Historia edycji

Edytowano tekst:

Zmiana treści przez Zofia Konopka w dniu 02.09.2024

Tekst po zmianie:

Zarządzenie Nr 73/2024Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztyniez dnia 30 sierpnia 2024 roku w sprawie zmiany Zarządzenia Nr 36/2018 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 28 maja 2018 roku w sprawie Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie Działając na podstawie § 17 ust. 4 Statutu Uniwersytetu Warmińsko-Mazurskiego w Olsztynie, stanowiącego załącznik do Uchwały Nr 494 Senatu Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 21 maja 2019 roku w sprawie Statutu Uniwersytetu Warmińsko-Mazurskiego w Olsztynie (ze zm.), zarządza się, co następuje: § 1 W Polityce Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie, stanowiącej załącznik do Zarządzenia Nr 36/2018 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 28 maja 2018 roku w sprawie Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie (ze zm.), wprowadza się następujące zmiany:1) § 2 ust. 7 otrzymuje brzmienie:„Pracownik – osoba zatrudniona w Uniwersytecie w oparciu o umowę o pracę, akt mianowania.”;2) w § 2 dodaje się ust. 17 w brzmieniu:„Podmiot zewnętrzny – osoba fizyczna niebędąca pracownikiem Uniwersytetu, osoba prawna, organ publiczny, jednostka lub inny podmiot, który na podstawie stosunku cywilnoprawnego przetwarza dane osobowe w imieniu Administratora Danych.”;3) w § 2 dodaje się ust. 18 w brzmieniu:„Inna osoba – osoba fizyczna niebędąca pracownikiem Uniwersytetu, przetwarzająca dane osobowe z mocy przepisów prawa, w szczególności student lub doktorant uczestniczący w powoływanych gremiach kolegialnych np. w komisji stypendialnej.”;4) § 6 ust. 1 pkt 2 otrzymuje brzmienie:„Upoważnienia wydawane są pracownikom Uniwersytetu zatrudnionym na stanowiskach, na których przetwarzane są dane osobowe, na czas trwania stosunku pracy. Raz wydane upoważnienie, poza wyjątkiem przewidzianym w pkt 5, ważne jest na obszarze całego Uniwersytetu, również w przypadku zmiany jednostki organizacyjnej lub zajmowanego stanowiska pracy. Zmiana miejsca pracy wymaga przekazania upoważnienia do nowej jednostki, kierowanej przez innego Lokalnego Administratora Danych, z uwzględnieniem odpowiedniej adnotacji w ewidencji osób upoważnionych do przetwarzania danych osobowych.”;5) § 6 ust. 1 pkt 5 otrzymuje brzmienie:„Zmiana stanowiska pracy, połączona z objęciem funkcji Lokalnego Administratora Danych, wymaga wydania przez Administratora Danych nowego upoważnienia do przetwarzania danych osobowych. Dotychczasowe upoważnienie wygasa wraz z objęciem nowej funkcji.”;6) w § 6 ust. 1 dodaje się pkt 13 w brzmieniu:„Procedura wydawania upoważnień określona w niniejszym paragrafie ma również zastosowanie do Innych osób, o których mowa w § 2 ust. 18, z zastrzeżeniem obowiązywania upoważnienia na czas sprawowania funkcji we właściwych gremiach.”;7) w § 7 dodaje się ust. 3 w brzmieniu:„Przed zawarciem umowy powierzenia, należy zweryfikować czy podmiot przetwarzający posiada odpowiednie środki techniczne i organizacyjne, zapewniające bezpieczeństwo danych, w następujących przypadkach: 1) przy nawiązaniu stosunku prawnego po raz pierwszy; 2) przy następnym stosunku prawnym po roku czasu od ostatniej weryfikacji; 3) przy udzielaniu zamówień publicznych, w ramach których miałoby dojść do zawarcia umowy powierzenia