w sprawie wprowadzenia Polityki Bezpieczeństwa
Transkrypt
w sprawie wprowadzenia Polityki Bezpieczeństwa
Zarządzenie Nr 15/2012 Burmistrza Miasta Jedlina-Zdrój z dnia 14 marca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa danych osobowych w Urzędzie Miasta w Jedlinie-Zdroju Na podstawie art. 30 ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r., nr 142, poz. 1591 ze zmianami), art. 3 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 ze zmianami) oraz § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Burmistrz Miasta Jedlina-Zdrój wprowadza: POLITYKĘ BEZPIECZEŃSTWA Rozdział I Postanowienia ogólne §1. 1. Wdrożenie Polityki bezpieczeństwa w Urzędzie Miasta ma na celu zabezpieczenie przetwarzanych danych osobowych, w tym danych przetwarzanych w Systemie informatycznym i poza nim, poprzez wykonanie obowiązków wynikających z Ustawy i Rozporządzenia. 2. W związku z tym, że w zbiorach Administratora danych przetwarzane są między innymi dane wrażliwe, a System informatyczny posiada szerokopasmowe połączenie z siecią Internet, niniejsza Polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa danych w rozumieniu § 6 Rozporządzenia. Niniejszy dokument opisuje niezbędny do uzyskania wysokiego poziomu bezpieczeństwa, zbiór procedur i zasad dotyczących Przetwarzania danych osobowych oraz ich zabezpieczenia. §2.1. Polityka bezpieczeństwa dotyczy przetwarzania danych osobowych bez względu na sposób i formę przetwarzania (w formie elektronicznej i/lub papierowej np. w ewidencjach, rejestrach, księgach, wykazach i innych zbiorach ewidencyjnych, w Systemie informatycznym). 2. Procedury i zasady określone w niniejszym dokumencie stosuje się do Osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych w Urzędzie Miasta jak i innych, np. stażystów, praktykantów, serwisantów oraz innych zleceniobiorców wykonujących prace w siedzibie Urzędu. 3. Procedury i zasady przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Jedlinie-Zdroju zostały określone w zarządzeniu Nr 13/2011 Kierownika Ośrodka Pomocy Społecznej w Jedlinie-Zdroju z dnia 22 czerwca 2011 r. w sprawie wdrożenia Polityki bezpieczeństwa regulującej zasady ochrony danych osobowych w Ośrodku Pomocy Społecznej w Jedlinie-Zdroju oraz zarządzeniu Nr 14/2011 Kierownika Ośrodka Pomocy Społecznej w Jedlinie-Zdroju z dnia 22 czerwca 2011 r. w sprawie wdrożenia Instrukcji Zarządzania Systemem Informatycznym w Ośrodku Pomocy Społecznej w Jedlinie-Zdroju. §3. 1. Polityka bezpieczeństwa określa w szczególności następujące zagadnienia: 1) wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych; 3) opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych dotyczących danych osobowych i powiązania między nimi; 4) sposób przepływu danych w Systemie informatycznym, 5) środki techniczne i organizacyjne niezbędne do zapewnienia poufności danych, integralności danych oraz rozliczalności przetwarzanych danych osobowych. 2. Polityka bezpieczeństwa określa również tryb postępowania, w przypadku gdy: 1) stwierdzono naruszenie zabezpieczenia danych osobowych, w tym przetwarzanych w Systemie informatycznym; 2) stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość pracy w sieci informatycznej mogą wskazywać na naruszenie zabezpieczeń przetwarzanych danych. 3. Ilekroć w Polityce bezpieczeństwa jest mowa o: 1) Ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zmianami), 2) Rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024), 3) Instrukcji – należy przez to rozumieć Instrukcję zarządzania Systemem informatycznym Urząd Miasta, 4) Polityce bezpieczeństwa – należy przez to rozumieć niniejszą Politykę bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miasta, 5) Urzędzie Miasta – rozumie się przez to Urząd Miasta Jedlina-Zdrój, 6) Kierowniku komórki organizacyjnej - należy przez to rozumieć Zastępcę Burmistrza Miasta, Sekretarza Miasta, Skarbnika Miasta, Kierownika Urzędu Stanu Cywilnego, Kierownika Referatu Spraw Obywatelskich i Ogólnoorganizacyjnych, 7) Komórkach organizacyjnych - należy przez to rozumieć referaty, samodzielne stanowiska i biura Urzędu Miasta, 8) Administratorze danych – rozumie się przez to Administratora danych osobowych w Urzędzie Miasta reprezentowanego przez Burmistrza Miasta Jedlina-Zdrój, 9) Administratorze bezpieczeństwa– rozumie się przez to osobę, której Administrator danych powierzył pełnienie obowiązków Administratora bezpieczeństwa informacji, 10) Administratorze systemu – rozumie się przez to pracownika Urzędu Miasta zatrudnionego na stanowisku informatyka, 11) Danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 12) Haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi, 13) Identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący Osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 14) Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 15) Osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która upoważniona została do Przetwarzania danych osobowych przez Administratora danych, 16) Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom, 17) Przetwarzaniu danych osobowych – rozumie się przez to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza tych operacji, które są wykonywane w systemach informatycznych, 18) Rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 19) Serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego i oprogramowania, 20) Systemie informatycznym– rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych. W systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną Administratora danych, 21) Uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 22) Użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, której nadano identyfikator i przyznano hasło, 23) Zabezpieczeniu systemu informatycznego – należy przez to rozumieć wdrożenie i eksploatację przez Administratora danych i Administratora bezpieczeństwa odpowiednich środków organizacyjnych i technicznych, które mają na celu zabezpieczenie zasobów oraz ochronę danych przed ich nieuprawnionym przetwarzaniem oraz zniszczeniem przez osobę trzecią. Rozdział II Organizacja przetwarzania danych osobowych §4. Administrator danych reprezentowany przez Burmistrza Miasta realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza: 1) zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, a w szczególności zabezpiecza wejścia do pomieszczeń należących do obszaru przetwarzania danych osobowych, 2) podejmuje decyzje o celach i środkach Przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie oraz w organizacji Administratora danych, a