POUŽÍVÁNÍ INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

Podobné dokumenty
SMĚRNICE O BEZPEČNOSTI ICT

Směrnice Bezpečnost ICT

Bezpečnost ICT. Příloha ke Standardu kvality sociální služby Ochrana osobních údajů

Vypracoval: Mgr. Martin Vosyka Vydáno dne: Schválil: ředitel školy Mgr. Martin Vosyka Účinnost od: Směrnice.

Bezpečnost ICT směrnice Gymnázia a Jazykové školy s právem státní jazykové zkoušky Zlín Zlín 2018 schválila: Mgr. Alena Štachová, ředitelka školy

Směrnice. Bezpečnost ICT. Platnost a účinnost od: Mgr. Milan KRÁL

Typová dokumentace pro ochranu osobních údajů v souladu s GDPR

Ochrana osobních údajů na GJŠ Zlín

SPRÁVA A UŽÍVÁNÍ INTRANETU A ADMINISTRACE WEBOVÝCH STRÁNEK SOCIÁLNÍCH SLUŽEB VSETÍN

Standard kvality sociální služby Ochrana osobních údajů

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Bezpečnostní politika informací SMK

Nakládání s osobními údaji

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Prohlášení o souladu s GDPR 29/2018

Poliklinika Prosek a.s.

Ochrana osobních údajů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Zásady ochrany osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

POKYN REKTORA č. 11/2018. Část první Základní ustanovení

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Podmínky ochrany osobních údajů. Základní ustanovení

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Podmínky ochrany osobních údajů

SŽDC PO 33/2018-ŘO7. Pokyn ředitele odboru investičního k zajištění ochrany osobních údajů při zpracování agendy odboru investičního

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

INFORMAČNÍ TECHNOLOGIE

SMĚRNICE Bezpečnost počítačové sítě a ochrana osobních údajů

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

Bezpečností politiky a pravidla

Předmět směrnice. Čl. 2 Základní pojmy, technické pojmy a zkratky

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Podmínky ochrany osobních údajů. Základní ustanovení

Prohlášení o ochraně osobních údajů

Záznamy o činnostech zpracování osobních údajů

Smluvní podmínky MINT: Hradec Králové Fashion Market. Předmět a účel nájmu

OBSAH: Změny v dokumentu: Verze 1.0

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

INTERNÍ SMĚRNICE Č. 1/2018 ZPŮSOB NAKLÁDÁNÍ A PRÁCE S OSOBNÍMI ÚDAJI

Ochrana osobních údajů

PROVOZOVÁNÍ KAMEROVÝCH SYSTÉMŮ

Smluvní podmínky MINT: Litomyšl Fashion Market 1. Předmět a účel nájmu

STANOVENÍ VÝŠE ÚHRAD ZA POSKYTNUTÍ SOCIÁLNÍ SLUŽBY CHRÁNĚNÉ BYDLENÍ SMĚRNICE

Směrnice ČLS JEP číslo 1/2018 O ochraně a zpracování osobních údajů

Smluvní podmínky MINT: Pardubice Fashion Market. Předmět a účel nájmu

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Směrnice pro zajištění ochrany osobních údajů při práci s ICT

Smluvní podmínky MINT Market Ostrava. Předmět a účel nájmu

Směrnice Bezpečnost počítačové sítě a ochrana osobních údajů.

Obchodní podmínky pro poskytování Služeb přímého bankovnictví Equa bank a.s.

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Smluvní podmínky MINT: Brno Fashion Market 35. Předmět a účel nájmu

Smluvní podmínky MINT: Brno Fashion Market 32. Předmět a účel nájmu

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Přijatá opatření při zpracovávání osobních údajů. (Informace OÚ Hudlice)

Vnitřní směrnice obce Dřetovice pro práci s osobními údaji č. 4 /2018

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Právní důvod zpracování: Oprávněné zájmy správce Článek 6 odst. 1 písm. c) GDPR - splnění právní povinnosti

Prohlášení o ochraně osobních údajů

Bezpečnostní politika společnosti synlab czech s.r.o.

Statutární město Brno, městská část Brno-střed PROVOZNÍ ŘÁD IS ZÁKLADNÍ PRAVIDLA PRO UŽIVATELE

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

Směrnice o ochraně osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Záznam o zpracování osobních údajů

Informace o zpracování osobních údajů

Zástupce správce osobních údajů. Odpovědný útvar Odpovědná osoba Zpracovatel osobních údajů. Fyzická osoba, podnikající fyzická osoba

Směrnice o provozování kamerového systému

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Směrnice o ochraně osobních údajů

Směrnice pro nakládání s osobními údaji

Provozní řád počítačových učeben

Čl. 1 Předmět úpravy

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Vážení klienti, Vaše osobní údaje jsou zpracovávány v zákaznických kartách v rozsahu nezbytném pro individuální zhotovení optického korekčního

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁZNAMY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SDRUŽENÍ ADVOKÁTŮ Tobiášek & Závada, advokátní kancelář

