w sprawie wprowadzenia Polityki Bezpieczeństwa

Transkrypt

Zarządzenie Nr 15/2012
Burmistrza Miasta Jedlina-Zdrój
z dnia 14 marca 2012 r.
w sprawie wprowadzenia Polityki Bezpieczeństwa danych
osobowych w Urzędzie Miasta w Jedlinie-Zdroju
Na podstawie art. 30 ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U.
z 2001 r., nr 142, poz. 1591 ze zmianami), art. 3 ust. 1 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 ze zmianami) oraz § 3 i § 4
rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Burmistrz Miasta
Jedlina-Zdrój wprowadza:
POLITYKĘ BEZPIECZEŃSTWA
Rozdział I
Postanowienia ogólne
§1. 1. Wdrożenie Polityki bezpieczeństwa w Urzędzie Miasta ma na celu zabezpieczenie
przetwarzanych danych osobowych, w tym danych przetwarzanych w Systemie
informatycznym i poza nim, poprzez wykonanie obowiązków wynikających z Ustawy
i Rozporządzenia.
2. W związku z tym, że w zbiorach Administratora danych przetwarzane są między innymi
dane wrażliwe, a System informatyczny posiada szerokopasmowe połączenie z siecią
Internet, niniejsza Polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu
bezpieczeństwa danych w rozumieniu § 6 Rozporządzenia. Niniejszy dokument opisuje
niezbędny do uzyskania wysokiego poziomu bezpieczeństwa, zbiór procedur i zasad
dotyczących Przetwarzania danych osobowych oraz ich zabezpieczenia.
§2.1. Polityka bezpieczeństwa dotyczy przetwarzania danych osobowych bez względu na
sposób i formę przetwarzania (w formie elektronicznej i/lub papierowej np. w ewidencjach,
rejestrach,
księgach,
wykazach
i
innych
zbiorach
ewidencyjnych,
w
Systemie
informatycznym).
2. Procedury i zasady określone w niniejszym dokumencie stosuje się do Osób
upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych w Urzędzie
Miasta jak i innych, np. stażystów, praktykantów, serwisantów oraz innych zleceniobiorców
wykonujących prace w siedzibie Urzędu.
3. Procedury i zasady przetwarzania danych osobowych w Ośrodku Pomocy Społecznej
w Jedlinie-Zdroju zostały określone w zarządzeniu Nr 13/2011 Kierownika Ośrodka Pomocy
Społecznej w Jedlinie-Zdroju z dnia 22 czerwca 2011 r. w sprawie wdrożenia Polityki
bezpieczeństwa regulującej zasady ochrony danych osobowych w Ośrodku Pomocy
Społecznej w Jedlinie-Zdroju oraz zarządzeniu Nr 14/2011 Kierownika Ośrodka Pomocy
Społecznej w Jedlinie-Zdroju z dnia 22 czerwca 2011 r. w sprawie wdrożenia Instrukcji
Zarządzania Systemem Informatycznym w Ośrodku Pomocy Społecznej w Jedlinie-Zdroju.
§3. 1. Polityka bezpieczeństwa określa w szczególności następujące zagadnienia:
1) wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane
osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania danych osobowych;
3) opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól
informacyjnych dotyczących danych osobowych i powiązania między nimi;
4) sposób przepływu danych w Systemie informatycznym,
5) środki techniczne i organizacyjne niezbędne do zapewnienia poufności danych,
integralności danych oraz rozliczalności przetwarzanych danych osobowych.
2. Polityka bezpieczeństwa określa również tryb postępowania, w przypadku gdy:
1) stwierdzono naruszenie zabezpieczenia danych osobowych, w tym przetwarzanych
w Systemie informatycznym;
2) stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób
działania programu lub jakość pracy w sieci informatycznej mogą wskazywać
na naruszenie zabezpieczeń przetwarzanych danych.
3. Ilekroć w Polityce bezpieczeństwa jest mowa o:
1) Ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zmianami),
2) Rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U.
nr 100, poz. 1024),
3) Instrukcji – należy przez to rozumieć Instrukcję zarządzania Systemem informatycznym
Urząd Miasta,
4) Polityce bezpieczeństwa – należy przez to rozumieć niniejszą Politykę bezpieczeństwa
przetwarzania danych osobowych w Urzędzie Miasta,
5) Urzędzie Miasta – rozumie się przez to Urząd Miasta Jedlina-Zdrój,
6) Kierowniku komórki organizacyjnej - należy przez to rozumieć Zastępcę Burmistrza
Miasta, Sekretarza Miasta, Skarbnika Miasta, Kierownika Urzędu Stanu Cywilnego,
Kierownika Referatu Spraw Obywatelskich i Ogólnoorganizacyjnych,
7) Komórkach organizacyjnych - należy przez to rozumieć referaty, samodzielne
stanowiska i biura Urzędu Miasta,
8) Administratorze danych – rozumie się przez to Administratora danych osobowych
w Urzędzie Miasta reprezentowanego przez Burmistrza Miasta Jedlina-Zdrój,
9) Administratorze bezpieczeństwa– rozumie się przez to osobę, której Administrator
danych powierzył pełnienie obowiązków Administratora bezpieczeństwa informacji,
10) Administratorze systemu – rozumie się przez to pracownika Urzędu Miasta
zatrudnionego na stanowisku informatyka,
11) Danych osobowych – rozumie się przez to wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
12) Haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany
jedynie Użytkownikowi,
13) Identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych,
jednoznacznie identyfikujący Osobę upoważnioną do przetwarzania danych osobowych
w systemie informatycznym,
14) Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe
nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
15) Osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę,
która
upoważniona
została
do
Przetwarzania
danych
osobowych
przez Administratora danych,
16) Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są
udostępniane nieupoważnionym podmiotom,
17) Przetwarzaniu danych osobowych – rozumie się przez to wykonywanie jakichkolwiek
operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza tych operacji, które
są wykonywane w systemach informatycznych,
18) Rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu
mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
19) Serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą,
instalacją, naprawą i konserwacją sprzętu komputerowego i oprogramowania,
20) Systemie informatycznym– rozumie się przez to sprzęt komputerowy, oprogramowanie,
dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych. W systemie tym pracuje co najmniej
jeden komputer centralny i system ten tworzy sieć teleinformatyczną Administratora
danych,
21) Uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja
deklarowanej tożsamości podmiotu,
22) Użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym, której nadano identyfikator i przyznano hasło,
23) Zabezpieczeniu systemu informatycznego – należy przez to rozumieć wdrożenie
i
eksploatację
przez Administratora
danych
i Administratora
bezpieczeństwa
odpowiednich środków organizacyjnych i technicznych, które mają
na celu
zabezpieczenie zasobów oraz ochronę danych przed ich nieuprawnionym przetwarzaniem
oraz zniszczeniem przez osobę trzecią.
Rozdział II
Organizacja przetwarzania danych osobowych
