia odbierane są przez administratora danych osobowych jako konsekwencja zmiany decyzji. ADO upoważnia administratora do zablokowania konta osoby, której te uprawnienia odebrano.
  • Użytkownik systemu – uprawnienia są odbierane przez administratora systemu na podstawie wniosku przełożonego.

Listy uprawnionych użytkowników

Wykaz osób upoważnionych do przetwarzania danych osobowych (użytkowników systemu) jest prowadzony przez inspektora ochrony danych osobowych lub inną wyznaczoną osobę oraz administratora systemu i aktua­lizowany po każdej zmianie uprawnionych użytkowników systemu.

Zasady rozliczania użytkownika z dostępu do zasobów systemu

Rozliczanie użytkowników z dostępu do zasobów systemu opiera się na wykorzystaniu mechanizmów bezpieczeństwa oferowanych przez system operacyjny Windows 7 poprzez przegląd „Rejestru zdarz