Směrnice pro nakládání s osobními údaji

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

SMĚRNICE Č. 1/2018 OCHRANA OSOBNÍCH ÚDAJŮ A DAT A POKYNY PRO PRÁCI S IT V ORGANIZACI

PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ. I. Základní ustanovení

Smluvní podmínky MINT Market Třebíč 1

Smluvní podmínky MINT: Brno Fashion Market 33. Předmět a účel nájmu

Informace o zpracování osobních údajů

tel.: , fax :

fyzická osoba, podnikající fyzická osoba

Číslo: Datum: Změna: Provedl:

SMĚRNICE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. Směrnice o zpracování osobních údajů

Transkript:

Sociální služby Vsetín, příspěvková SSLVS, Záviše Kalandry 1353, 755 01 Vsetín POUŽÍVÁNÍ INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ SMĚRNICE Proces Funkce Jméno a příjmení Datum Podpis Zpracování manažer pro PR a lidské zdroje Bc. T. Olejníčková 27.06.2019 Přezkoumání manažer kvality Ing. I. Kleinová 27.06.2019 interní auditor Ing. P. Holeksová Schválení ředitelka Mgr. M. Pavlůsková 01.07.2019 Verze 01 Nahrazuje: I-SM-00/2012-25 - a systémů Stránka 1 z 16

Obsah Účel... 3 Rozsah platnosti, závaznost a odpovědnost... 3 Vymezení pojmů... 3 Výpočetní technika... 5 4.1. Evidence hardwaru a softwaru... 5 4.2. Bezpečnostní pravidla správce informačních a komunikačních technologií... 5 4.3. Pravidla pro práci s výpočetní technikou a bezpečnostní pravidla uživatelů... 6 4.4. Uživatelský účet... 7 4.5. Řízení přístupů a tvorba hesla... 8 4.6. Pravidla pro práci s datovými nosiči... 8 4.7. E-mailová adresa a práce s poštou... 9 4.8. Spisová služba, datové schránky, podatelna... 9 4.9. Intranet... 9 4.10. Webové stránky... 10 Mobilní telefony... 11 Internetové volání... 11 Řízení rizik... 11 Fyzická bezpečnost... 11 Nakládání s osobními údaji... 12 Bezpečnost sítě... 12 Dodavatelé služeb informačních a komunikačních technologií... 13 Příloha č. 1 Seznam přidělených rolí ředitelkou organizace... 15 Stránka 2 z 16 Verze 01

Účel (1) Směrnice stanoví pravidla pro používání informačních a komunikačních technologií, správu intranetu a webu v Sociálních službách Vsetín, příspěvkové organizaci (dále jen SSLVS ). (2) Směrnice stanovuje bezpečnostní pravidla pro zpracování, uchování a předávání dat v SSLVS, obsahující osobní údaje v souladu s požadavky Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR). Rozsah platnosti, závaznost a odpovědnost (1) Ustanovení této směrnice jsou závazná pro všechny zaměstnance SSLVS. (2) Bezpečnostní pravidla, definovaná tímto dokumentem, jsou platná pro zpracování dat, obsahujících osobní údaje ve všech operačních systémech a aplikacích, které jsou ve správě SSLVS a provozované buď na výpočetní technice SSLVS, nebo na technice a aplikacích poskytnutých smluvním dodavatelem. (3) Ředitelka SSLVS je odpovědná za ustanovení zaměstnanců do jednotlivých rolí, ve kterých budou odpovědni za řízení bezpečnosti osobních údajů (seznam přidělených rolí viz. příloha č. 1). Jedná se především o ustanovení role pověřence pro ochranu osobních údajů, správce ICT, administrátorů a jednotlivých garantů aplikací. Schvaluje také přidělení administrátorských účtů vybraným zaměstnancům. (4) Další pravomoci a odpovědnosti jsou rozpracovány dále v textu. Vymezení pojmů (1) Administrační rozhraní redakční systém, neveřejná část webových stránek či intranetu, určená výhradně pro zaměstnance SSLVS pověřené jejich správou. (2) Administrátor osoba pověřená správou informačních a komunikačních (dále jen ICT ) technologií, která je schválena ředitelkou SSLVS a má nejvyšší úroveň oprávnění pro ICT technologií ve své správě. (3) Administrátor intranetu zaměstnanec SSLVS, pověřený správou intranetu (např. vkládání dokumentů, odstraňování dokumentů, vkládání a odstraňování textů, aktualit, úpravy uživatelských účtů apod.); má přístup k celému obsahu, popř. k části, která souvisí s organizačním útvarem, ve kterém je zaměstnán. (4) Administrátor webových stránek zaměstnanec SSLVS, pověřený správou webu (např. vkládání dokumentů, fotografií, odstraňování dokumentů, vkládání a odstraňování textů, aktualit, úpravy kontaktů apod.); má přístup k celému obsahu stránek, popř. k části, která souvisí s organizačním útvarem, ve kterém je zaměstnán. Stránka 3 z 16 Verze 01