przetwarzania.”;8) w § 7 dodaje się ust. 4 w brzmieniu: „Weryfikacja może odbyć się na podstawie pisemnego oświadczenia, które pozwoli na ustalenie poziomu zgodności stosowanych środków z wymogami RODO. W tym celu Inspektor Ochrony Danych udostępnia formularz weryfikacyjny, znajdujący się na stronie: uwm.edu.pl/uniwersytet/rodo/dokumenty.”;9) w § 7 dodaje się ust. 5 w brzmieniu:„W przypadku pracowników Uniwersytetu posiadających upoważnienie do przetwarzania danych osobowych, a uczestniczących w czynnościach przetwarzania danych osobowych również na podstawie umów cywilnoprawnych, upoważnienie to ulega rozszerzeniu o czynności przewidziane w odrębnie zawartej umowie, bez konieczności zawierania umowy powierzenia.”;10) w § 7 dodaje się ust. 6 w brzmieniu:„W przypadku, gdy podmiot zewnętrzny powierza Uniwersytetowi przetwarzanie danych osobowych, osoba odpowiedzialna za wykonanie umowy będącej podstawą powierzenia, zobowiązana jest prowadzić Rejestr Kategorii Czynności Przetwarzania, stanowiący załącznik nr 11 do niniejszej Polityki.”; 11) § 9 ust. 1 pkt 13 otrzymuje brzmienie:„W przypadku naprawy sprzętu komputerowego dane osobowe lub informacje należy zabezpieczyć, natomiast w przypadku konieczności naprawy poza Uniwersytetem, po zabezpieczeniu danych dysk należy wymontować a w przypadku braku takiej możliwości usunąć z niego niezbędne dane.”.12) § 9 ust. 2 pkt 4 otrzymuje brzmienie:„Dostęp do danych osobowych i informacji w systemie informatycznym powinien być kontrolowany. Jest on możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Identyfikator przydzielany jest użytkownikowi na stałe. Uwierzytelnienie użytkownika następuje za pomocą indywidualnego hasła oraz podania drugiego elementu w przypadku korzystania z logowania dwuskładnikowego.”;13) § 9 ust. 3 pkt 2 otrzymuje brzmienie:„Przed rozpoczęciem pracy w systemie komputerowym należy zalogować się do systemu przy użyciu indywidualnego identyfikatora, hasła nadanego przez Administratora Systemu Informatycznego oraz podania drugiego elementu w przypadku korzystania z logowania dwuskładnikowego.”;14) § 9 ust. 3 pkt 5 lit. e otrzymuje brzmienie:„omijanie i badanie zabezpieczeń - z wyjątkiem testów bezpieczeństwa realizowanych przez zespół IT,”;15) § 9 ust. 3 pkt 5 lit. g otrzymuje brzmienie:„praca na koncie innego użytkownika - z wyjątkiem czynności serwisowych i administracyjnych, w systemach które odnotowują pracę w zastępstwie.”;16) § 9 ust. 4 pkt 1 otrzymuje brzmienie:„Zmiana hasła użytkownika następuje nie rzadziej niż co 30 dni, chyba że na koncie użytkownika zostało uruchomione logowanie dwuskładnikowe. O chęci włączenia funkcjonalności logowania dwuskładnikowego należy powiadomić administratora systemu.”;17) § 9 ust. 4 pkt 6 lit. a otrzymuje brzmienie:„minimalna długość hasła – 14 znaków,”;18) Załącznik nr 4 do Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie otrzymuje brzmienie zgodne z załącznikiem nr 1 do zarządzenia;19) dodaje się załącznik nr 11 do Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie (załącznik nr 2 do zarządzenia); § 2 Upoważnienia do przetwarzania danych osobowych wydane na podstawie przepisów dotychczasowych stają się upoważnieniami w rozumieniu zmian wprowadzanych niniejszym zarządzeniem. § 3 Zarządzenie wchodzi w życie z dniem podpisania. Rektordr hab. Jerzy A. Przyborowski, prof. UWM