także technik zabezpieczenia danych osobowych, 3) upoważnia poszczególne osoby do Przetwarzania danych osobowych w określonym zakresie, zgodnym z indywidualnym zakresem obowiązków służbowych i odpowiedzialności, 4) prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych, wzór ewidencji stanowi załącznik Nr 1 do niniejszej Polityki bezpieczeństwa, 5) wyznacza Administratora bezpieczeństwa oraz określa zakres jego zadań i czynności, 6) wyznacza Kierownika Referatu Spraw Obywatelskich i Ogólnoorganizacyjnych do prowadzenia ewidencji Osób upoważnionych do przetwarzania danych osobowych oraz pozostałej dokumentacji z zakresu ochrony danych osobowych, 7) upoważnia Sekretarza Miasta, by we współpracy z Administratorem systemu zapewnił Użytkownikom odpowiednie stanowiska pracy m.in. sprzęt komputerowy umożliwiający bezpieczne przetwarzanie danych i meble zapewniające bezpieczeństwo dokumentacji, 8) sprawuje kontrolę nad tym, jakie dane osobowe zostały wprowadzone do poszczególnych systemów, służących do Przetwarzania danych osobowych, 9) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego Przetwarzania danych osobowych. §5. Administrator bezpieczeństwa realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza: 1) określa stosowne środki fizyczne, a także organizacyjne i techniczne w celu zapewnienia bezpieczeństwa danych i sprawuje nadzór nad ich wdrożeniem, 2) sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, 3) prowadzi oraz aktualizuje dokumentację opisującą sposób Przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę Przetwarzanych danych osobowych, 4) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych, w tym przetwarzanych w Systemie informatycznym i niezwłocznie informuje o tym fakcie Administratora danych, 5) prowadzi szczegółową dokumentację naruszeń bezpieczeństwa danych osobowych 6) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia Osób upoważnianych do przetwarzania danych osobowych, w tym Użytkowników, 7) wyznacza, w porozumieniu z Administratorem danych oraz Sekretarzem Miasta, swojego zastępcę na czas nieobecności (urlop, choroba), 8) nadzoruje likwidację kopii bezpieczeństwa i innych elektronicznych nośników danych zawierających dane osobowe, 9) kontroluje zmianę Haseł dostępu do systemów służących do Przetwarzania danych osobowych, 10) nadzoruje i kontroluje System informatyczny, sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych przetwarzanych w Systemie informatycznym. §6. Administrator systemu realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad Systemem informatycznym, w tym zwłaszcza: 1) zarządza Systemem informatycznym, w którym przetwarzane są dane osobowe, 2) przeciwdziała dostępowi do Systemu informatycznego osobom nieuprawnionym, 3) na wniosek Kierownika komórki organizacyjnej, w której dany Użytkownik pracuje, przydziela każdemu Użytkownikowi Identyfikator oraz pierwotne Hasło do Systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także usuwa konta Użytkowników, 4) nadzoruje działanie mechanizmów Uwierzytelniania Użytkowników oraz dostępu do Systemu informatycznego, 5) wyrejestrowuje Użytkowników z Systemu informatycznego na polecenie Administratora danych lub Kierownika komórki organizacyjnej, w której dany Użytkownik pracuje, 6) zmienia w poszczególnych stacjach roboczych Hasła dostępu, ujawniając je wyłącznie danemu Użytkownikowi oraz Administratorowi danych, 7) w sytuacji stwierdzenia naruszenia Zabezpieczeń systemu informatycznego informuje Administratora bezpieczeństwa o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia, 8) sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych oraz magnetycznych i optycznych nośników danych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii Systemu informatycznego, 9) dokonuje przeglądów i konserwacji Systemu informatycznego, 10) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów i innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji, 11) nadzoruje aktualność i działanie oprogramowania antywirusowego. §7. Kierownik Referatu Spraw Obywatelskich i Ogólnoorganizacyjnych (OEL) realizuje następujące zadania w zakresie ochrony danych osobowych: 1) prowadzi ewidencję Osób upoważnionych do przetwarzania danych osobowych, 2) pełni nadzór nad przestrzeganiem w Urzędzie Miasta przepisów dotyczących ochrony danych osobowych, 3) nadzoruje udostępnianie danych osobowych przez Referat OEL osobom, których dane dotyczą oraz odbiorcom danych i innym upoważnionym podmiotom, 4) współpracuje z kierownikami pozostałych komórek organizacyjnych w przygotowywaniu wniosków zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inną korespondencję z Generalnym Inspektorem Ochrony Danych Osobowych, 5) zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczących ochrony danych osobowych, przygotowywane przez komórki organizacyjne Urzędu. §8. Kierownicy komórek organizacyjnych wykonują następujące zadania w zakresie ochrony danych osobowych: 1) występują z wnioskiem do Administratora danych o nadanie podległemu pracownikowi upoważnienia do Przetwarzania danych osobowych, wzór wniosku stanowi załącznik nr 1 do Instrukcji, 2) występują z wnioskiem ustnym do Administratora systemu o nadanie Identyfikatora i przyznanie Hasła Osobie upoważnionej do przetwarzania danych osobowych, 3) występują z wnioskiem o cofnięcie upoważnienia do przetwarzania danych osobowych i/lub wyrejestrowanie Użytkownika z Systemu informatycznego, 4) nadzorują udostępnianie danych osobowych osobom, których dane dotyczą oraz odbiorcom danych i innym upoważnionym podmiotom, 5) przygotowują we współpracy z Kierownikiem OEL wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych. §9. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać następujących zasad: 1) dane osobowe należy przetwarzać wyłącznie w zakresie ustalonym przez Administratora danych w upoważnieniu oraz w indywidualnym zakresie obowiązków służbowych i odpowiedzialności, jedynie w celu wykonywania tych obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego Identyfikatora Użytkownika, niezbędnego do rozpoczęcia pracy w Systemie informatycznym, 2) należy zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania, przede wszystkim dokonywać zmiany Hasła dostępu do zbioru danych osobowych nie rzadziej niż co 30 dni. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia, a także po rozwiązaniu stosunku pracy lub odwołaniu z pełnionej funkcji, 3) należy zapoznać się z przepisami prawa powszechnie obowiązującego w zakresie ochrony danych osobowych oraz postanowieniami niniejszej Polityki bezpieczeństwa i Instrukcji oraz złożyć oświadczenie potwierdzające ten fakt, 4) stosować określone przez Administratora danych oraz Administratora bezpieczeństwa procedury oraz wytyczne mające na celu zgodne z prawem Przetwarzanie danych osobowych, 5) korzystać z Systemu informatycznego w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład Systemu informatycznego, oprogramowania i nośników, 6) zabezpieczać dane przed ich udostępnianiem osobom nieupoważnionym. § 10. 1. Administrator danych, Administrator bezpieczeństwa, Administrator systemu, Kierownicy komórek organizacyjnych, auditorzy wewnętrzni mają prawo wglądu do danych osobowych przetwarzanych w formie elektronicznej i/lub papierowej z uwagi na wykonywane czynności służbowe. 2. Pracownicy Urzędu Miasta przetwarzający dane osobowe, w tym dane w Systemie informatycznym są obowiązani do dołożenia szczególnej staranności w celu ochrony interesu osób, których te dane dotyczą, a w szczególności przestrzegać zasad, aby dane osobowe były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetworzeniu niezgodnemu z tymi celami; 3) merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane; 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak w czasie nie dłuższym niż jest to niezbędne do osiągnięcia celu przetwarzania. § 11. Obowiązek przestrzegania tajemnicy danych osobowych dotyczy wszystkich pracowników, którzy mają dostęp do informacji o charakterze Danych osobowych. § 12. 1. Przetwarzać dane osobowe może jedynie Osoba upoważniona do przetwarzania danych osobowych, w tym Użytkownik Systemu informatycznego, a w czasie jej nieobecności osoba pełniąca zastępstwo, posiadająca upoważnienie wydane przez Administratora danych. 2. Użytkownicy Systemu informatycznego zostali wyposażeni w indywidualne Identyfikatory i Hasła. Szczegółowe procedury nadawania, rejestrowania i wyrejestrowywania użytkowników systemów zostały określone w Instrukcji.. § 13. 1. W przypadku utworzenia nowego zbioru danych osobowych, wynikającego z obowiązków nałożonych przepisami Ustawy lub nowymi zadaniami, Kierownik komórki organizacyjnej lub pracownik na samodzielnym stanowisku pracy jest zobowiązany do przedłożenia Kierownikowi OEL projektu wniosku o zgłoszeniu zbioru danych Generalnemu Inspektorowi Danych Osobowych. 2. W przypadku wprowadzenia zmian w istniejących zbiorach danych osobowych, osoby, o których mowa w ust. 1 niniejszego paragrafu zobowiązane są przygotować projekt wniosku o zgłoszeniu zmian w zbiorze danych, nie później niż w ciągu 10 dni od daty dokonania modyfikacji w zbiorze danych. 3. Wnioski o utworzenie nowego zbioru danych osobowych oraz wnioski o zgłoszeniu zmian w zbiorach już istniejących przesyła się Generalnemu Inspektorowi Danych w formie elektronicznej i papierowej w terminie do 30 dni od dnia dokonania zmiany w zbiorze danych. § 14. 1. Informacje jednostkowe, wykazy, wydruki imienne, zestawienia zbiorcze bądź inne dane ze zbiorów danych osobowych, w tym z Systemu informatycznego zawierające dane osobowe mogą być wykonywane wyłącznie na pisemny umotywowany wniosek, chyba że przepisy powszechnie obowiązujące stanowią inaczej. 2. Wniosek powinien zawierać informacje, które umożliwiają wyszukanie w zbiorze danych osobowych, wskazują zakres i przeznaczenie tych danych. § 15. 1. Każdej osobie przysługuje prawo do kontroli przetwarzanych danych, które jej dotyczą. 2. Dane osobowe będące w posiadaniu Urzędu nie będą przetwarzane dla celów marketingowych. Rozdział III Infrastruktura przetwarzania danych osobowych §16. Tabela Nr 1 przedstawia wykaz budynków i pomieszczeń wchodzących w skład obszaru przetwarzania danych osobowych. Tab. nr 1. Wykaz budynków i pomieszczeń wchodzących w skład obszaru przetwarzania danych osobowych Adres: Pomieszczenia: Urząd Miasta ul. Poznańska 2, 58-330 Jedlina-Zdrój Piwnica: - pokój 5A i B - Referat Gospodarki Miejskiej i Inwestycji, - pokój 5C - Referat Gospodarki Miejskiej i Inwestycji, - pokój 5D - Kasa Urzędu, Parter: - pokój 2 - Referat Finansów i Budżetu, - pokój 3 - Referat Spraw Obywatelskich i Ogólnoorganizacyjnych (Ewidencja Ludności) i Urząd Stanu Cywilnego, - pokój 4 - Biuro Obsługi Klienta, - pokój 4 a - Samodzielne stanowisko ds. Zamówień Publicznych, Zaopatrzenia i Obsługi Urzędu, - pokój 5 - Referat Gospodarki Miejskiej i Inwestycji, I piętro: - pokój 6 - Sekretarz Miasta, - pokój 6 - Sekretariat (Kadry), - pokój 7 - Samodzielne stanowisko ds. Mienia Gminy, Obrotu Nieruchomościami i Rolnictwa, - pokój 9 - Samodzielne stanowisko ds. obsługi Rady Miasta, II piętro: serwerownia, Archiwum Urzędu i Archiwum USC Ośrodek Pomocy Społecznej ul. Poznańska 11, 58330 Jedlina-Zdrój II piętro: pokój 5. § 17. Tabela Nr 2 przedstawia Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, zlokalizowanych w Urzędzie Miasta oraz Ośrodku Pomocy Społecznej w Jedlinie-Zdroju. Zbiory 1 do 10 są przetwarzane w Systemie informatycznym, natomiast zbiór nr 12 w systemie informatycznym Ośrodka Pomocy Społecznej. Tab. nr 2. L.p. Zbiór danych Dostawca oprogramowania/Programy zastosowane Miejsce przetwarzania do przetwarzania danych 1. Ewidencja ludności Radix/System Ewidencji Ludności ELUD+ Parter, pokój 3 - Ewidencja Ludności i Urząd Stanu Cywilnego 2. Urząd Stanu Cywilnego w Jedlinie-Zdroju Biuro Komplex Service/Elektroniczny System Obsługi Urzędów Stanu Cywilnego esousc Parter, pokój 3 - Ewidencja Ludności i Urząd Stanu Cywilnego 3. Podatki (System naliczania podatków Radix /System Naliczania Podatków od Gruntów i POGRUN i system windykacji Nieruchomości POGRUN+ i System Windykacji należności WIP) Opłat i Podatków WIP+ Parter, pokój 2 - Referat Finansów i Budżetu 4. Czynsze Info Spółka /Czynsze Parter, pokój 2 - Referat Finansów i Budżetu 5. Dowody osobiste System Obsługi Obywatela /Dowody osobiste Parter, pokój 3 - Ewidencja Ludności i Urząd Stanu Cywilnego 6. Gminna Informacja Oświatowa Centrum Informatyczne Edukacji /SIO I piętro, pokój 6 - Pokój Sekretarza Miasta Rejestr właścicieli nieruchomości – Ewidencja zbiorników bezodpływowych, przydomowych oczyszczalni ścieków i umów zawartych na odbieranie odpadów komunalnych. 7. Arkusz kalkulacyjny MS Office I piętro, pokój 5 – Referat Gospodarki Miejskiej i Inwestycji Arkusz kalkulacyjny MS Office II piętro, pokój 7 – Samodzielne stanowisko ds. Mienia Gminy, Obrotu Nieruchomościami i Rolnictwa 8. Wykaz najemców i dzierżawców nieruchomości gminnych 9. Mieszkaniowy zasób Gminy JedlinaArkusz kalkulacyjny MS Office Zdrój Radix /System Kadry + i System Płace + I piętro, pokój 5 - Referat Gospodarki Miejskiej i Inwestycji - I piętro, pokój 6 - Referat Spraw Obywatelskich i Ogólnoorganizacyjnych (Kadry) - Parter, pokój 2 - Referat Finansów i Budżetu (Płace), - Piwnica, pokój 4a Samodzielne stanowisko ds. Zamówień Publicznych, Zaopatrzenia i Obsługi Urzędu – Kadry pracowników zatrudnionych w ramach prac interwencyjnych i robót publicznych. 