(5) Administrátorský účet uživatelský učet, jenž má nejvyšší možná oprávnění v rámci daného operačního systému nebo aplikace. (6) Aplikace programové vybavení výpočetní techniky SSLVS (např. MS Word). (7) Autentizace je proces ověření proklamované identity subjektu. (8) Bezpečnost informací je zajištění následujících atributů chráněných informací: a) důvěrnosti (ochrana před neoprávněným čtením), b) integrity (ochrana před neoprávněnými úpravami nebo zničením), c) dostupnosti (zajištění adekvátního přístupu a ochrana před jeho neoprávněným zamezením). (9) Fyzická bezpečnost používání fyzických a technických ochranných opatření k zamezení neoprávněného přístupu k majetku a informacím SSLVS. (10) Garant aplikace (např. spisová služba, Gordic, apod.) zaměstnanec odpovědný za konkrétní aplikaci. Garant aplikace je odborný zaměstnanec se znalostí dané aplikace a rozhoduje o požadavcích na přístup k dané aplikaci. Garantem je ředitelka organizace. (11) Hardware (dále jen HW ) - veškeré fyzicky existující technické vybavení výpočetní techniky či síťových prostředků. (12) Intranet neveřejná část webových stránek určená pro zaměstnance SSLVS pro vnitřní komunikaci a pro sdílení platných interních dokumentů. (13) Koordinátor ICT zaměstnanec SSLVS, který zajišťuje funkčnost a správné fungování intranetu a webu, pomáhá zaměstnancům při využívání ICT, a je pověřen správou související s používáním ICT a je styčným zaměstnancem pro komunikaci se správcem ICT a s poskytovatelem telefonních služeb. (14) Operační systém (dále jen OS ) - základní programové vybavení počítače, které je zavedeno do paměti počítače při jeho startu a zůstává v činnosti až do jeho vypnutí (např. MS Windows 10). (15) Osobní údaj veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. (16) Počítačová síť SSLVS síťové prostředky a výpočetní technika ve správě nebo v majetku SSLVS, které realizují spojení a výměnu informací. (17) Pověřenec pro ochranu osobních údajů SynPro Data s. r. o., se sídlem Smetanova 841, 755 01, Vsetín, IČ 07026521, Mgr. Karel Neubauer, JUDr. Lubomír Gajdůšek. (18) Provozní deník písemný dokument nebo elektronický soubor, který obsahuje všechny činnosti, které při správě počítačové sítě provádí správce ICT. (19) Přístupový údaj sada informací potřebných pro přihlášení do OS nebo aplikace. V základní podobě jsou tvořeny uživatelským jménem a heslem. Stránka 4 z 16 Verze 01

(20) Režimová opatření ucelený soubor opatření, pokynů, příkazů, zákazů a omezení představující soupis instrukcí pro vstup, odchod, pohyb v objektu a přistup k informacím SSLVS. (21) Software dále jen SW" (22) Síťové prostředky technická zařízení používaná k zajištění provozu, správy a bezpečnosti sítě SSLVS (např. routery, servery, switche, firewall). (23) Správce ICT embex, s. r. o., osoba odpovědná za provozování a správu počítačové sítě a prostředků ICT SSLVS. Disponuje administrátorskými účty k OS a některým aplikacím. (24) Uživatel zaměstnanec využívající výpočetní techniku SSLVS. (25) Uživatelské jméno jednoznačný identifikátor uživatele v systému. (26) Uživatelský účet jednoznačná identifikace uživatele v rámci OS nebo aplikace. Uživatelský účet umožňuje plnou práci, ale bez možnosti instalovat aplikace do výpočetní techniky nebo měnit nastavení OS nebo aplikace. Uživatelský účet se standardně skládá z uživatelského jména a hesla. (27) VPN (Virtuální privátní síť, z anglického Virtual Private Network) prostředek k propojení několika počítačů prostřednictvím (veřejné) nedůvěryhodné počítačové sítě. (28) Vstupní údaje přihlašovací jméno (login) a heslo. Slouží pro přihlášení k uživatelskému účtu v PC, např. do e-mailu, intranetu a administračního rozhraní intranetu a webu a do dalších aplikací vyžadujících vstupní údaje pro přihlášení. (29) Výpočetní technika (dále jen VT ) - soubor počítačů, notebooků, tabletů nebo smartphonů SSLVS. Obecně soubor zařízení, která disponují vlastním OS. (30) Zvláštní kategorie údajů osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Výpočetní technika 4.1. Evidence hardwaru a softwaru Evidenci SW a HW vede finanční účetní. 4.2. Bezpečnostní pravidla správce informačních a komunikačních technologií (1) Správce ICT je odpovědný za dodržování bezpečnostních pravidel při zpracovávání a ochraně osobních údajů v rámci počítačové sítě a na VT SSLVS. (2) Spolupracuje s organizací na tvorbě a aktualizaci analýzy rizik. (3) Spravuje antivirový systém na všech výpočetních prostředcích SSLVS a to především: - provádí jeho instalaci, - kontroluje funkčnost aktualizací, Stránka 5 z 16 Verze 01