§4. Administrator danych reprezentowany przez Burmistrza Miasta realizuje zadania
w zakresie ochrony danych osobowych, w tym zwłaszcza:
1) zabezpiecza
dane
przed
ich
udostępnieniem
osobom
nieupoważnionym,
a w szczególności zabezpiecza wejścia do pomieszczeń należących do obszaru
przetwarzania danych osobowych,
2) podejmuje
decyzje
o
celach
i
środkach
Przetwarzania
danych
osobowych
z uwzględnieniem przede wszystkim zmian w obowiązującym prawie oraz w organizacji
Administratora danych, a także technik zabezpieczenia danych osobowych,
3) upoważnia poszczególne osoby do Przetwarzania danych osobowych w określonym
zakresie,
zgodnym
z
indywidualnym
zakresem
obowiązków
służbowych
i odpowiedzialności,
4) prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych, wzór
ewidencji stanowi załącznik Nr 1 do niniejszej Polityki bezpieczeństwa,
5) wyznacza Administratora bezpieczeństwa oraz określa zakres jego zadań i czynności,
6) wyznacza Kierownika Referatu Spraw Obywatelskich i Ogólnoorganizacyjnych
do prowadzenia ewidencji Osób upoważnionych do przetwarzania danych osobowych
oraz pozostałej dokumentacji z zakresu ochrony danych osobowych,
7) upoważnia Sekretarza Miasta, by we współpracy z Administratorem systemu zapewnił
Użytkownikom odpowiednie stanowiska pracy m.in. sprzęt komputerowy umożliwiający
bezpieczne przetwarzanie danych i meble zapewniające bezpieczeństwo dokumentacji,
8) sprawuje kontrolę nad tym, jakie dane osobowe zostały wprowadzone do poszczególnych
systemów, służących do Przetwarzania danych osobowych,
9) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia
procedur bezpiecznego Przetwarzania danych osobowych.
§5.
Administrator
bezpieczeństwa
realizuje
zadania
w
zakresie
nadzoru
nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza:
1) określa stosowne środki fizyczne, a także organizacyjne i techniczne w celu zapewnienia
bezpieczeństwa danych i sprawuje nadzór nad ich wdrożeniem,
2) sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń,
3) prowadzi oraz aktualizuje dokumentację opisującą sposób Przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające ochronę Przetwarzanych
danych osobowych,
4) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia
bezpieczeństwa danych osobowych, w tym przetwarzanych w Systemie informatycznym
i niezwłocznie informuje o tym fakcie Administratora danych,
5) prowadzi szczegółową dokumentację naruszeń bezpieczeństwa danych osobowych
6) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi
szkolenia Osób upoważnianych do przetwarzania danych osobowych, w tym
Użytkowników,
7) wyznacza, w porozumieniu z Administratorem danych oraz Sekretarzem Miasta, swojego
zastępcę na czas nieobecności (urlop, choroba),
8) nadzoruje likwidację kopii bezpieczeństwa i innych elektronicznych nośników danych
zawierających dane osobowe,
9) kontroluje zmianę Haseł dostępu do systemów służących do Przetwarzania danych
osobowych,
10) nadzoruje i kontroluje System informatyczny, sprawuje nadzór nad przestrzeganiem
zasad ochrony danych osobowych przetwarzanych w Systemie informatycznym.
§6. Administrator systemu realizuje zadania w zakresie zarządzania i bieżącego nadzoru
nad Systemem informatycznym, w tym zwłaszcza:
1) zarządza Systemem informatycznym, w którym przetwarzane są dane osobowe,
2) przeciwdziała dostępowi do Systemu informatycznego osobom nieuprawnionym,
3) na wniosek Kierownika komórki organizacyjnej, w której dany Użytkownik pracuje,
przydziela każdemu Użytkownikowi Identyfikator oraz pierwotne Hasło do Systemu
informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także usuwa
konta Użytkowników,
4) nadzoruje działanie mechanizmów Uwierzytelniania Użytkowników oraz dostępu
do Systemu informatycznego,
5) wyrejestrowuje Użytkowników z Systemu informatycznego na polecenie Administratora
danych lub Kierownika komórki organizacyjnej, w której dany Użytkownik pracuje,
6) zmienia w poszczególnych stacjach roboczych Hasła dostępu, ujawniając je wyłącznie
danemu Użytkownikowi oraz Administratorowi danych,
7) w sytuacji stwierdzenia naruszenia Zabezpieczeń systemu informatycznego informuje
Administratora bezpieczeństwa o naruszeniu i współdziała z nim przy usuwaniu skutków
naruszenia,
8) sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń
komputerowych
oraz
magnetycznych
i
optycznych
nośników
danych,
na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich
przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności
do odtwarzania danych w przypadku awarii Systemu informatycznego,
9) dokonuje przeglądów i konserwacji Systemu informatycznego,
10) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów i innych
urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu
bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji,
11) nadzoruje aktualność i działanie oprogramowania antywirusowego.
§7. Kierownik Referatu Spraw Obywatelskich i Ogólnoorganizacyjnych (OEL)
realizuje następujące zadania w zakresie ochrony danych osobowych:
1) prowadzi ewidencję Osób upoważnionych do przetwarzania danych osobowych,
2) pełni nadzór nad przestrzeganiem w Urzędzie Miasta przepisów dotyczących ochrony
danych osobowych,
3) nadzoruje udostępnianie danych osobowych przez Referat OEL osobom, których dane
dotyczą oraz odbiorcom danych i innym upoważnionym podmiotom,
4) współpracuje z kierownikami pozostałych komórek organizacyjnych w przygotowywaniu
wniosków zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi
inną korespondencję z Generalnym Inspektorem Ochrony Danych Osobowych,
5) zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczących
ochrony danych osobowych, przygotowywane przez komórki organizacyjne Urzędu.
§8. Kierownicy komórek organizacyjnych wykonują następujące zadania w zakresie
ochrony danych osobowych:
1) występują z wnioskiem do Administratora danych o nadanie podległemu pracownikowi
upoważnienia do Przetwarzania danych osobowych, wzór wniosku stanowi załącznik nr 1
do Instrukcji,
2) występują z wnioskiem ustnym do Administratora systemu o nadanie Identyfikatora
i przyznanie Hasła Osobie upoważnionej do przetwarzania danych osobowych,
3) występują z wnioskiem o cofnięcie upoważnienia do przetwarzania danych osobowych
i/lub wyrejestrowanie Użytkownika z Systemu informatycznego,
4) nadzorują
udostępnianie
danych
osobowych
osobom,
których
dane
dotyczą
oraz odbiorcom danych i innym upoważnionym podmiotom,
5) przygotowują we współpracy z Kierownikiem OEL wnioski zgłoszeń rejestracyjnych
i aktualizacyjnych zbiorów danych.
§9. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana
przestrzegać następujących zasad:
1) dane osobowe należy przetwarzać wyłącznie w zakresie ustalonym przez Administratora
danych w upoważnieniu oraz w indywidualnym zakresie obowiązków służbowych