10. Kadry i Płace L.p. Zbiór danych Programy zastosowane do przetwarzania / Nazwa zasobu Miejsce przetwarzania danych 11. Stypendia i zasiłki szkolne Arkusz kalkulacyjny i edytor tekstu MS Office Budynek Ośrodka Pomocy Społecznej w JedlinieZdroju, ul. Poznańska 11 Rozdział IV Struktura zbiorów danych i sposób przepływu danych w systemie informatycznym § 18. 1. System informatyczny obsługiwany jest przez jeden serwer sprzętowy zlokalizowany w serwerowi – na drugim piętrze budynku Urzędu Miasta. System jest połączony z Internetem poprzez sprzętowy Firewall oraz translację adresów NAT. W Systemie informatycznym przetwarzane są dane ze wszystkich zbiorów danych osobowych Administratora danych. 2. Bazy danych, które przetwarzane są za pomocą programów RADIX obsługiwane są przez Server SQL. Są one powiązane między sobą relacjami tworząc na poziomie serwera zbiór relacyjnych baz danych. Relacje nie są bezpośrednio widoczne przez Użytkowników lecz umożliwiają łączenie tabel i przekazywanie danych zgodnie z zakresem przetwarzanych w danym zbiorze danych osobowych. 3. Pozostałe bazy danych, które przetwarzane są za pomocą arkuszy kalkulacyjnych MS Office lub korzystające z magazynów sieciowych udostępniane są poprzez Serwer plików Active Directory, nie są powiązane ze sobą żadnymi relacjami. § 19. W budynku Urzędu Miasta występują następujące zbiory danych osobowych: 1) Ewidencja ludności: a) zbiór prowadzony w formie elektronicznej oraz papierowej. System ewidencji ludności ELUD+ jest przeznaczony do prowadzenia lokalnej bazy danych mieszkańców zameldowanych na pobyt stały na terenie Gminy Jedlina-Zdrój, mieszkańców zameldowanych na pobyt czasowy ponad trzy miesiące oraz byłych mieszkańców, którzy byli zameldowani na pobyt stały lub czasowy. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: imiona i nazwiska, imiona rodziców, datę urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, serię i numer dowodu osobistego, płeć, nazwisko: z poprzedniego małżeństwa, rodowe, obywatelstwo, nazwisko rodowe: ojca, matki, numery ewidencyjne PESEL, ojca, matki, współmałżonka, stan cywilny, wystawcę, datę i numer aktu: urodzenia, małżeństwa, zgonu, stosunek do powszechnego obowiązku obrony (stopień wojskowy, numer i wystawca wojskowego dokumentu tożsamości), adresy zameldowania. 2) Urząd Stanu Cywilnego w Jedlinie-Zdroju: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Elektroniczny System Obsługi Urzędów Stanu Cywilnego esousc jest to system służący do obsługi bazy danych aktów stanu cywilnego. System realizuje swoje zadania poprzez możliwość wprowadzania projektów aktów, ich edycję oraz zatwierdzanie, wydruki aktów oraz prowadzenie elektronicznych ksiąg bieżących oraz archiwalnych, b) zakres danych systemu esousc obejmuje między innymi: nazwiska i imiona, imiona rodziców, data i czas urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, nazwisko rodowe współmałżonka, nazwisko rodowe matki i ojca kobiety, nazwisko rodowe matki i ojca mężczyzny, płeć, nazwisko i imię: ojca, matki, współmałżonka, data i numer aktu: urodzenia, małżeństwa, zgonu, nazwisko: panieńskie, z poprzedniego małżeństwa, rodowe, przynależność wyznaniową, orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 3) Podatki (System naliczania podatków POGRUN i system windykacji należności WIP: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Obsługa bazy danych realizowana jest za pomocą Systemu Naliczania Podatków od Gruntów i Nieruchomości POGRUN+ oraz Systemu Windykacji Opłat i Podatków WIP+. Systemy te współpracują na zasadzie relacyjnych baz danych i umożliwiają rejestrowanie płatników, naliczanie podatków, drukowanie decyzji i zaświadczeń, tworzenie zestawień i analiz a także prowadzenie księgowości podatkowej i związanej z nią ewidencji podatników oraz kontrolę terminowości wpłat. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: nazwiska i imiona, imiona rodziców, datę urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, Numer Identyfikacji Podatkowej, numer księgi wieczystej, położenie nieruchomości (adres). 4) Czynsze: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Obsługa bazy danych jest realizowana za pomocą programu Czynsze dostarczonego przez firmę Info-Spółka. Podstawowe funkcje programu to prowadzenie kartoteki wymiarowej zawierającej dane potrzebne do naliczeń, wyszukiwanie oraz przeglądanie kartoteki, naliczanie czynszów i opłat, drukowanie rachunków oraz sporządzanie wykazów i zestawień. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: nazwiska i imiona, adres zamieszkania, Numer Identyfikacji Podatkowej. 5) Dowody osobiste: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Baza danych obsługiwana przez program SOO dostarczony przez Centrum Personalizacji Dokumentów (CPD) Ministerstwa Spraw Wewnętrznych i Administracji. Program pozwala na rejestrację wniosków o wydanie dowodu osobistego i przesłanie ich metodą teletransmisji do CPD. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: nazwiska i imiona, imiona rodziców, datę urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, seria i numer dowodu osobistego, nazwisko rodowe, nazwisko rodowe matki, nr aktu urodzenia, nr aktu małżeństwa, płeć, wizerunek, rysopis, (wzrost, kolor oczu, znaki szczególne), inny posiadany dokument tożsamości. 6) Gminna Informacja Oświatowa: a) zbiór prowadzony w formie elektronicznej. Informacje zawarte w bazie danych dotyczą: bazy, infrastruktury i wyposażenia dydaktycznego w każdej placówce oświatowej w gminie, kadry pedagogicznej z podziałem na stopień awansu zawodowego, stażu pracy i specjalizacji nauczycieli, ilości uczniów z podziałem na ilość oddziałów, płeć, ilość, a także wysokości stypendiów, pomocy rzeczowej, wyprawki itp., wypadków uczniów, wysokości wynagrodzeń nauczycieli, b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: datę urodzenia, numer ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, stanowisko (funkcja), płeć, wynagrodzenie. 