- kontroluje výstupy programu. (4) Pro zaměstnance připravuje a instaluje VT, kterou nastaví dle definovaných bezpečnostních požadavků a následně ji předává určeným zaměstnancům k použití. (5) Vytváří a nastavuje zaměstnancům uživatelská oprávnění do počítačové sítě a aplikací v rozsahu schváleném ředitelkou organizace. (6) Na základě požadavku ředitelky zřizuje nebo ruší přístupy do OS. (7) Na základě požadavku garanta aplikace zřizuje nebo ruší přístupy do aplikace. (8) Zajišťuje fyzickou bezpečnost datových úložišť, nosičů a dat. (9) Poskytuje zaměstnancům SSLVS technickou podporu při využívání VT. (10) Provádí kontrolní činnost k zajištění bezpečnosti osobních údajů. (11) Vede provozní deník, ve kterém zaznamenává všechny klíčové činnosti související se správou počítačové sítě SSLVS. (12) Provádí bezpečnou likvidaci datových nosičů SSLVS, zejména pevných disků, flash disků, paměťových karet, CD a DVD disků apod. (13) V případě, že je třeba odeslat VT či její komponenty obsahující osobní údaje mimo organizaci (oprava, výpůjčka, pronájem, vyřazení, likvidace apod.), musí před odesláním vymazat z pevného disku veškeré osobní údaje nebo musí vyjmout paměťová média. (14) Provádí zálohování dat a klíčových síťových prostředků tak, aby např. při selhání datového úložiště bylo možné provést obnovu dat s minimální ztrátou uložených dat. 4.3. Pravidla pro práci s výpočetní technikou a bezpečnostní pravidla uživatelů (1) VT disponuje aktuálním OS a aplikacemi, jež mají nastavené automatické aktualizace. (2) Při přidělení VT jinému zaměstnanci správce ICT provádí kompletní reinstalaci. Ředitelka SSLVS určí, jakým způsobem naložit s daty, která jsou na VT uložena. Zaměstnanci jsou povinni dodržovat následující bezpečnostní pravidla při práci s VT: (1) Svěřenou VT využívají pouze pro plnění pracovních povinností. (2) Zaměstnancům je povolena pouze běžná obsluha HW, jakou je doplnění papíru v tiskárně, výměna náplně v tiskárně apod. (3) Zaměstnanci jsou povinni udržovat HW v čistotě a používat pouze čisticích prostředků vhodných k údržbě HW. (4) Zjištěnou závadu HW nebo SW, kterou nejsou oprávněni odstranit sami, jsou povinni oznámit svému nadřízenému, který odstranění závady zajistí přes Správce ICT. (5) Zaměstnanci dodržují zásady pro tvorbu přístupového hesla k OS a aplikacím. (6) Zachovávají jedinečnost a důvěrnost přístupového hesla, nikomu heslo nesdělují a nikde si jej nezaznamenávají. (7) Při zadávání vstupních přihlašovacích údajů k OS nebo aplikacím dbají na to, aby nebylo možné heslo odpozorovat další osobou. Stránka 6 z 16 Verze 01

(8) V případě jakéhokoliv podezření na kompromitaci hesla nebo dokonce jeho zneužití heslo okamžitě změní. (9) Před opuštěním pracoviště zabezpečují VT uzamčením pracovní plochy nebo odhlášení. (10) Dodržují pravidlo čistého stolu, všechny dokumenty obsahující osobní údaje, které v danou chvíli nezpracovávají, jsou uloženy v uzamykatelných skříních. (11) Při používání přenosné VT a datových nosičů mimo prostory SSLVS: a) nepředávají tuto techniku a nosiče třetím osobám, b) učiní všechna dostupná opatření, která mohou zabránit ztrátě či odcizení VT (neponechávají je bez dohledu a zabezpečení např. v dopravních prostředcích nebo v ubytovacích zařízeních), c) ztrátu či odcizení okamžitě nahlásí svému nadřízenému. (12) Neinstalují na VT software. (13) Nenavštěvují rizikové internetové stránky. (14) Důsledně ověřují doručenou elektronickou poštu a v případě podezření, že se jedná o závadný e-mail (spam, podvodný e-mail apod.), takovou zprávu neotvírají, nereagují na ní a tuto skutečnost neprodleně ohlásí správci ICT. (15) Nezasahují do VT a její konfigurace, vyjma situací, kdy toto bude vyžadováno přímo správcem ICT. (16) Odpovídají za to, že data při práci s přidělenou VT ukládají na určené servery, kde jsou správcem ICT zálohovány. (17) Zaměstnanci mají možnost zabezpečeného tisku dokumentů na společných tiskárnách, umístěných mimo pracoviště zaměstnance, pomocí zadání osobního kódu zaměstnance. Někteří zaměstnanci mají tiskárnu ve své kanceláři, pak zabezpečený tisk nepoužívají. (18) Netisknou data z aplikací SSLVS pro jiné než pracovní účely. 4.4. Uživatelský účet (1) Zaměstnanec využívající VT, používá pro přihlášení k OS a aplikacím jedinečné uživatelské jméno a heslo ke svému uživatelskému účtu, jehož zřízení zajistí správce ICT nebo garant aplikace. (2) Při nástupu zaměstnance jsou správcem ICT, na základě pokynů ředitelky SSLVS a garanta aplikace, nastupujícímu zaměstnanci přiděleny uživatelské účty a přístupové údaje k OS a aplikacím. (3) Při vzniku potřeby změnit přidělená přístupová opatření, žádá zaměstnanec nebo jeho přímý nadřízený příslušného garanta aplikace o povolení požadovaných přístupových oprávnění. (4) V případě ukončení pracovního poměru zaměstnance jsou na základě pokynu ředitelky veškerá přístupová oprávnění zaměstnance odebrána správcem ICT. Stránka 7 z 16 Verze 01