i odpowiedzialności, jedynie w celu wykonywania tych obowiązków. Zakres dostępu do
danych przypisany jest do niepowtarzalnego Identyfikatora Użytkownika, niezbędnego
do rozpoczęcia pracy w Systemie informatycznym,
2) należy zachować tajemnicę danych osobowych oraz przestrzegać procedur ich
bezpiecznego przetwarzania, przede wszystkim dokonywać zmiany Hasła dostępu
do zbioru danych osobowych nie rzadziej niż co 30 dni. Przestrzeganie tajemnicy danych
osobowych obowiązuje przez cały okres zatrudnienia, a także po rozwiązaniu stosunku
pracy lub odwołaniu z pełnionej funkcji,
3) należy zapoznać się z przepisami prawa powszechnie obowiązującego w zakresie
ochrony danych osobowych oraz postanowieniami niniejszej Polityki bezpieczeństwa
i Instrukcji oraz złożyć oświadczenie potwierdzające ten fakt,
4) stosować określone przez Administratora danych oraz Administratora bezpieczeństwa
procedury oraz wytyczne mające na celu zgodne z prawem Przetwarzanie danych
osobowych,
5) korzystać z Systemu informatycznego w sposób zgodny ze wskazówkami zawartymi
w instrukcjach obsługi urządzeń wchodzących w skład Systemu informatycznego,
oprogramowania i nośników,
6) zabezpieczać dane przed ich udostępnianiem osobom nieupoważnionym.
§ 10. 1. Administrator danych, Administrator bezpieczeństwa, Administrator systemu,
Kierownicy komórek organizacyjnych, auditorzy wewnętrzni mają prawo wglądu do danych
osobowych przetwarzanych w formie elektronicznej i/lub papierowej z uwagi na
wykonywane czynności służbowe.
2. Pracownicy Urzędu Miasta przetwarzający dane osobowe, w tym dane w Systemie
informatycznym są obowiązani do dołożenia szczególnej staranności w celu ochrony interesu
osób, których te dane dotyczą, a w szczególności przestrzegać zasad, aby dane osobowe były:
1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu
przetworzeniu niezgodnemu z tymi celami;
3) merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane;
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak
w czasie nie dłuższym niż jest to niezbędne do osiągnięcia celu przetwarzania.
§ 11. Obowiązek przestrzegania tajemnicy danych osobowych dotyczy wszystkich
pracowników, którzy mają dostęp do informacji o charakterze Danych osobowych.
§ 12. 1. Przetwarzać dane osobowe może jedynie Osoba upoważniona do przetwarzania
danych osobowych, w tym Użytkownik Systemu informatycznego, a w czasie jej
nieobecności osoba pełniąca zastępstwo, posiadająca upoważnienie wydane przez
Administratora danych.
2. Użytkownicy Systemu informatycznego zostali wyposażeni w indywidualne
Identyfikatory
i
Hasła.
Szczegółowe
procedury
nadawania,
rejestrowania
i wyrejestrowywania użytkowników systemów zostały określone w Instrukcji..
§ 13. 1. W przypadku utworzenia nowego zbioru danych osobowych, wynikającego
z obowiązków nałożonych przepisami Ustawy lub nowymi zadaniami, Kierownik komórki
organizacyjnej lub pracownik na samodzielnym stanowisku pracy jest zobowiązany
do przedłożenia Kierownikowi OEL projektu wniosku o zgłoszeniu zbioru danych
Generalnemu Inspektorowi Danych Osobowych.
2. W przypadku wprowadzenia zmian w istniejących zbiorach danych osobowych, osoby,
o których mowa w ust. 1 niniejszego paragrafu zobowiązane są przygotować projekt wniosku
o zgłoszeniu zmian w zbiorze danych, nie później niż w ciągu 10 dni od daty dokonania
modyfikacji w zbiorze danych.
3. Wnioski o utworzenie nowego zbioru danych osobowych oraz wnioski o zgłoszeniu
zmian w zbiorach już istniejących przesyła się Generalnemu Inspektorowi Danych w formie
elektronicznej i papierowej w terminie do 30 dni od dnia dokonania zmiany w zbiorze
danych.
§ 14. 1. Informacje jednostkowe, wykazy, wydruki imienne, zestawienia zbiorcze bądź
inne dane ze zbiorów danych osobowych, w tym z Systemu informatycznego zawierające
dane osobowe mogą być wykonywane wyłącznie na pisemny umotywowany wniosek, chyba
że przepisy powszechnie obowiązujące stanowią inaczej.
2. Wniosek powinien zawierać informacje, które umożliwiają wyszukanie w zbiorze
danych osobowych, wskazują zakres i przeznaczenie tych danych.
§ 15. 1. Każdej osobie przysługuje prawo do kontroli przetwarzanych danych, które jej
dotyczą.
2. Dane osobowe będące w posiadaniu Urzędu nie będą przetwarzane dla celów
marketingowych.
Rozdział III
Infrastruktura przetwarzania danych osobowych
§16. Tabela Nr 1 przedstawia wykaz budynków i pomieszczeń wchodzących w skład
obszaru przetwarzania danych osobowych.
Tab. nr 1.
Wykaz budynków i pomieszczeń wchodzących w skład obszaru przetwarzania danych osobowych
Adres:
Pomieszczenia:
Urząd Miasta
ul. Poznańska 2,
58-330 Jedlina-Zdrój
Piwnica:
- pokój 5A i B - Referat Gospodarki Miejskiej i Inwestycji,
- pokój 5C - Referat Gospodarki Miejskiej i Inwestycji,
- pokój 5D - Kasa Urzędu,
Parter:
- pokój 2 - Referat Finansów i Budżetu,
- pokój 3 - Referat Spraw Obywatelskich i Ogólnoorganizacyjnych (Ewidencja
Ludności) i Urząd Stanu Cywilnego,
- pokój 4 - Biuro Obsługi Klienta,
- pokój 4 a - Samodzielne stanowisko ds. Zamówień Publicznych, Zaopatrzenia i
Obsługi Urzędu,
- pokój 5 - Referat Gospodarki Miejskiej i Inwestycji,
I piętro:
- pokój 6 - Sekretarz Miasta,
- pokój 6 - Sekretariat (Kadry),
- pokój 7 - Samodzielne stanowisko ds. Mienia Gminy, Obrotu Nieruchomościami i
Rolnictwa,
- pokój 9 - Samodzielne stanowisko ds. obsługi Rady Miasta,
II piętro: serwerownia, Archiwum Urzędu i Archiwum USC
Ośrodek Pomocy
Społecznej
ul. Poznańska 11, 58330 Jedlina-Zdrój
II piętro: pokój 5.
§ 17. Tabela Nr 2 przedstawia Wykaz zbiorów danych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych, zlokalizowanych w Urzędzie Miasta
oraz Ośrodku Pomocy Społecznej w Jedlinie-Zdroju. Zbiory 1 do 10 są przetwarzane
w Systemie informatycznym, natomiast zbiór nr 12 w systemie informatycznym Ośrodka
Pomocy Społecznej.
Tab. nr 2.
L.p.
Zbiór danych
Dostawca oprogramowania/Programy zastosowane Miejsce przetwarzania
do przetwarzania
danych
1.
Ewidencja ludności
Radix/System Ewidencji Ludności ELUD+
Parter, pokój 3 - Ewidencja
Ludności i Urząd Stanu
Cywilnego
2.
Urząd Stanu Cywilnego
w Jedlinie-Zdroju
Biuro Komplex Service/Elektroniczny System
Obsługi Urzędów Stanu Cywilnego esousc
Cywilnego
3.
Podatki (System naliczania podatków Radix /System Naliczania Podatków od Gruntów i
POGRUN i system windykacji
Nieruchomości POGRUN+ i System Windykacji
należności WIP)
Opłat i Podatków WIP+
Parter, pokój 2 - Referat
Finansów i Budżetu
4.
Czynsze
Info Spółka /Czynsze
Parter, pokój 2 - Referat
5.
Dowody osobiste
System Obsługi Obywatela /Dowody osobiste
Cywilnego
6.
Gminna Informacja Oświatowa
Centrum Informatyczne Edukacji /SIO
I piętro, pokój 6 - Pokój
Sekretarza Miasta
Rejestr właścicieli nieruchomości –
Ewidencja zbiorników
bezodpływowych, przydomowych