7) Rejestr właścicieli nieruchomości – Ewidencja zbiorników bezodpływowych, przydomowych oczyszczalni ścieków i umów zawartych na odbieranie odpadów komunalnych: a) zbiór prowadzony w formie elektronicznej. Rejestr właścicieli nieruchomości – Ewidencja zbiorników bezodpływowych, przydomowych oczyszczalni ścieków i umów zawartych na odbieranie odpadów komunalnych jest to baza danych obsługiwana przez arkusz kalkulacyjny programu Microsoft Office. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: imiona i nazwiska, adres zamieszkania lub pobytu. 8) Wykaz najemców i dzierżawców nieruchomości gminnych: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Zbiór zawiera wykaz najemców i dzierżawców nieruchomości gminnych, takich jak ogrody przydomowe, garaże, komórki, lokale użytkowe. Baza danych jest prowadzona w arkuszu kalkulacyjnym Microsoft Office. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: imiona i nazwiska, adres zamieszkania lub pobytu. 9) Mieszkaniowy zasób Gminy Jedlina-Zdrój: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Zbiór zawiera wykaz osób zajmujących lokale należące do mieszkaniowego zasobu gminy. Baza danych jest prowadzona w arkuszu kalkulacyjnym Microsoft Office. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: imiona i nazwiska, adres zamieszkania lub pobytu. 10) Kadry i płace: a) zbiór prowadzony w formie elektronicznej oraz papierowej, zawiera dane osób zatrudnionych w Urzędzie Miasta Jedlina-Zdrój. Zbiór przetwarzany za pomocą programów dostarczonych przez firmę Radix – Płace+ oraz Kadry+. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje między innymi: imiona i nazwiska, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, numer identyfikacji podatkowej NIP, okres i formę zatrudnienia, dane dotyczące wynagrodzenia, ewidencję czasu pracy i nieobecności, dane ubezpieczeniowe ZUS. § 20. Zgodnie z art. 31 Ustawy, Administrator danych powierzył Przetwarzanie danych osobowych Kierownikowi Ośrodka Pomocy Społecznej w Jedlinie-Zdroju, ul. Piastowska 11, 58-330 Jedlina-Zdrój w drodze umowy zawartej na piśmie. W budynku Ośrodka Pomocy Społecznej znajdują się następujące zbiory danych osobowych powierzone do przetwarzania: 1) Stypendia i zasiłki szkolne: a) zbiór prowadzony w formie elektronicznej oraz papierowej. Baza danych jest prowadzona w arkuszu kalkulacyjnym i edytorze tekstu Microsoft Office. Zbiór zawiera wykaz uczniów, którym udzielono pomocy materialnej w formie stypendiów i/lub zasiłków szkolnych. b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: nazwiska i imiona, imiona rodziców, datę urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, Numer Identyfikacji Podatkowej, miejsce pracy, seria i numer dowodu osobistego, numer telefonu, nazwiska rodziców, zaświadczenia o zarobkach z zakładu pracy, bądź z właściwego Urzędu Skarbowego w przypadku prowadzenia działalności gospodarczej, ostatni odcinek renty, emerytury, zaświadczenie z właściwego Urzędu Pracy w przypadku osób bezrobotnych, oświadczenie o wielkości prowadzonego gospodarstwa rolnego przez członów rodziny, zaświadczenie o korzystaniu ze świadczeń pieniężnych z pomocy społecznej, postanowienie sądu o przyznanych alimentach, zaświadczenie o otrzymywaniu stypendium o charakterze socjalnym ze środków publicznych, orzeczenia o rozwodzie, orzeczenia o występującej niepełnosprawności. Rozdział V Organizacyjne i fizyczne sposoby zabezpieczenia danych osobowych § 21. 1. Budynki i pomieszczenia, w których są Przetwarzane dane osobowe, powinny być zamykane na czas nieobecności w nich osób upoważnionych do przetwarzaniu danych, w sposób uniemożliwiający dostęp osobom trzecim. 2. Po godzinach pracy Administrator danych zapewnia monitoring oraz ochronę pomieszczeń, gdzie są Przetwarzane dane osobowe. 3. Codzienną kontrolę w zakresie ochrony danych osobowych sprawuje Osoba upoważniona do przetwarzania danych osobowych, w tym Użytkownik. 4. Kierownicy komórek organizacyjnych odpowiadają za zabezpieczenie pomieszczeń biurowych, gdzie są Przetwarzane dane osobowe oraz sprawują nadzór nad przestrzeganiem zasad ochrony danych osobowych w Komórce organizacyjnej. 5. Administrator danych, Administrator bezpieczeństwa, Administrator systemu realizują zadania w zakresie bezpieczeństwa danych określone w rozdziale II niniejszej Polityki bezpieczeństwa. § 22. Przesyłki zawierające dane osobowe powinny być przesłane listem poleconym ze zwrotnym poświadczeniem odbioru. § 23. Na czas remontu pomieszczeń oraz w czasie innych okoliczności zakłócających normalny tryb pracy, Osoby upoważnione do przetwarzania danych osobowych, w tym Użytkownicy obowiązani są do należytego zabezpieczenia dokumentów i sprzętu. § 24. Osoby przebywające na praktyce zawodowej, na stażu lub na przygotowaniu zawodowym podlegają wyznaczonemu przez Burmistrza Miasta opiekunowi, który ponosi odpowiedzialność za zorganizowanie pracy tym osobom z zachowaniem pełnego bezpieczeństwa w zakresie dostępu do danych osobowych osób nieuprawnionych. §25.1. Administrator bezpieczeństwa przeprowadza szkolenia w zakresie ochrony danych osobowych według następujących zasad: 1) każda osoba, która ma zostać upoważniona do przetwarzania danych osobowych musi zostać przeszkolona, 2) szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania danych osobowych przeprowadzane są w przypadku każdej zmiany zasad lub procedur ochrony danych osobowych, 3) przeprowadza się szkolenia dla osób innych niż upoważnione do przetwarzania danych, jeśli pełnione przez nie funkcje wiążą się z zabezpieczeniem danych osobowych. 2. Tematyka szkoleń obejmuje: 1) przepisy i procedury dotyczące ochrony danych osobowych, sporządzania i przechowywania ich kopii, niszczenia wydruków i zapisów na nośnikach zawierających dane osobowe, 2) sposoby ochrony danych przed osobami postronnymi i procedury udostępniania danych osobom, których one dotyczą, 3) obowiązki Osób upoważnionych do przetwarzania danych osobowych 4) odpowiedzialność za naruszenie obowiązków z zakresu ochrony danych osobowych, 5) zasady i procedury określone w Polityce bezpieczeństwa i Instrukcji. Rozdział VI Zabezpieczenie systemu informatycznego, sprzętu i nośników, §26. 1. Serwer jest zlokalizowany na drugim piętrze budynku Urzędu Miasta, w serwerowi - odrębnym pomieszczeniu, zamykanym drzwiami ognioodpornymi. W serwerowni może przebywać wyłącznie Administrator systemu, Administrator danych i Administrator bezpieczeństwa, a inne osoby upoważnione do przetwarzania danych osobowych, tylko w obecności którejkolwiek z tych osób. 2. Administrator systemu na bieżąco instruuje Użytkowników, jak prawidłowo eksploatować System informatyczny. 3. Wszystkie urządzenia Systemu informatycznego, które uczestniczą w procesach Przetwarzania danych osobowych, są zasilane za pośrednictwem zasilaczy awaryjnych (UPS). 