4.5. Řízení přístupů a tvorba hesla (1) Společné, projektové či jinak sdílené uživatelské účty k OS a aplikacím obsahující osobní údaje jsou zakázány. (2) Přístup ke sdíleným složkám je zaměstnancům povolen pouze na základě zadání jejich uživatelského jména a hesla. Správce ICT definuje způsoby přístupu k těmto složkám a na základě schválení ředitelky nastaví příslušná přístupová oprávnění. (3) Administrátorské účty jsou řízeny. Správce ICT na základě souhlasu ředitelky nastavuje přístupy tak, aby administrátorským účtem disponovali jen zaměstnanci, kteří jej ke své práci prokazatelně potřebují. Zaměstnanci s administrátorskými účty jsou seznámeni s faktem, že jsou majiteli administrátorského účtu a jsou si vědomi vyšších bezpečnostních a uživatelských nároků spojených s tímto typem účtu. (4) Zaměstnanci s administrátorskými účty jsou pro běžnou práci povinni používat standardní uživatelský účet. Administrátorský účet jsou oprávněni použít pouze v opodstatněných případech k výkonu činností, pro které je toto oprávnění nezbytné. (5) Správce ICT vede seznam všech zaměstnanců k aplikacím, které jsou v jeho správě. Ředitelka SSLVS ve spolupráci se správcem ICT, pravidelně tyto seznamy přezkoumává z hlediska aktuálnosti a potřebnosti (6) Garanti aplikací jsou odpovědní za řízení přístupových oprávnění zaměstnanců ke svěřeným aplikacím. Garanti aplikací vedou seznamy zaměstnanců, kteří mají do aplikací přístup. (7) Na veškeré VT je nastaveno uzamykání uživatelského účtu max. po 10 min. jeho neaktivity. (8) Minimální pravidla pro hesla uživatelů jsou stanovena následovně: a) minimální délka je 6 znaků, obsahující alespoň jednu číslici a velké písmeno, b) maximální platnost hesla je nastavena na 6 měsíců s vynucenou změnou (tj. nelze ji odložit), c) nelze použít tři poslední použitá hesla. (9) Administrátorské účty a správce ICT pro přihlašování k síťovým prostředkům používá heslo splňující alespoň následující pravidla: a) minimální délka 15 znaků, obsahuje alespoň jednu číslici, malé a velké písmeno, b) minimální doba platnosti hesla je 1 den, c) maximální platnost hesla je nastavena na 6 měsíců s vynucenou změnou (tj. nelze ji odložit), d) nelze použít 5 posledních použitých hesel. 4.6. Pravidla pro práci s datovými nosiči (5) Přenosný datový nosič se používá za účelem uchování dat. Jedná se o externí pevný disk, USB flash disk, paměťovou kartu apod. (6) SSLVS vede evidenci všech datových nosičů. (7) Zaměstnanci nesmí předávat datové nosiče jiným osobám. Stránka 8 z 16 Verze 01