oczyszczalni ścieków i umów
zawartych na odbieranie odpadów
komunalnych.
7.
Arkusz kalkulacyjny MS Office
I piętro, pokój 5 – Referat
Gospodarki Miejskiej i
Inwestycji
Arkusz kalkulacyjny MS Office
II piętro, pokój 7 –
Samodzielne stanowisko
ds. Mienia Gminy, Obrotu
Nieruchomościami i
Rolnictwa
8.
Wykaz najemców i dzierżawców
nieruchomości gminnych
9.
Mieszkaniowy zasób Gminy JedlinaArkusz kalkulacyjny MS Office
Zdrój
Radix /System Kadry + i System Płace +
I piętro, pokój 5 - Referat
Gospodarki Miejskiej i
Inwestycji
- I piętro, pokój 6 - Referat
Spraw Obywatelskich i
Ogólnoorganizacyjnych
(Kadry)
- Parter, pokój 2 - Referat
(Płace),
- Piwnica, pokój 4a Samodzielne stanowisko
ds. Zamówień Publicznych,
Zaopatrzenia i Obsługi
Urzędu – Kadry
pracowników
zatrudnionych w ramach
prac interwencyjnych i
robót publicznych.
10.
Kadry i Płace
L.p.
Zbiór danych
Programy zastosowane do przetwarzania / Nazwa
zasobu
Miejsce przetwarzania
danych
11.
Stypendia i zasiłki szkolne
Arkusz kalkulacyjny i edytor tekstu MS Office
Budynek Ośrodka Pomocy
Społecznej w JedlinieZdroju, ul. Poznańska 11
Rozdział IV
Struktura zbiorów danych i sposób przepływu danych w systemie informatycznym
§ 18. 1. System informatyczny obsługiwany jest przez jeden serwer sprzętowy
zlokalizowany w serwerowi – na drugim piętrze budynku Urzędu Miasta. System jest
połączony z Internetem poprzez sprzętowy Firewall oraz translację adresów NAT.
W Systemie informatycznym przetwarzane są dane ze wszystkich zbiorów danych
osobowych Administratora danych.
2. Bazy danych, które przetwarzane są za pomocą programów RADIX obsługiwane są
przez Server SQL. Są one powiązane między sobą relacjami tworząc na poziomie serwera
zbiór relacyjnych baz danych. Relacje nie są bezpośrednio widoczne przez Użytkowników
lecz umożliwiają łączenie tabel i przekazywanie danych zgodnie z zakresem przetwarzanych
w danym zbiorze danych osobowych.
3. Pozostałe bazy danych, które przetwarzane są za pomocą arkuszy kalkulacyjnych
MS Office lub korzystające z magazynów sieciowych udostępniane są poprzez Serwer plików
Active Directory, nie są powiązane ze sobą żadnymi relacjami.
§ 19. W budynku Urzędu Miasta występują następujące zbiory danych osobowych:
1) Ewidencja ludności:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. System ewidencji ludności
ELUD+ jest przeznaczony do prowadzenia lokalnej bazy danych mieszkańców
zameldowanych na pobyt stały na terenie Gminy Jedlina-Zdrój, mieszkańców
zameldowanych na pobyt czasowy ponad trzy miesiące oraz byłych mieszkańców,
którzy byli zameldowani na pobyt stały lub czasowy.
b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: imiona i nazwiska,
imiona rodziców, datę urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu,
numer ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, serię i numer
dowodu
osobistego,
płeć,
nazwisko:
z
poprzedniego
małżeństwa,
rodowe,
obywatelstwo, nazwisko rodowe: ojca, matki, numery ewidencyjne PESEL, ojca, matki,
współmałżonka, stan cywilny, wystawcę, datę i numer aktu: urodzenia, małżeństwa,
zgonu, stosunek do powszechnego obowiązku obrony (stopień wojskowy, numer
i wystawca wojskowego dokumentu tożsamości), adresy zameldowania.
2) Urząd Stanu Cywilnego w Jedlinie-Zdroju:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Elektroniczny System
Obsługi Urzędów Stanu Cywilnego esousc jest to system służący do obsługi bazy
danych aktów stanu cywilnego. System realizuje swoje zadania poprzez możliwość
wprowadzania projektów aktów, ich edycję oraz zatwierdzanie, wydruki aktów oraz
prowadzenie elektronicznych ksiąg bieżących oraz archiwalnych,
b) zakres danych systemu esousc obejmuje między innymi: nazwiska i imiona, imiona
rodziców, data i czas urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu,
nazwisko rodowe współmałżonka, nazwisko rodowe matki i ojca kobiety, nazwisko
rodowe matki i ojca mężczyzny, płeć, nazwisko i imię: ojca, matki, współmałżonka,
data i numer aktu: urodzenia, małżeństwa, zgonu, nazwisko: panieńskie, z poprzedniego
małżeństwa, rodowe, przynależność wyznaniową, orzeczeń wydanych w postępowaniu
sądowym lub administracyjnym.
3) Podatki (System naliczania podatków POGRUN i system windykacji należności WIP:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Obsługa bazy danych
realizowana jest za pomocą Systemu Naliczania Podatków od Gruntów i Nieruchomości
POGRUN+ oraz Systemu Windykacji Opłat i Podatków WIP+. Systemy te
współpracują na zasadzie relacyjnych baz danych i umożliwiają rejestrowanie
płatników, naliczanie podatków, drukowanie decyzji i zaświadczeń, tworzenie
zestawień i analiz a także prowadzenie księgowości podatkowej i związanej z nią
ewidencji podatników oraz kontrolę terminowości wpłat.
b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: nazwiska i imiona,
imiona rodziców, datę urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny
PESEL, Numer Identyfikacji Podatkowej, numer księgi wieczystej, położenie
nieruchomości (adres).
4) Czynsze:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Obsługa bazy danych jest
realizowana za pomocą programu Czynsze dostarczonego przez firmę Info-Spółka.
Podstawowe funkcje programu to prowadzenie kartoteki wymiarowej zawierającej dane
potrzebne do naliczeń, wyszukiwanie oraz przeglądanie kartoteki, naliczanie czynszów
i opłat, drukowanie rachunków oraz sporządzanie wykazów i zestawień.
b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: nazwiska i imiona, adres
zamieszkania, Numer Identyfikacji Podatkowej.
5) Dowody osobiste:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Baza danych obsługiwana
przez program SOO dostarczony przez Centrum Personalizacji Dokumentów (CPD)
Ministerstwa Spraw Wewnętrznych i Administracji. Program pozwala na rejestrację
wniosków o wydanie dowodu osobistego i przesłanie ich metodą teletransmisji do CPD.
numer ewidencyjny PESEL, seria i numer dowodu osobistego, nazwisko rodowe,
nazwisko rodowe matki, nr aktu urodzenia, nr aktu małżeństwa, płeć, wizerunek,
rysopis, (wzrost, kolor oczu, znaki szczególne), inny posiadany dokument tożsamości.
6) Gminna Informacja Oświatowa:
a) zbiór prowadzony w formie elektronicznej. Informacje zawarte w bazie danych dotyczą:
bazy, infrastruktury i wyposażenia dydaktycznego w każdej placówce oświatowej
w gminie, kadry pedagogicznej z podziałem na stopień awansu zawodowego, stażu
pracy i specjalizacji nauczycieli, ilości uczniów z podziałem na ilość oddziałów, płeć,
ilość, a także wysokości stypendiów, pomocy rzeczowej, wyprawki itp., wypadków
uczniów, wysokości wynagrodzeń nauczycieli,
b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: datę urodzenia, numer
ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, stanowisko (funkcja), płeć,