4. Osoba przetwarzająca dane osobowe, która nie posiada zasilacza awaryjnego (UPS-a) na swoim stanowisku pracy lub jest on uszkodzony i działa nieprawidłowo, zobowiązana jest poinformować o tym niezwłocznie Administratora bezpieczeństwa. §27. 1. Naprawa oraz bieżąca konserwacja sprzętu i oprogramowania wykorzystywanego przez Administratora danych do Przetwarzania danych osobowych wykonywana jest osobiście przez Administratora systemu. W uzasadnionych przypadkach konserwacja i naprawa wykonywana jest przez serwisanta w miejscu korzystania ze sprzętu. W przypadku braku możliwości wykonania konserwacji i naprawy w miejscu korzystania ze sprzętu, należy zawrzeć z serwisantem umowę zobowiązującą do zachowania w tajemnicy danych osobowych, które mogą być przetwarzane w trakcie realizacji usługi serwisowej (konserwacji i naprawy), określającą kary umowne za naruszenie bezpieczeństwa danych. 2. Dopuszcza się konserwowanie i naprawę sprzętu poza siedzibą Administratora danych jedynie po trwałym usunięciu danych osobowych. Zużyty sprzęt wykorzystywany do Przetwarzania danych osobowych może być przeznaczony do likwidacji dopiero po trwałym usunięciu danych, a urządzenia uszkodzone mogą być przekazywane w celu utylizacji właściwym podmiotom, posiadającym zezwolenia w tym zakresie. 3. Wszystkie awarie, działania konserwacyjne i naprawy Systemu informatycznego są opisywane w stosownych protokołach, podpisywanych przez osoby w tych działaniach uczestniczące, a także przez Administratora bezpieczeństwa. §28. Niezwykle ważne dla bezpieczeństwa danych jest przestrzeganie przez Osobę upoważnioną do przetwarzania danych osobowych, w tym Użytkownika, następujących zasad zabezpieczenia i przetwarzania danych: 1) ekrany komputerów powinny być tak ustawione, by osoby niepowołane nie mogły widzieć ich zawartości(nie należy zwłaszcza ustawiać ich naprzeciwko wejścia do pomieszczenia), 2) zabrania się pozostawiania bez kontroli dokumentów, nośników danych i sprzętu komputerowego, w tym w szczególności podczas transportu i ich przechowywania poza Urzędem lub przy czasowej nieobecności na stanowisku pracy 3) nakazuje się dbać o prawidłową wentylację komputerów (nie można zasłaniać kratek wentylatorów meblami, zasłonami lub stawiać komputerów tuż przy ścianie), 4) zabrania się podłączania do listew podtrzymujących napięcie przeznaczonych dla sprzętu komputerowego innych urządzeń, szczególnie tych łatwo powodujących spięcia (np. grzejniki, czajniki, wentylatory), 5) zobowiązuje się do bezpiecznego użytkowania i przechowywania akt, dyskietek, pamięci przenośnych i komputerów przenośnych, 6) zabrania się zapisywania Hasła wymaganego do uwierzytelnienia się w systemie na papierze lub innym nośniku, 7) z wyłączeniem Administratora systemu, Administratora danych oraz Administratora bezpieczeństwa, zabrania się samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzętu (szczególnie komputerów przenośnych), 8) obowiązkiem Osoby upoważnionej do przetwarzania danych osobowych, w tym Użytkownika jest przestrzeganie swoich uprawnień tj. właściwego korzystania z baz danych, używania tylko własnego Identyfikatora i Hasła oraz stosowania się do zaleceń Administratora bezpieczeństwa, Administratora danych oraz Administratora systemu, 9) opuszczenie stanowiska pracy może nastąpić po wylogowaniu lub aktywizowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób, 10) dopuszcza się kopiowanie tylko jednostkowych danych osobowych (pojedynczych plików), jeżeli zezwalają na to przepisy prawa powszechnie obowiązującego lub wynika to z zakresu obowiązków służbowych, 11) dopuszcza się udostępnianie danych osobowych w formie elektronicznej, w przypadkach przewidzianych prawem powszechnie obowiązującym oraz wyłącznie w postaci zaszyfrowanej, 12) zabrania się wynoszenia poza siedzibę Urzędu Miasta na jakichkolwiek nośnikach całych zbiorów danych oraz obszernych z nich wypisów, nawet w postaci zaszyfrowanej, 13) kopie robocze danych powinny być wykonywane tak często, aby zapobiec ich utracie, 14) obowiązkiem Osoby upoważnionej do przetwarzania danych osobowych, w tym Użytkownika jest niszczenie w niszczarce lub chowanie do szaf zamykanych na klucz wszelkich wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy, 15) zabrania się pozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności Osoby upoważnionej do przetwarzania danych osobowych, 16) obowiązkiem Osoby upoważnionej do przetwarzania danych osobowych, w tym Użytkownika jest zachowanie w tajemnicy danych, w tym także wobec najbliższych, 17) obowiązkiem Osoby upoważnionej do przetwarzania danych osobowych, w tym Użytkownika jest chowanie do zamykanych na klucz szaf wszelkich akt zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy, umieszczanie kluczy do szaf w ustalonym, przeznaczonym do tego miejscu, zamykanie okien w razie opadów lub innych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu danych osobowych, a także w razie opuszczania pomieszczenia, w tym zwłaszcza po zakończeniu dnia pracy, zamykanie drzwi pokoju na klucz po zakończeniu pracy w danym dniu. § 29. Przy postępowaniu z elektronicznymi nośnikami danych oraz wydrukami, Osoby upoważnione do przetwarzania danych osobowych powinny pamiętać zwłaszcza, że: 1) dane z nośników przenośnych niebędących kopiami zapasowymi po wprowadzeniu do Systemu informatycznego powinny być trwale usuwane z tych nośników przez fizyczne zniszczenie (np. płyty CD-ROM) lub usunięcie danych programem trwale usuwającym pliki, 2) w uzasadnionych przypadkach, jeżeli zezwala na to przepis prawa lub wynika to z zakresu obowiązków służbowych, jednostkowe dane osobowe (a nie całe zbiory, czy obszerne wypisy ze zbiorów) mogą być zapisane i przechowywane na specjalnie oznaczonych nośnikach, 3) po zakończeniu pracy nośniki zawierające dane osobowe muszą być przechowywane w zamkniętych na klucz szafach, nieudostępnianych osobom postronnym i nie mogą być wynoszone poza siedzibę Urzędu Miasta. Po ustaniu przydatności tych danych należy je trwale usunąć z nośnika, a także, w miarę potrzeby, zniszczyć nośnik, 4) uszkodzone nośniki, przed ich wyrzuceniem, należy zniszczyć fizycznie w niszczarce służącej do niszczenia nośników, 5) urządzania, dyski i inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do: a) likwidacji - pozbawia się zapisu, a jeżeli to nie jest możliwe, uszkadza się w sposób uniemożliwiający odczytanie, b) naprawy - pozbawia się zapisu, a jeżeli to nie jest możliwe, naprawia się pod nadzorem Administratora systemu w siedzibie Urzędu Miasta, a poza tym miejscem wyłącznie w przypadku podpisania umowy o zachowaniu w tajemnicy danych osobowych zgodnie z § 27 niniejszej Polityki bezpieczeństwa. 6) wszelkie wydruki zawierające dane osobowe przechowywane są w miejscu uniemożliwiającym ich odczyt przez osoby nieuprawnione, w zamkniętych szafach oraz biurkach i nie mogą być wynoszone poza siedzibę Urzędu Miasta, 7) o ile to możliwe, nie należy przechowywać wydruków, o których mowa w poprzedzającym punkcie, w czasie pracy na biurku, 8) po wykorzystaniu, wydruki zawierające dane osobowe należy codziennie, przed zakończeniem pracy, zniszczyć w niszczarce, chyba że z odrębnych przepisów wynika obowiązek ich przechowywania, 9) zasady postępowania z nieaktualnymi kopiami zapasowymi zbiorów danych i programów służących do przetwarzania danych osobowych zostały opisane w Instrukcji. Rozdział VII Wymiana danych w systemie informatycznym i ich bezpieczeństwo §30. 1. Bezpieczeństwo danych, a w szczególności ich integralność i dostępność, w dużym stopniu zależy od zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych zasobach serwera. Pozwala to – przynajmniej w pewnym stopniu – uniknąć wielokrotnego wprowadzania tych samych danych do Systemu informatycznego. 2. Kopie zapasowe baz danych oraz innych zasobów serwera w Systemie informatycznym w architekturze klient – serwer wykonywane są po stronie serwera. Sposób wykonywania kopii zapasowych opisany jest w Rozdziale V Instrukcji. 3. Inne wymogi bezpieczeństwa systemowego są określone w Instrukcji oraz instrukcjach obsługi producentów sprzętu i używanych programów, regulaminie korzystania ze sprzętu komputerowego i oprogramowania oraz w regulaminie korzystania z poczty elektronicznej w Urzędzie Miasta. 4. Drogą elektroniczną można przesyłać tylko jednostkowe dane osobowe, a nie całe bazy lub obszerne z nich wypisy i tylko w postaci zaszyfrowanej, jeżeli wynika to z zakresu obowiązków służbowych lub zezwalają na to przepisy prawa.. §31. 1. Wszystkie komputery Administratora danych (w tym także przenośne) chronione są przed atakami z sieci zewnętrznej środkami, w tym oprogramowaniem, dobranymi przez Administratora systemu. Ważne jest, by użytkownicy zwracali uwagę na to, czy urządzenie, na którym pracują, domaga się aktualizacji tych zabezpieczeń. O wszystkich takich przypadkach należy, w miarę potrzeby, niezwłocznie informować Administratora systemu oraz umożliwić mu monitorowanie oraz aktualizację środków (urządzeń, programów) bezpieczeństwa. 2. Administrator systemu dobiera elektroniczne środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń (tzw. „wirusy”, „robaki”, „trojany”, inne nieuprawnione ingerencje w System informatyczny), a także stosownie do rozbudowy Systemu informatycznego i powiększania bazy danych. Jednocześnie należy zwracać uwagę, czy rozwijający się system zabezpieczeń sam nie wywołuje nowych zagrożeń. 3. Sposób zabezpieczenia Systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu opisany jest w Rozdziale VI Instrukcji. § 32. 1. W przypadku pojawienia się zagrożeń wymienionych w § 31 ust. 1 niniejszej Polityki bezpieczeństwa Administrator systemu sprawdza System informatyczny po usunięciu tych zagrożeń oraz przywraca go do pełnej funkcjonalności. 2. Administrator systemu, po dokonanej naprawie lub konserwacji Systemu informatycznego przeprowadza proces jego sprawdzenia pod kątem występowania wirusów. Rozdział VIII Kontrola dostępu do systemu i sieci §33. 1. Administrator systemu uwierzytelnia się w Systemie informatycznym za pomocą systemu Identyfikatorów i Haseł. Ze względów bezpieczeństwa Identyfikatory i Hasła Administratora systemu są znane wyłącznie Administratorowi systemu. Identyfikatory i hasła administratora systemu przechowywane są w zamkniętej kopercie w sejfie ognioodpornym, do którego ma dostęp wyłącznie Administrator danych i Administrator systemu. 2. Poszczególnym Użytkownikom przydziela się konta opatrzone niepowtarzalnym Identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania. Administrator systemu na polecenie Kierownika komórki organizacyjnej, w której dany Użytkownik pracuje, przydziela pracownikowi upoważnionemu do przetwarzania danych konto w Systemie informatycznym, dostępne po wprowadzeniu prawidłowego Identyfikatora i uwierzytelnieniu Hasłem. 3. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem opisane są w Rozdziale III Instrukcji. 4. Do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez Użytkowników swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego Identyfikatora i Hasła oraz stosowania się do zaleceń Administratora bezpieczeństwa, Administratora systemów oraz Administratora danych. §34. 1.System informatyczny posiada szerokopasmowe połączenie z Internetem. 2. W celu separacji sieci lokalnej od sieci publicznej wykorzystuje się centralną zaporę sieciową oraz translację adresów NAT. 3. Korzystanie z zasobów sieci lokalnej jest możliwe tylko w zakresie uprawnień przypisanych przez Administratora systemu. Rozdział IX Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego § 35. Za naruszenie bezpieczeństwa danych osobowych uznaje się w szczególności: 1) brak możliwości fizycznego dostępu do danych, np. zgubione klucze do pomieszczeń, szaf lub mebli biurowych, w których przechowywane są dane lub zniszczenia mebli, sprzętu komputerowego lub nośników informacji albo ich kradzież, 2) brak możliwości dostępu do baz danych osobowych – gdy zbiór istnieje lecz jest problem z otworzeniem zbioru; 3) modyfikację zawartości zbioru danych; 4) podejrzenie lub stwierdzenie faktu nieuprawnionego dostępu do bazy danych lub pomieszczenia, w którym ten zbiór jest przetwarzany; 5) nieprawidłowe funkcjonowanie systemu, a w szczególności pojawianie się komunikatów o błędach w wykonywaniu operacji; 6) zniszczenie lub stwierdzenie próby zniszczenia, w sposób nieautoryzowany danych ze zbioru prowadzonego w formie papierowej lub przetwarzanych w systemach informatycznych; 7) zmianę lub utratę danych znajdujących się na kopiach zapasowych, 8) nieskuteczne zniszczenie nośników informacji występujących zarówno w formie wydruków papierowych, jak i nośników magnetycznych, które umożliwia ich ponowny odczyt przez osoby nieuprawnione; 9) próbę nielegalnego logowania się do systemu lub włamania do systemu informatycznego. § 36. 1. Użytkownik zobowiązany jest zawiadomić Administratora bezpieczeństwa o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa danych osobowych, tym Systemu informatycznego, a w szczególności o: 1) naruszeniu Hasła dostępu i Identyfikatora (system nie reaguje na Hasło lub je ignoruje bądź można przetwarzać dane bez wprowadzenia Hasła), 2) naruszeniu zawartości zbioru, 3) częściowym lub całkowitym braku danych albo dostępie do danych w zbiorze w zakresie szerszym niż wynikający z przyznanych uprawnień, 4) braku dostępu do właściwej aplikacji lub zmianie zakresu wyznaczonego dostępu do zasobów serwera, 5) wykryciu tzw. wirusa komputerowego, 6) zauważeniu elektronicznych śladów próby włamania do Systemu informatycznego, 7) znacznym spowolnieniu działania Systemu informatycznego, 8) podejrzeniu kradzieży sprzętu komputerowego, elektronicznych nośników informacji lub dokumentów zawierających dane osobowe, 9) naruszeniu technicznego stanu urządzeń lub zmianie położenia sprzętu komputerowego, 10) zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych szaf, 11) wystąpieniu zdarzenia losowego (np. zalanie pożar), 2. Do czasu przybycia na miejsce Administratora bezpieczeństwa należy: 1) o ile istnieje taka możliwość, niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego zdarzenia, a następnie uwzględnić w działaniu również ustalenie jego przyczyn lub sprawców, 2) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, 3) zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę, 4) zastosować się do instrukcji i regulaminów lub dokumentacji aplikacji, jeśli odnoszą się one do zaistniałego przypadku, 5) przygotować opis zdarzenia, 6) nie opuszczać, bez uzasadnionej przyczyny, miejsca zdarzenia do czasu przybycia Administratora bezpieczeństwa. 3. Administrator bezpieczeństwa po otrzymaniu zawiadomienia, o którym mowa w ust. 1 niniejszego paragrafu, powinien niezwłocznie podjąć działania mające na celu analizę i usunięcie zaistniałego zagrożenia, a w szczególności: 1) przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia ochrony danych osobowych, w tym dokonać oceny stanu pomieszczeń, urządzeń wykorzystywanych do przetwarzania danych osobowych, działania programu służącego do przetwarzania danych i zawartości zbioru danych, 2) zabezpieczyć dowody wskazujące na naruszenie Systemu informatycznego, 3) dokonać analizy relacji osoby, która dokonała powiadomienia, 4) zapisać wszelkie informacje związane z danym zdarzeniem, 5) podjąć działania mające na celu zidentyfikowanie rodzaju zaistniałego zdarzenia, sprawcy, miejsca, czasu i sposobu naruszenia ochrony oraz ocenę skali zniszczeń, 6) w zależności od zakresu naruszenia ochrony, zaproponować działania naprawcze i wydać użytkownikowi stosowne polecenia oraz wskazówki odnośnie obsługi urządzeń, 7) w przypadku stwierdzenia faktycznego naruszenia bezpieczeństwa danych, w tym Systemu informatycznego sporządzić raport naruszenia bezpieczeństwa danych osobowych, a następnie niezwłocznie przekazać jego kopię Administratorowi danych. 4. Raport, o którym mowa w ust 3 pkt 7) niniejszego paragrafu, powinien zawierać w szczególności: 1) dane osoby stwierdzającej naruszenie, 2) datę, godzinę i miejsce naruszenia, 3) czas powiadomienia o zaistniałym zdarzeniu, opis czynności zmierzających do usunięcia zidentyfikowanego zagrożenia, 4) wnioski do realizacji. 5. Administrator bezpieczeństwa może zarządzić, w razie potrzeby, odłączenie części Systemu informatycznego dotkniętej ww. naruszeniem od pozostałej jego części. 6. Administrator bezpieczeństwa jest zobowiązany niezwłocznie przywrócić normalny stan funkcjonowania Systemu informatycznego, przy czym w przypadku uszkodzenia bazy danych, niezbędne jest jej odtworzenie z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego uzyskania dostępu tą samą drogą przez osobę niepowołaną. 7. W razie odtwarzania danych z kopii zapasowych Administrator systemu obowiązany jest upewnić się, że odtwarzane dane zapisane zostały przed wystąpieniem ww. zdarzenia (dotyczy to zwłaszcza przypadków tzw. infekcji wirusowej). 8. Administrator bezpieczeństwa wydaje zgodę na ponowne uruchomienie komputera lub innych urządzeń oraz na kontynuowanie przetwarzania danych osobowych. 9. Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. § 37.1. Administrator danych, po zapoznaniu się z raportem, o którym mowa w § 36 ust. 4, niniejszej Polityki bezpieczeństwa podejmuje decyzję o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeństwo Systemu informatycznego, bądź zastosowaniu środków ochrony fizycznej. 2. Administrator systemu zobowiązany jest do informowania Administratora danych o awariach Systemu informatycznego, zauważonych przypadkach naruszenia niniejszej Polityki bezpieczeństwa i Instrukcji przez Użytkowników, a zwłaszcza o przypadkach posługiwania się przez Użytkowników nieautoryzowanymi programami, nieprzestrzegania zasad używania oprogramowania antywirusowego, niewłaściwego wykorzystania sprzętu komputerowego i oprogramowania lub przetwarzania danych w sposób niezgodny z procedurami ochrony danych osobowych. Rozdział X Postanowienia końcowe §38.1. Użytkownik upoważniony do przetwarzania danych osobowych w formie elektronicznej i/lub papierowej zobowiązany jest do zapoznania się z niniejszą Polityką bezpieczeństwa, Instrukcją i stosowania przepisów w niej zawartych na swoim stanowisku pracy. 2. Naruszenie przez Użytkownika postanowień niniejszej Polityki bezpieczeństwa stanowi podstawę do pociągnięcia go do odpowiedzialności porządkowej lub dyscyplinarnej, odszkodowawczej i karnej uregulowanej odrębnymi przepisami prawa. 3. W sprawach nie uregulowanych niniejszym zarządzeniem zastosowanie mają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zmianami) i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024). § 39. Traci moc Zarządzenie Nr 208/2005 Burmistrza Miasta Jedlina-Zdrój z dnia 12 grudnia 2005 w sprawie wdrożenia Polityki Bezpieczeństwa regulującej zasady ochrony danych osobowych w Urzędzie Miasta w Jedlinie-Zdroju. §40. Zarządzenie wchodzi w życie z dniem podpisania. Uzasadnienie Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zmianami) Administrator danych osobowych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na dokumentację tę składa się Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym. Niniejsza Polityka bezpieczeństwa została opracowana zgodnie z wymaganiami § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Obowiązujące dotychczas Zarządzenie Nr 208/2005 Burmistrza Miasta Jedlina-Zdrój z dnia 12 grudnia 2005 w sprawie wdrożenia Polityki Bezpieczeństwa regulującej zasady ochrony danych osobowych w Urzędzie Miasta w Jedlinie-Zdroju wymagało aktualizacji, dlatego też wydanie niniejszego zarządzenia jest uzasadnione.