(8) Zaměstnancům je zakázáno používat soukromé datové nosiče a nosiče mimo evidenci. (9) Datové nosiče s osobními údaji jsou uchovávána v uzamykatelných skříních a nejsou používána pro jiný účel. (10) V případě, že budou na USB flash disk uložena data obsahující osobní údaje, ihned poté, co pominou důvody k jejich uložení, budou data z USB flash disku vymazána. (11) Ztrátu či odcizení datového nosiče zaměstnanec okamžitě nahlásí svému nadřízenému. 4.7. E-mailová adresa a práce s poštou (1) Vytvoření, opravu či zrušení e-mailové adresy a nastavení poštovního klienta v PC zajišťuje u správce ICT koordinátor ICT na základně požadavků ředitelky nebo vedoucího zařízení. (2) Pokud byla zaměstnanci přidělena pracovní e-mailová adresa, je zaměstnanec povinen kontrolovat doručené zprávy minimálně 3krát za den, avšak doporučuje se kontrolovat je v průběhu pracovní doby vícekrát. (3) Pokud zaměstnanec obdrží elektronickou poštou zprávu, u které by se mohlo jednat o spam, je povinen takovou zprávu neotvírat, ale trvale ji smazat. (4) Pokud zaměstnanec obdrží elektronickou poštou nebo jiným způsobem soubor, o jehož původu pochybuje, nesmí tento soubor otevírat či ukládat na disk (zvláště jedná-li se o soubory s koncovkami *.com, *.exe, *.pif, *.bat., a informuje ihned svého nadřízeného, který zajistí další řešení situace správcem ICT). (5) Zaměstnanec je povinen počínat si tak, aby nedošlo ke zneužití jeho e-mailové adresy. 4.8. Spisová služba, datové schránky, podatelna (1) SW Spisová služba slouží především k evidenci příchozí a odchozí pošty, práci s datovými schránkami (příjem a odeslání) a s elektronickou podatelnou. (2) Uživatelské účty do tohoto SW zajišťuje na základě požadavku ředitelka SSLVS u Krajského úřadu Zlínského kraje, na příslušném odboru. (3) Zaměstnanec, pověřený správnou Spisové služby, je povinen minimálně 2 x denně se do programu přihlásit a provést stažení zpráv z datové schránky, a rovněž řádným způsobem využívat jím určené rozhraní programu dle rolí (podatelna, sekretariát, výpravna, spisovna, referent) ke správě dokumentů SSLVS. (4) Pověřený zaměstnanec ředitelství rovněž zodpovídá za stažení a správu dat elektronické podatelny (podatelna@sluzbyvsetin.cz). 4.9. Intranet (1) Intranet slouží pro vnitřní komunikaci mezi zaměstnanci SSLVS a pro sdílení platných interních dokumentů, pro zasílání aktualit atp. (2) Základní členění intranetu: - diskuze sekce, ve které jsou umístěny diskusní příspěvky uživatelů, Stránka 9 z 16 Verze 01

- dokumenty sekce, ve které jsou umístěny interní dokumenty I. a II. úrovně a další dokumenty a formuláře, - další členění sekcí a podsekcí diskusních příspěvků a dokumentů je dáno dle skupin organizačního útvaru, pracovního zařazení apod. (3) Vytvoření či zrušení uživatelského účtu a vstupních údajů k intranetu zajišťuje personalistka SSLVS. (4) Opravu uživatelského účtu k intranetu zajišťuje koordinátor ICT na základně požadavků vedoucího zařízení či jím pověřené osoby, v němž je zaměstnanec zařazen. (5) Každý uživatel je zařazen do skupin, a to dle pracovního zařazení a dle organizačního útvaru, ve kterém pracuje. (6) Skupina dle pracovního zařazení: - je tvořena pracovníky stejného nebo podobného pracovního zařazení, - každý běžný uživatel je zařazen do některé z těchto skupin ekonomika, management, přímá péče, provoz, sociální, zdravotní, stravování. - skupina dle organizační jednotky je tvořena zaměstnanci této organizační jednotky. (7) Předávání požadavků na změny či doplnění informací na intranetu, které nejsou v kompetenci zaměstnanců, zajistí vedoucí zařízení přes administrátora intranetu nebo koordinátora ICT, který je povinen se jejich požadavky zabývat. (8) Zaměstnanec je povinen chránit své vstupní údaje, po ukončení používání intranetu je povinen se vždy odhlásit. (9) O rozsahu práv do administračního rozhraní intranetu rozhoduje ředitelka SSLVS. (10) Zaměstnanec pověřený správou intranetu je povinen chránit své vstupní údaje k administračnímu rozhraní, po ukončení jeho používání je povinen se vždy odhlásit. (11) Pokud kterýkoliv zaměstnanec objeví na intranetu nějakou nesrovnalost, je povinen o této skutečnosti informovat svého nadřízeného nebo koordinátora ICT. 4.10. Webové stránky (1) Na vytvoření vstupních údajů do administračního rozhraní webu, nebo opravu či zrušení uživatelského účtu pro uživatele zasílá požadavek vedoucí zařízení či jím pověřená osoba koordinátorovi ICT, který je povinen se jeho požadavkem zabývat. (2) O zřízení vstupních údajů a rozsahu práv do administračního rozhraní webu schvaluje a povoluje ředitelka SSLVS. (3) Zaměstnanec je povinen chránit své vstupní údaje k administračnímu rozhraní webu, po ukončení jeho používání je povinen se vždy odhlásit. (4) Předávání požadavků na změny či doplnění informací na webu, které nejsou v kompetenci zaměstnanců, kteří jsou pověřeni jejich správou, zajistí vedoucí zařízení přes koordinátora ICT, který je povinen se jejich požadavky zabývat. (5) Pokud kterýkoliv zaměstnanec objeví na webu nějakou chybu, nesrovnalost či závadu, je povinen o této skutečnosti informovat svého nadřízeného, který zajistí další řešení situace koordinátorem ICT. Stránka 10 z 16 Verze 01