wynagrodzenie.
7) Rejestr właścicieli nieruchomości – Ewidencja zbiorników bezodpływowych,
przydomowych oczyszczalni ścieków i umów zawartych na odbieranie odpadów
komunalnych:
a) zbiór prowadzony w formie elektronicznej. Rejestr właścicieli nieruchomości –
Ewidencja zbiorników bezodpływowych, przydomowych oczyszczalni ścieków i umów
zawartych na odbieranie odpadów komunalnych jest to baza danych obsługiwana przez
arkusz kalkulacyjny programu Microsoft Office.
b) zakres przetwarzanych w zbiorze danych o osobach obejmuje: imiona i nazwiska, adres
zamieszkania lub pobytu.
8) Wykaz najemców i dzierżawców nieruchomości gminnych:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Zbiór zawiera wykaz
najemców i dzierżawców nieruchomości gminnych, takich jak ogrody przydomowe,
garaże, komórki, lokale użytkowe. Baza danych jest prowadzona w arkuszu
kalkulacyjnym Microsoft Office.
9) Mieszkaniowy zasób Gminy Jedlina-Zdrój:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Zbiór zawiera wykaz osób
zajmujących lokale należące do mieszkaniowego zasobu gminy. Baza danych jest
prowadzona w arkuszu kalkulacyjnym Microsoft Office.
10) Kadry i płace:
a) zbiór prowadzony w formie elektronicznej oraz papierowej, zawiera dane osób
zatrudnionych w Urzędzie Miasta Jedlina-Zdrój. Zbiór przetwarzany za pomocą
programów dostarczonych przez firmę Radix – Płace+ oraz Kadry+.
b) zakres przetwarzanych w zbiorze danych o osobach obejmuje między innymi: imiona
i nazwiska, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, numer
identyfikacji podatkowej NIP, okres i formę zatrudnienia, dane dotyczące
wynagrodzenia, ewidencję czasu pracy i nieobecności, dane ubezpieczeniowe ZUS.
§ 20. Zgodnie z art. 31 Ustawy, Administrator danych powierzył Przetwarzanie danych
osobowych Kierownikowi Ośrodka Pomocy Społecznej w Jedlinie-Zdroju, ul. Piastowska 11,
58-330 Jedlina-Zdrój w drodze umowy zawartej na piśmie. W budynku Ośrodka Pomocy
Społecznej
znajdują
się
następujące
zbiory
danych
osobowych
powierzone
do przetwarzania:
1) Stypendia i zasiłki szkolne:
a) zbiór prowadzony w formie elektronicznej oraz papierowej. Baza danych jest
prowadzona w arkuszu kalkulacyjnym i edytorze tekstu Microsoft Office. Zbiór
zawiera wykaz uczniów, którym udzielono pomocy materialnej w formie stypendiów
i/lub zasiłków szkolnych.
numer ewidencyjny PESEL, Numer Identyfikacji Podatkowej, miejsce pracy, seria
i numer dowodu osobistego, numer telefonu, nazwiska rodziców, zaświadczenia
o zarobkach z zakładu pracy, bądź z właściwego Urzędu Skarbowego w przypadku
prowadzenia
działalności
gospodarczej,
ostatni
odcinek
renty,
emerytury,
zaświadczenie z właściwego Urzędu Pracy w przypadku osób bezrobotnych,
oświadczenie o wielkości prowadzonego gospodarstwa rolnego przez członów
rodziny, zaświadczenie o korzystaniu ze świadczeń pieniężnych z pomocy społecznej,
postanowienie sądu o przyznanych alimentach, zaświadczenie o otrzymywaniu
stypendium o charakterze socjalnym ze środków publicznych, orzeczenia o rozwodzie,
orzeczenia o występującej niepełnosprawności.
Rozdział V
Organizacyjne i fizyczne sposoby zabezpieczenia danych osobowych
§ 21. 1. Budynki i pomieszczenia, w których są Przetwarzane dane osobowe, powinny być
zamykane na czas nieobecności w nich osób upoważnionych do przetwarzaniu danych,
w sposób uniemożliwiający dostęp osobom trzecim.
2. Po godzinach pracy Administrator danych zapewnia monitoring oraz ochronę
pomieszczeń, gdzie są Przetwarzane dane osobowe.
3. Codzienną kontrolę w zakresie ochrony danych osobowych sprawuje Osoba
upoważniona do przetwarzania danych osobowych, w tym Użytkownik.
4. Kierownicy komórek organizacyjnych odpowiadają za zabezpieczenie pomieszczeń
biurowych, gdzie są Przetwarzane dane osobowe oraz sprawują nadzór nad przestrzeganiem
zasad ochrony danych osobowych w Komórce organizacyjnej.
5. Administrator danych, Administrator bezpieczeństwa, Administrator systemu realizują
zadania w zakresie bezpieczeństwa
danych określone w rozdziale II niniejszej Polityki
bezpieczeństwa.
§ 22. Przesyłki zawierające dane osobowe powinny być przesłane listem poleconym
ze zwrotnym poświadczeniem odbioru.
§ 23. Na czas remontu pomieszczeń oraz w czasie innych okoliczności zakłócających
normalny tryb pracy, Osoby upoważnione do przetwarzania danych osobowych, w tym
Użytkownicy obowiązani są do należytego zabezpieczenia dokumentów i sprzętu.
§ 24. Osoby przebywające na praktyce zawodowej, na stażu lub na przygotowaniu
zawodowym podlegają wyznaczonemu przez Burmistrza Miasta opiekunowi, który ponosi
odpowiedzialność za zorganizowanie pracy tym osobom z zachowaniem pełnego
bezpieczeństwa w zakresie dostępu do danych osobowych osób nieuprawnionych.
§25.1. Administrator bezpieczeństwa przeprowadza szkolenia w zakresie ochrony danych
osobowych według następujących zasad:
1) każda osoba, która ma zostać upoważniona do przetwarzania danych osobowych musi
zostać przeszkolona,
2) szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania danych
osobowych przeprowadzane są w przypadku każdej zmiany zasad lub procedur ochrony
danych osobowych,
3) przeprowadza się szkolenia dla osób innych niż upoważnione do przetwarzania danych,
jeśli pełnione przez nie funkcje wiążą się z zabezpieczeniem danych osobowych.
2. Tematyka szkoleń obejmuje:
1) przepisy
i
procedury
dotyczące
ochrony
danych
osobowych,
sporządzania
i przechowywania ich kopii, niszczenia wydruków i zapisów na nośnikach zawierających
dane osobowe,
2) sposoby ochrony danych przed osobami postronnymi i procedury udostępniania danych
osobom, których one dotyczą,
3) obowiązki Osób upoważnionych do przetwarzania danych osobowych
4) odpowiedzialność za naruszenie obowiązków z zakresu ochrony danych osobowych,
5) zasady i procedury określone w Polityce bezpieczeństwa i Instrukcji.
Rozdział VI
Zabezpieczenie systemu informatycznego, sprzętu i nośników,
§26. 1. Serwer jest zlokalizowany na drugim piętrze budynku Urzędu Miasta, w serwerowi
- odrębnym pomieszczeniu, zamykanym drzwiami ognioodpornymi. W serwerowni może
przebywać wyłącznie Administrator systemu, Administrator danych i Administrator
bezpieczeństwa, a inne osoby upoważnione do przetwarzania danych osobowych, tylko
w obecności którejkolwiek z tych osób.
2. Administrator systemu na bieżąco instruuje Użytkowników, jak prawidłowo
eksploatować System informatyczny.
3. Wszystkie urządzenia Systemu informatycznego, które uczestniczą w procesach
Przetwarzania danych osobowych, są zasilane za pośrednictwem zasilaczy awaryjnych (UPS).
4. Osoba przetwarzająca dane osobowe, która nie posiada zasilacza awaryjnego (UPS-a)
na swoim stanowisku pracy lub jest on uszkodzony i działa nieprawidłowo, zobowiązana jest
poinformować o tym niezwłocznie Administratora bezpieczeństwa.