Dodano pliki:

Dodano nowy plik przez Zofia Konopka

Z73_2024.pdf

Dodano nowy plik przez Zofia Konopka

Zał nr 1 Z73_2024.pdf

Dodano nowy plik przez Zofia Konopka

Zał nr 2 Z73_2024.pdf

Sygnatura: ZR/73/2024

Wejście w życie: 30.08.2024

Ważny do: -

Dokumenty powiązane: ZR/72/2018 ZR/36/2018

Tekst scalony

Zarządzenie Nr 73/2024
Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie
z dnia 30 sierpnia 2024 roku

w sprawie zmiany Zarządzenia Nr 36/2018 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 28 maja 2018 roku w sprawie Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie

Działając na podstawie § 17 ust. 4 Statutu Uniwersytetu Warmińsko-Mazurskiego w Olsztynie, stanowiącego załącznik do Uchwały Nr 494 Senatu Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 21 maja 2019 roku w sprawie Statutu Uniwersytetu Warmińsko-Mazurskiego w Olsztynie (ze zm.), zarządza się, co następuje:

§ 1

W Polityce Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie, stanowiącej załącznik do Zarządzenia Nr 36/2018 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 28 maja 2018 roku w sprawie Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie (ze zm.), wprowadza się następujące zmiany:
1) § 2 ust. 7 otrzymuje brzmienie:
„Pracownik – osoba zatrudniona w Uniwersytecie w oparciu o umowę o pracę, akt mianowania.”;
2) w § 2 dodaje się ust. 17 w brzmieniu:
„Podmiot zewnętrzny – osoba fizyczna niebędąca pracownikiem Uniwersytetu, osoba prawna, organ publiczny, jednostka lub inny podmiot, który na podstawie stosunku cywilnoprawnego przetwarza dane osobowe w imieniu Administratora Danych.”;
3) w § 2 dodaje się ust. 18 w brzmieniu:
„Inna osoba – osoba fizyczna niebędąca pracownikiem Uniwersytetu, przetwarzająca dane osobowe z mocy przepisów prawa, w szczególności student lub doktorant uczestniczący w powoływanych gremiach kolegialnych np. w komisji stypendialnej.”;
4) § 6 ust. 1 pkt 2 otrzymuje brzmienie:
„Upoważnienia wydawane są pracownikom Uniwersytetu zatrudnionym na stanowiskach, na których przetwarzane są dane osobowe, na czas trwania stosunku pracy. Raz wydane upoważnienie, poza wyjątkiem przewidzianym w pkt 5, ważne jest na obszarze całego Uniwersytetu, również w przypadku zmiany jednostki organizacyjnej lub zajmowanego stanowiska pracy. Zmiana miejsca pracy wymaga przekazania upoważnienia do nowej jednostki, kierowanej przez innego Lokalnego Administratora Danych, z uwzględnieniem odpowiedniej adnotacji w ewidencji osób upoważnionych do przetwarzania danych osobowych.”;
5) § 6 ust. 1 pkt 5 otrzymuje brzmienie:
„Zmiana stanowiska pracy, połączona z objęciem funkcji Lokalnego Administratora Danych, wymaga wydania przez Administratora Danych nowego upoważnienia do przetwarzania danych osobowych. Dotychczasowe upoważnienie wygasa wraz z objęciem nowej funkcji.”;
6) w § 6 ust. 1 dodaje się pkt 13 w brzmieniu:
„Procedura wydawania upoważnień określona w niniejszym paragrafie ma również zastosowanie do Innych osób, o których mowa w § 2 ust. 18, z zastrzeżeniem obowiązywania upoważnienia na czas sprawowania funkcji we właściwych gremiach.”;
7) w § 7 dodaje się ust. 3 w brzmieniu:
„Przed zawarciem umowy powierzenia, należy zweryfikować czy podmiot przetwarzający posiada odpowiednie środki techniczne i organizacyjne, zapewniające bezpieczeństwo danych, w następujących przypadkach:
1) przy nawiązaniu stosunku prawnego po raz pierwszy;
2) przy następnym stosunku prawnym po roku czasu od ostatniej weryfikacji;
3) przy udzielaniu zamówień publicznych, w ramach których miałoby dojść do zawarcia umowy
powierzenia przetwarzania.”;
8) w § 7 dodaje się ust. 4 w brzmieniu:
„Weryfikacja może odbyć się na podstawie pisemnego oświadczenia, które pozwoli na ustalenie poziomu zgodności stosowanych środków z wymogami RODO. W tym celu Inspektor Ochrony Danych udostępnia formularz weryfikacyjny, znajdujący się na stronie: uwm.edu.pl/uniwersytet/rodo/dokumenty.”;
9) w § 7 dodaje się ust. 5 w brzmieniu:
„W przypadku pracowników Uniwersytetu posiadających upoważnienie do przetwarzania danych osobowych, a uczestniczących w czynnościach przetwarzania danych osobowych również na podstawie umów cywilnoprawnych, upoważnienie to ulega rozszerzeniu o czynności przewidziane w odrębnie zawartej umowie, bez konieczności zawierania umowy powierzenia.”;
10) w § 7 dodaje się ust. 6 w brzmieniu:
„W przypadku, gdy podmiot zewnętrzny powierza Uniwersytetowi przetwarzanie danych osobowych, osoba odpowiedzialna za wykonanie umowy będącej podstawą powierzenia, zobowiązana jest prowadzić Rejestr Kategorii Czynności Przetwarzania, stanowiący załącznik nr 11 do niniejszej Polityki.”;
11) § 9 ust. 1 pkt 13 otrzymuje brzmienie:
„W przypadku naprawy sprzętu komputerowego dane osobowe lub informacje należy zabezpieczyć, natomiast w przypadku konieczności naprawy poza Uniwersytetem, po zabezpieczeniu danych dysk należy wymontować a w przypadku braku takiej możliwości usunąć z niego niezbędne dane.”.
12) § 9 ust. 2 pkt 4 otrzymuje brzmienie:
„Dostęp do danych osobowych i informacji w systemie informatycznym powinien być kontrolowany. Jest on możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Identyfikator przydzielany jest użytkownikowi na stałe. Uwierzytelnienie użytkownika następuje za pomocą indywidualnego hasła oraz podania drugiego elementu w przypadku korzystania z logowania dwuskładnikowego.”;
13) § 9 ust. 3 pkt 2 otrzymuje brzmienie:
„Przed rozpoczęciem pracy w systemie komputerowym należy zalogować się do systemu przy użyciu indywidualnego identyfikatora, hasła nadanego przez Administratora Systemu Informatycznego oraz podania drugiego elementu w przypadku korzystania z logowania dwuskładnikowego.”;
14) § 9 ust. 3 pkt 5 lit. e otrzymuje brzmienie:
„omijanie i badanie zabezpieczeń - z wyjątkiem testów bezpieczeństwa realizowanych przez zespół IT,”;
15) § 9 ust. 3 pkt 5 lit. g otrzymuje brzmienie:
„praca na koncie innego użytkownika - z wyjątkiem czynności serwisowych i administracyjnych, w systemach które odnotowują pracę w zastępstwie.”;
16) § 9 ust. 4 pkt 1 otrzymuje brzmienie:
„Zmiana hasła użytkownika następuje nie rzadziej niż co 30 dni, chyba że na koncie użytkownika zostało uruchomione logowanie dwuskładnikowe. O chęci włączenia funkcjonalności logowania dwuskładnikowego należy powiadomić administratora systemu.”;
17) § 9 ust. 4 pkt 6 lit. a otrzymuje brzmienie:
„minimalna długość hasła – 14 znaków,”;
18) Załącznik nr 4 do Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie otrzymuje brzmienie zgodne z załącznikiem nr 1 do zarządzenia;
19) dodaje się załącznik nr 11 do Polityki Bezpieczeństwa Informacji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie (załącznik nr 2 do zarządzenia);

§ 2

Upoważnienia do przetwarzania danych osobowych wydane na podstawie przepisów dotychczasowych stają się upoważnieniami w rozumieniu zmian wprowadzanych niniejszym zarządzeniem.

§ 3

Zarządzenie wchodzi w życie z dniem podpisania.

Rektor
dr hab. Jerzy A. Przyborowski, prof. UWM

Z73_2024.pdf
Zał nr 1 Z73_2024.pdf
Zał nr 2 Z73_2024.pdf

Podmiot udostępniający:		Biuro Rektora
Wytworzono przez:		dr hab. Jerzy A. Przyborowski, prof. UWM
Data wytworzenia:		30 sierpnia 2024
Opublikowano przez:		Zofia Konopka
Data opublikowania:		2 września 2024 19:35
Aktualizowano przez:		Zofia Konopka
Data aktualizacji:		2 września 2024 19:48