Mobilní telefony (1) O nákupu a přidělení služebního telefonu rozhoduje ředitelka SSLVS na základě požadavků vedoucích zařízení. (2) Požadavky vystavení nové SIM karty, změny tarifu, převodu tel. čísel apod. se zabývá koordinátor ICT na základě pokynu ředitelky SSLVS. (3) Služební mobilní telefon slouží pouze pro pracovní hovory a hovory související s výkonem práce, popř. k poskytování fakultativních služeb uživatelům, kterým jsou tyto hovory účtovány dle platných sazebníků. (4) Pokud zaměstnanec z telefonu pošle MMS či DMS, tyto mu budou dány k úhradě. (5) Pokud zaměstnanec ztratí mobilní telefon nebo mu bude odcizen, je povinen neprodleně informovat svého nadřízeného, aby zajistil u koordinátora ICT blokaci SIM karty a následné vyřízení nové SIM. Internetové volání (1) O pořízení, změně či zrušení telefonního čísla určeného pro volání přes internet (tzv. VoIP) rozhoduje ředitelka SSLVS na základně požadavku vedoucího zařízení. (2) Požadavky se zabývá koordinátor ICT na základě pokynu ředitelky SSLVS. (3) Telefon slouží pouze pro pracovní hovory a hovory související s výkonem práce, popř. k poskytování fakultativních služeb uživatelům, kterým jsou tyto hovory účtovány dle platných sazebníků. Řízení rizik (1) SSLVS provádí v pravidelných intervalech analýzu rizik v souladu s metodikou pro analýzu rizik na základě požadavků čl. 24 a 32 GDPR. (2) Analýza rizik GDPR má za cíl určit možné hrozby a zranitelnosti při zpracování osobních údajů, včetně identifikace a stanovení rizik, která mohou vzniknout působením těchto hrozeb na účely zpracování osobních údajů. Fyzická bezpečnost (1) SSLVS má definována režimová opatření pro provoz budov. (2) Zaměstnanci, zacházející s písemnostmi, obsahujícími osobní údaje, mají dostatek uzamykatelných úložných prostor pro ukládání těchto dokumentů, která aktivně využívají. (3) V organizaci je zavedeno klíčové hospodářství (tzn. klíče, přidělené zaměstnancům, jsou evidovány). Duplikáty klíčů jsou uloženy v trezoru nebo uzamykatelné skříňce. Stránka 11 z 16 Verze 01

(4) Úklid prostor je prováděn vlastními zaměstnanci. Pokud jsou pro úklid využívány služby externího dodavatele, je úklid prostor, obsahující písemnosti s osobními údaji, prováděn za přítomnosti zaměstnanců. (5) Servery a jiná klíčová síťová zařízení jsou umístěny takovým způsobem, který maximálně zabraňuje nepovolaným osobám s těmito zařízeními, jakkoliv manipulovat nebo je poškodit. Nakládání s osobními údaji (1) Data, obsahující osobní údaje, která nejsou uložena v aplikaci (např. soubory MS Word, MS Excel apod.), ukládají zaměstnanci do určených adresářů na interní pevný disk přidělené VT nebo dle potřeby na síťové disky. (2) Ukládat osobní údaje na soukromá paměťová média a do cloudu je zakázáno. (3) Soubory, obsahující osobní údaje, jsou zasílány mimo organizaci prostřednictvím datové schránky. Pokud tak nelze učinit, musí zaměstnanec tento soubor uložit do souboru typu ZIP, RAR apod. zabezpečeného heslem, který je odeslán příjemci elektronickou poštou. Heslo je příjemci zasláno jiným komunikačním kanálem např. SMS. Pro zašifrování souboru je možné využít kvalifikovaný certifikát. (4) Soubory, obsahující zvláštní kategorie osobních údajů, jsou zasílány pouze prostřednictvím datové schránky. (5) Pokud jsou zálohy přenášeny mimo prostory organizaci, je pro jejich ochranu využíváno šifrování. (6) Pokud dojde k úniku nebo ztrátě dat, obsahujících osobní údaje, je každý zaměstnanec povinen neprodleně hlásit tento incident nadřízenému vedoucímu zaměstnanci, který tuto skutečnost hlásí neprodleně pověřenci pro ochranu osobních údajů. Bezpečnost sítě (1) Mobilní zařízení (smartphony, tablety) s vlastním OSem jsou vybavena antivirovou aplikací. (2) Zaměstnanci mohou využívat soukromá mobilní zařízení pouze pro práci s obsahem pracovní e-mailové schránky. Jiné využití soukromých mobilních zařízení pro pracovní účely (např. připojení do vnitřní sítě, administrace aplikací apod.) je zakázáno. (3) Wi-Fi síť je používána pro přístup k interní síti, a tedy i aplikacím, je identita zaměstnance před zpřístupněním této sítě ověřena prostřednictvím zadání přístupových údajů. Bez ověření identity zaměstnance nejsou interní síť, aplikace nebo síťové disky zpřístupněny. (4) Přístup k zálohám síťových prostředků a síťovým aplikacím je striktně omezen jak na logické, tak i fyzické úrovni pouze na odpovědné osoby. (5) Všechny vzdálené přístupy k síti (pomocí např. vzdálené plochy nebo VPN) povoluje ředitelka. Stránka 12 z 16 Verze 01