§27. 1. Naprawa oraz bieżąca konserwacja sprzętu i oprogramowania wykorzystywanego
przez Administratora danych do Przetwarzania danych osobowych wykonywana jest
osobiście przez Administratora systemu. W uzasadnionych przypadkach konserwacja
i naprawa wykonywana jest przez serwisanta w miejscu korzystania ze sprzętu. W przypadku
braku możliwości wykonania konserwacji i naprawy w miejscu korzystania ze sprzętu, należy
zawrzeć z serwisantem umowę zobowiązującą do zachowania w tajemnicy danych
osobowych, które mogą być przetwarzane w trakcie realizacji usługi serwisowej (konserwacji
i naprawy), określającą kary umowne za naruszenie bezpieczeństwa danych.
2. Dopuszcza się konserwowanie i naprawę sprzętu poza siedzibą Administratora danych
jedynie po trwałym usunięciu danych osobowych. Zużyty sprzęt wykorzystywany
do Przetwarzania danych osobowych może być przeznaczony do likwidacji dopiero
po trwałym usunięciu danych, a urządzenia uszkodzone mogą być przekazywane w celu
utylizacji właściwym podmiotom, posiadającym zezwolenia w tym zakresie.
3. Wszystkie awarie, działania konserwacyjne i naprawy Systemu informatycznego są
opisywane w stosownych protokołach, podpisywanych przez osoby w tych działaniach
uczestniczące, a także przez Administratora bezpieczeństwa.
§28. Niezwykle ważne dla bezpieczeństwa danych jest przestrzeganie przez Osobę
upoważnioną do przetwarzania danych osobowych, w tym Użytkownika, następujących zasad
zabezpieczenia i przetwarzania danych:
1) ekrany komputerów powinny być tak ustawione, by osoby niepowołane nie mogły
widzieć ich zawartości(nie należy zwłaszcza ustawiać ich naprzeciwko wejścia do
pomieszczenia),
2) zabrania się pozostawiania bez kontroli dokumentów, nośników danych i sprzętu
komputerowego, w tym w szczególności podczas transportu i ich przechowywania poza
Urzędem lub przy czasowej nieobecności na stanowisku pracy
3) nakazuje się dbać o prawidłową wentylację komputerów (nie można zasłaniać kratek
wentylatorów meblami, zasłonami lub stawiać komputerów tuż przy ścianie),
4) zabrania się podłączania do listew podtrzymujących napięcie przeznaczonych
dla sprzętu komputerowego innych urządzeń, szczególnie tych łatwo powodujących
spięcia (np. grzejniki, czajniki, wentylatory),
5) zobowiązuje się do bezpiecznego użytkowania i przechowywania akt, dyskietek, pamięci
przenośnych i komputerów przenośnych,
6) zabrania
się
zapisywania
Hasła
wymaganego
do
uwierzytelnienia
się
w systemie na papierze lub innym nośniku,
7) z wyłączeniem Administratora systemu, Administratora danych oraz Administratora
bezpieczeństwa, zabrania się samodzielnej ingerencji w oprogramowanie i konfigurację
powierzonego sprzętu (szczególnie komputerów przenośnych),
8) obowiązkiem Osoby upoważnionej do przetwarzania danych osobowych, w tym
Użytkownika jest przestrzeganie swoich uprawnień tj. właściwego korzystania z baz
danych, używania tylko własnego Identyfikatora i Hasła oraz stosowania się do zaleceń
Administratora bezpieczeństwa, Administratora danych oraz Administratora systemu,
9) opuszczenie stanowiska pracy może nastąpić po wylogowaniu lub aktywizowaniu
wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób,
10) dopuszcza się kopiowanie tylko jednostkowych danych osobowych (pojedynczych
plików), jeżeli zezwalają na to przepisy prawa powszechnie obowiązującego lub wynika
to z zakresu obowiązków służbowych,
11) dopuszcza
się
udostępnianie
danych
osobowych
w
formie
elektronicznej,
w przypadkach przewidzianych prawem powszechnie obowiązującym oraz wyłącznie w
postaci zaszyfrowanej,
12) zabrania się wynoszenia poza siedzibę Urzędu Miasta na jakichkolwiek nośnikach całych
zbiorów danych oraz obszernych z nich wypisów, nawet w postaci zaszyfrowanej,
13) kopie robocze danych powinny być wykonywane tak często, aby zapobiec ich utracie,
Użytkownika jest niszczenie w niszczarce lub chowanie do szaf zamykanych na klucz
wszelkich wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy,
po zakończeniu dnia pracy,
15) zabrania się pozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane
są dane osobowe, bez obecności Osoby upoważnionej do przetwarzania danych
osobowych,
Użytkownika jest zachowanie w tajemnicy danych, w tym także wobec najbliższych,
Użytkownika jest chowanie do zamykanych na klucz szaf wszelkich akt zawierających
dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy,
umieszczanie kluczy do szaf w ustalonym, przeznaczonym do tego miejscu, zamykanie
okien w razie opadów lub innych zjawisk atmosferycznych, które mogą zagrozić
bezpieczeństwu danych osobowych, a także w razie opuszczania pomieszczenia, w tym
zwłaszcza po zakończeniu dnia pracy, zamykanie drzwi pokoju na klucz po zakończeniu
pracy w danym dniu.
§ 29. Przy postępowaniu z elektronicznymi nośnikami danych oraz wydrukami, Osoby
upoważnione do przetwarzania danych osobowych powinny pamiętać zwłaszcza, że:
1) dane z nośników przenośnych niebędących kopiami zapasowymi po wprowadzeniu do
Systemu informatycznego powinny być trwale usuwane z tych nośników przez fizyczne
zniszczenie (np. płyty CD-ROM) lub usunięcie danych programem trwale usuwającym
pliki,
2) w uzasadnionych przypadkach, jeżeli zezwala na to przepis prawa lub wynika to
z zakresu obowiązków służbowych, jednostkowe dane osobowe (a nie całe zbiory, czy
obszerne wypisy ze zbiorów) mogą być zapisane i przechowywane na specjalnie
oznaczonych nośnikach,
3) po zakończeniu pracy nośniki zawierające dane osobowe muszą być przechowywane
w zamkniętych na klucz szafach, nieudostępnianych osobom postronnym i nie mogą być
wynoszone poza siedzibę Urzędu Miasta. Po ustaniu przydatności tych danych należy je
trwale usunąć z nośnika, a także, w miarę potrzeby, zniszczyć nośnik,
4) uszkodzone nośniki, przed ich wyrzuceniem, należy zniszczyć fizycznie w niszczarce
służącej do niszczenia nośników,
5) urządzania, dyski i inne elektroniczne nośniki informacji zawierające dane osobowe
przeznaczone do:
a) likwidacji - pozbawia się zapisu, a jeżeli to nie jest możliwe, uszkadza się w sposób
uniemożliwiający odczytanie,
b) naprawy - pozbawia się zapisu, a jeżeli to nie jest możliwe, naprawia się pod
nadzorem Administratora systemu w siedzibie Urzędu Miasta, a poza tym miejscem
wyłącznie w przypadku podpisania umowy o zachowaniu w tajemnicy danych
osobowych zgodnie z § 27 niniejszej Polityki bezpieczeństwa.
6) wszelkie wydruki zawierające dane osobowe przechowywane są w miejscu
uniemożliwiającym ich odczyt przez osoby nieuprawnione, w zamkniętych szafach
oraz biurkach i nie mogą być wynoszone poza siedzibę Urzędu Miasta,
7) o ile to możliwe, nie należy przechowywać wydruków, o których mowa
w poprzedzającym punkcie, w czasie pracy na biurku,
8) po wykorzystaniu, wydruki zawierające dane osobowe należy codziennie, przed
zakończeniem pracy, zniszczyć w niszczarce, chyba że z odrębnych przepisów wynika
obowiązek ich przechowywania,
9) zasady postępowania z nieaktualnymi kopiami zapasowymi zbiorów danych i programów
służących do przetwarzania danych osobowych zostały opisane w Instrukcji.
Rozdział VII
Wymiana danych w systemie informatycznym i ich bezpieczeństwo
§30. 1. Bezpieczeństwo danych, a w szczególności ich integralność i dostępność, w dużym
stopniu zależy od zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych
zasobach serwera. Pozwala to – przynajmniej w pewnym stopniu – uniknąć wielokrotnego
wprowadzania tych samych danych do Systemu informatycznego.
2. Kopie zapasowe baz danych oraz innych zasobów serwera w Systemie informatycznym
w architekturze klient – serwer wykonywane są po stronie serwera. Sposób wykonywania
kopii zapasowych opisany jest w Rozdziale V Instrukcji.
3. Inne wymogi bezpieczeństwa systemowego są określone w Instrukcji oraz instrukcjach
obsługi producentów sprzętu i używanych programów, regulaminie korzystania ze sprzętu
komputerowego i oprogramowania oraz w regulaminie korzystania z poczty elektronicznej
w Urzędzie Miasta.
4. Drogą elektroniczną można przesyłać tylko jednostkowe dane osobowe, a nie całe bazy
lub obszerne z nich wypisy i tylko w postaci zaszyfrowanej, jeżeli wynika to z zakresu
obowiązków służbowych lub zezwalają na to przepisy prawa..
§31. 1. Wszystkie komputery Administratora danych (w tym także przenośne) chronione
są przed atakami z sieci zewnętrznej środkami, w tym oprogramowaniem, dobranymi przez
Administratora systemu. Ważne jest, by użytkownicy zwracali uwagę na to, czy urządzenie,
na którym pracują, domaga się aktualizacji tych zabezpieczeń. O wszystkich takich
przypadkach należy, w miarę potrzeby, niezwłocznie informować Administratora systemu
oraz umożliwić mu monitorowanie oraz aktualizację środków (urządzeń, programów)
bezpieczeństwa.
2. Administrator systemu dobiera elektroniczne środki ochrony przed atakami z sieci
stosownie do pojawiania się nowych zagrożeń (tzw. „wirusy”, „robaki”, „trojany”, inne
nieuprawnione
ingerencje w System informatyczny), a także stosownie do rozbudowy
Systemu informatycznego i powiększania bazy danych. Jednocześnie należy zwracać uwagę,
czy rozwijający się system zabezpieczeń sam nie wywołuje nowych zagrożeń.
3. Sposób zabezpieczenia Systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu opisany jest
w Rozdziale VI Instrukcji.
§ 32. 1. W przypadku pojawienia się zagrożeń wymienionych w § 31 ust. 1 niniejszej
Polityki bezpieczeństwa Administrator systemu sprawdza System informatyczny po usunięciu
tych zagrożeń oraz przywraca go do pełnej funkcjonalności.
2.
Administrator
systemu,
po
dokonanej
naprawie
lub
konserwacji
Systemu
informatycznego przeprowadza proces jego sprawdzenia pod kątem występowania wirusów.
Rozdział VIII
Kontrola dostępu do systemu i sieci
§33. 1. Administrator systemu uwierzytelnia się w Systemie informatycznym za pomocą
systemu Identyfikatorów i Haseł. Ze względów bezpieczeństwa Identyfikatory i Hasła
Administratora systemu są znane wyłącznie Administratorowi systemu. Identyfikatory i hasła
administratora systemu przechowywane są w zamkniętej kopercie w sejfie ognioodpornym,
do którego ma dostęp wyłącznie Administrator danych i Administrator systemu.
2. Poszczególnym Użytkownikom przydziela się konta opatrzone niepowtarzalnym
Identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich
przetwarzania. Administrator systemu na polecenie Kierownika komórki organizacyjnej,
w której dany Użytkownik pracuje, przydziela pracownikowi upoważnionemu do
przetwarzania danych konto w Systemie informatycznym, dostępne po wprowadzeniu
prawidłowego Identyfikatora i uwierzytelnieniu Hasłem.
3. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem opisane są w Rozdziale III Instrukcji.
4. Do zagwarantowania poufności i integralności danych osobowych konieczne jest
przestrzeganie przez Użytkowników swoich uprawnień w systemie, tj. właściwego
korzystania z baz danych, używania tylko własnego Identyfikatora i Hasła oraz stosowania się
do zaleceń Administratora bezpieczeństwa, Administratora systemów oraz Administratora
danych.
§34. 1.System informatyczny posiada szerokopasmowe połączenie z Internetem.
2. W celu separacji sieci lokalnej od sieci publicznej wykorzystuje się centralną zaporę
sieciową oraz translację adresów NAT.
3. Korzystanie z zasobów sieci lokalnej jest możliwe tylko w zakresie uprawnień
przypisanych przez Administratora systemu.
Rozdział IX
Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu
informatycznego
§ 35. Za naruszenie bezpieczeństwa danych osobowych uznaje się w szczególności:
1) brak możliwości fizycznego dostępu do danych, np. zgubione klucze do pomieszczeń,
szaf lub mebli biurowych, w których przechowywane są dane lub zniszczenia mebli,
sprzętu komputerowego lub nośników informacji albo ich kradzież,
2) brak możliwości dostępu do baz danych osobowych – gdy zbiór istnieje lecz jest problem
z otworzeniem zbioru;
3) modyfikację zawartości zbioru danych;
4) podejrzenie lub stwierdzenie faktu nieuprawnionego dostępu do bazy danych lub
pomieszczenia, w którym ten zbiór jest przetwarzany;
5) nieprawidłowe funkcjonowanie systemu, a w szczególności pojawianie się komunikatów
o błędach w wykonywaniu operacji;
6) zniszczenie lub stwierdzenie próby zniszczenia, w sposób nieautoryzowany danych ze
zbioru prowadzonego w formie papierowej lub przetwarzanych w systemach
informatycznych;
7) zmianę lub utratę danych znajdujących się na kopiach zapasowych,
8) nieskuteczne zniszczenie nośników informacji występujących zarówno w formie
wydruków papierowych, jak i nośników magnetycznych, które umożliwia ich ponowny
odczyt przez osoby nieuprawnione;
9) próbę nielegalnego logowania się do systemu lub włamania do systemu informatycznego.
§ 36. 1. Użytkownik zobowiązany jest zawiadomić Administratora bezpieczeństwa
o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa danych osobowych, tym
Systemu informatycznego, a w szczególności o:
1) naruszeniu Hasła dostępu i Identyfikatora (system nie reaguje na Hasło lub je ignoruje
bądź można przetwarzać dane bez wprowadzenia Hasła),
2) naruszeniu zawartości zbioru,
3) częściowym lub całkowitym braku danych albo dostępie do danych w zbiorze w zakresie
szerszym niż wynikający z przyznanych uprawnień,
4) braku dostępu do właściwej aplikacji lub zmianie zakresu wyznaczonego dostępu do
zasobów serwera,
5) wykryciu tzw. wirusa komputerowego,
6) zauważeniu elektronicznych śladów próby włamania do Systemu informatycznego,
7) znacznym spowolnieniu działania Systemu informatycznego,
8) podejrzeniu kradzieży sprzętu komputerowego, elektronicznych nośników informacji lub
dokumentów zawierających dane osobowe,
9) naruszeniu technicznego stanu urządzeń lub zmianie położenia sprzętu komputerowego,
10) zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych
szaf,
11) wystąpieniu zdarzenia losowego (np. zalanie pożar),
2. Do czasu przybycia na miejsce Administratora bezpieczeństwa należy:
1) o ile istnieje taka możliwość, niezwłocznie podjąć czynności niezbędne dla
powstrzymania niepożądanych skutków zaistniałego zdarzenia, a następnie uwzględnić
w działaniu również ustalenie jego przyczyn lub sprawców,
2) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu
zabezpieczenia miejsca zdarzenia,
3) zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się
z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę,
4) zastosować się do instrukcji i regulaminów lub dokumentacji aplikacji, jeśli odnoszą się
one do zaistniałego przypadku,
5) przygotować opis zdarzenia,
6) nie opuszczać, bez uzasadnionej przyczyny, miejsca zdarzenia do czasu przybycia
Administratora bezpieczeństwa.
3. Administrator bezpieczeństwa po otrzymaniu zawiadomienia, o którym mowa w ust. 1
niniejszego paragrafu, powinien niezwłocznie podjąć działania mające na celu analizę
i usunięcie zaistniałego zagrożenia, a w szczególności:
1) przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia
ochrony danych osobowych, w tym dokonać oceny stanu pomieszczeń, urządzeń
wykorzystywanych do przetwarzania danych osobowych, działania programu służącego
do przetwarzania danych i zawartości zbioru danych,
2) zabezpieczyć dowody wskazujące na naruszenie Systemu informatycznego,
3) dokonać analizy relacji osoby, która dokonała powiadomienia,
4) zapisać wszelkie informacje związane z danym zdarzeniem,
5) podjąć działania mające na celu zidentyfikowanie rodzaju zaistniałego zdarzenia,
sprawcy, miejsca, czasu i sposobu naruszenia ochrony oraz ocenę skali zniszczeń,
6) w zależności od zakresu naruszenia ochrony, zaproponować działania naprawcze i wydać
użytkownikowi stosowne polecenia oraz wskazówki odnośnie obsługi urządzeń,
7) w przypadku stwierdzenia faktycznego naruszenia bezpieczeństwa danych, w tym
Systemu informatycznego sporządzić raport naruszenia bezpieczeństwa danych
osobowych, a następnie niezwłocznie przekazać jego kopię Administratorowi danych.
4. Raport, o którym mowa w ust 3 pkt 7) niniejszego paragrafu, powinien zawierać
w szczególności:
1) dane osoby stwierdzającej naruszenie,
2) datę, godzinę i miejsce naruszenia,
3) czas powiadomienia o zaistniałym zdarzeniu, opis czynności zmierzających do usunięcia
zidentyfikowanego zagrożenia,
4) wnioski do realizacji.
5. Administrator bezpieczeństwa może zarządzić, w razie potrzeby, odłączenie części
Systemu informatycznego dotkniętej ww. naruszeniem od pozostałej jego części.
6. Administrator bezpieczeństwa jest zobowiązany niezwłocznie przywrócić normalny stan
funkcjonowania Systemu informatycznego, przy czym w przypadku uszkodzenia bazy
danych, niezbędne jest jej odtworzenie z ostatniej kopii awaryjnej z zachowaniem wszelkich
środków ostrożności, mających na celu uniknięcie ponownego uzyskania dostępu tą samą
drogą przez osobę niepowołaną.
7. W razie odtwarzania danych z kopii zapasowych Administrator systemu obowiązany jest
upewnić się, że odtwarzane dane zapisane zostały przed wystąpieniem ww. zdarzenia
(dotyczy to zwłaszcza przypadków tzw. infekcji wirusowej).
8. Administrator bezpieczeństwa wydaje zgodę na ponowne uruchomienie komputera lub
innych urządzeń oraz na kontynuowanie przetwarzania danych osobowych.
9. Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić
szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych
oraz
przedsięwziąć
kroki
mające
na
celu
wyeliminowanie
podobnych
zdarzeń
w przyszłości.
§ 37.1. Administrator danych, po zapoznaniu się z raportem, o którym mowa w § 36 ust. 4,
niniejszej Polityki bezpieczeństwa podejmuje decyzję o dalszym trybie postępowania,
powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności
zapewniających bezpieczeństwo Systemu informatycznego, bądź zastosowaniu środków
ochrony fizycznej.
2. Administrator systemu zobowiązany jest do informowania Administratora danych
o awariach Systemu informatycznego, zauważonych przypadkach naruszenia niniejszej
Polityki bezpieczeństwa i Instrukcji przez Użytkowników, a zwłaszcza o przypadkach
posługiwania się przez Użytkowników nieautoryzowanymi programami, nieprzestrzegania
zasad używania oprogramowania antywirusowego, niewłaściwego wykorzystania sprzętu
komputerowego i oprogramowania lub przetwarzania danych w sposób niezgodny
z procedurami ochrony danych osobowych.
Rozdział X
Postanowienia końcowe
§38.1.
Użytkownik
upoważniony
do
przetwarzania
danych
osobowych
w formie elektronicznej i/lub papierowej zobowiązany jest do zapoznania się z niniejszą
Polityką bezpieczeństwa, Instrukcją i stosowania przepisów w niej zawartych na swoim
stanowisku pracy.
2. Naruszenie przez Użytkownika postanowień niniejszej Polityki bezpieczeństwa stanowi
podstawę do pociągnięcia go do odpowiedzialności porządkowej lub dyscyplinarnej,
odszkodowawczej i karnej uregulowanej odrębnymi przepisami prawa.
3. W sprawach nie uregulowanych niniejszym zarządzeniem zastosowanie mają przepisy
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz.
926 ze zmianami) i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024).
§ 39. Traci moc Zarządzenie Nr 208/2005 Burmistrza Miasta Jedlina-Zdrój z dnia 12
grudnia 2005 w sprawie wdrożenia Polityki Bezpieczeństwa regulującej zasady ochrony
danych osobowych w Urzędzie Miasta w Jedlinie-Zdroju.
§40. Zarządzenie wchodzi w życie z dniem podpisania.
Uzasadnienie
Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zmianami) Administrator danych osobowych
prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na dokumentację
tę składa się Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym.
Niniejsza Polityka bezpieczeństwa została opracowana zgodnie z wymaganiami
§ 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
Obowiązujące dotychczas Zarządzenie Nr 208/2005 Burmistrza Miasta Jedlina-Zdrój
z dnia 12 grudnia 2005 w sprawie wdrożenia Polityki Bezpieczeństwa regulującej zasady
ochrony danych osobowych w Urzędzie Miasta w Jedlinie-Zdroju wymagało aktualizacji,
dlatego też wydanie niniejszego zarządzenia jest uzasadnione.

w sprawie wprowadzenia Polityki Bezpieczeństwa

Transkrypt

Podobne dokumenty

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA

Metryka ZBIÓR DANYCH KLIENTÓW v 1.0

Administrator sieci

Jak usunąć konto super administratora?

Instrukcja Zarządzania Systemem Informatycznym

Załącznik nr 2

Nr zbioru 24

Nr zbioru 27

Rozporządzenie Ministra Spraw Wewnętrznych i

Zaproszenie na SZKOLENIE ZARZĄDCA NIERUCHOMOŚCI