(6) Všechny způsoby vzdáleného přístupu k síti splňují následující: a) vytvořené spojení v rámci vzdáleného přístupu je šifrované (bez ohledu na povahu přenášených dat) a předchází mu autentizace (minimálně heslem, lépe uživatelským certifikátem), b) každý vzdálený přístup je jednoznačně identifikovatelný (uživatel) a je zaznamenán, c) uživatelé nesmí propůjčovat své oprávnění vzdáleného přístupu třetím osobám, byť zaměstnancům SSLVS, d) připojení probíhá prostřednictvím bezpečného kanálu (HTTPS, VPN, pomocí VPN mimo veřejnou síť poskytovatele apod.). (7) Správce ICT vede evidenci zaměstnanců a VT s povoleným vzdáleným přístupem. Tyto seznamy jsou v pravidelných intervalech (alespoň jedenkrát za rok) přezkoumávány ředitelkou SSLVS, nebo jí pověřenou osobou. (8) V organizaci je využíváno vhodné logické dělení sítě na jednotlivé segmenty (tzv. segmentace sítě). Správce ICT nastavuje samostatné segmenty sítě, jako jsou např. servery, síťové tiskárny, zasedací místnosti apod. (9) Síťové zásuvky jsou připojeny dle jejich využití. Nepoužívané zásuvky jsou správcem ICT v rozvaděči odpojeny. (10) Správce ICT přezkoumává v pravidelných intervalech (alespoň 1x za měsíc) důležité bezpečnostní logy firewallu. Například využití sítě (jednotlivých portů), neúspěšné pokusy o vzdálené přihlášení, pokusy o skenování sítě apod. Dodavatelé služeb informačních a komunikačních technologií (1) SSLVS identifikuje dodavatele aplikací a služeb ICT s možností přístupu ke svým datům (i vzdálený přístup např. pomocí VPN) a uzavře s nimi smlouvy, příp. dodatek smlouvy o zpracování osobních údajů v souladu s požadavky čl. 28 GDPR. (2) Správce ICT eviduje jednotlivé vzdálené přístupy dodavatelů a kontroluje jejich oprávněnost. (3) V rámci smluvního vztahu s dodavatelem SSLVS stanoví předmět dodávané služby. V rámci klasifikace úrovně dodávky musí být minimálně stanoveny následující podmínky: a) stanovení předmětu a kvality služby, b) stanovení Service Level Agreement SLA (pokud je předmětem dodávky služba), c) stanovení požadavků na bezpečnostní opatření pro dodavatele a zároveň dodavatelského řetězce (pokud rizika závisí nejen na dodavateli, ale i na jeho subdodavatelích), d) definice stížností, reklamací (stanovení postupů), e) eskalační procedura (v případě, že nelze s dodavatelem dohodnout řešení, mělo by být určeno, na kterou hierarchicky vyšší řídící úroveň se řešení problému přesune), Stránka 13 z 16 Verze 01

f) nastavení kontrolních mechanizmů v rámci předmětu dodávané služby, g) hodnocení a kontrola bezpečnostních opatření. (4) Za řízení dodavatelů je odpovědná ředitelka SSLVS nebo jí pověřená osoba, která danou službu zastřešuje. (5) O všech změnách, dohodách a kontrolách s dodavateli musí být proveden záznam. Související dokumenty: - Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - Směrnice Povinnosti osob při zpracování osobních údajů, - Směrnice Záznamy o činnostech zpracování, - Směrnice Výkon práv subjektu údajů, - Směrnice Politika ochrany osobních údajů, - Analýza rizik GDPR Stránka 14 z 16 Verze 01

Příloha č. 1 Seznam přidělených rolí ředitelkou organizace Seznam přidělených rolí ředitelkou organizace 1) Koordinátor ICT Tomáš Žamboch, DiS. 2) DPO partner Ing. Petra Holeksová Stránka 15 z 16 Verze 01

SEZNAM REVIZÍ Datum Popis revize Jméno a příjmení Podpis ZÁZNAM O SEZNÁMENÍ ZAMĚSTNANCŮ S DOKUMENTEM Svým podpisem potvrzuji, že jsem se s dokumentem seznámil/a, obsahově rozumím popsanému procesu a povinnostem, které mi z dokumentu vyplývají. Datum Jméno a příjmení Pracovní pozice Podpis Stránka 16 z 16 Verze 01

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář