plik źródłowy - Starostwo Powiatowe w Kościerzynie

Zarządzenie nr .~~2015
Starosty Ko~cierskiego
· ') Q..lU.Cl.VIiOv 2015
z d n1a
11.4 •;-············
r.
w
sprawie
zabezpieczenia
Powiatowym w Kościerzynie.
danych
osobowych
w
Starostwie.
Na podstawie art. 35 ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorząd z ie powiatowym
(t.j. Dz. U. z 2015 r. , poz. 1445 ze zm. ) oraz 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (t.j. Dz . U. z 2014 r. po z . 1182 ze z m.),
zarządzam,
co
następuje:
§ 1.
Ustalam zasady postępowania w sprawie organizacji zabezpieczenia danych osobowych
przetwarzanych w Starostwie Powiatowym w Kościerzynie.
§ 2.
Ilekroć
1)
2)
3)
4)
5)
6)
7)
w zarządzeniu mowa jest o:
ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych ,
rozporządzeniu - rozumie się przez to
rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych ,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych ,
Administratorze Danych Osobowych - rozumie się przez to Starostę
Kościerskiego , zwanego dalej "ADO";
Administratorze Bezpieczeń stwa Informacji - rozumie się przez to pracownika
Biura Informatycznego wyznaczonego w drodze zarządzenia do nadzorowania
oraz wdrażania prawnie określonych zasad bezpieczeństwa przetwarzania danych
osobowych oraz wymagań zapewniających ochronę przetwarzanych danych
osobowych , zwanego dalej "ABI ",
Zastępcą Administratora B ezpieczeństwa Informacji - rozumie si ę przez to
pracownikal-ów urzędu wyznaczonego/-ych w drodze zarządzenia do współpracy
z ABI w zakresie nadzoru oraz przestrzegania prawnie określonych zasad
bezpieczeństwa przetwarzania danych osobowych oraz wymagań zapewniających
ochronę przetwarzanych danych osobowych , zwanego/-ych dalej " Zastępcą " ,
zbiorze danych osobowych - rozumie się przez to każdy posiadaj ą cy strukt urę
zestaw danych o charakterze osobowym , dostępnych wg określonych kryteriów,
niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie ,
przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych , takie jak gromadzenie , utrwalanie, przechowywanie,
opracowywanie, zmienianie , udostępnianie i usuwanie a zwłaszcza te, które
wykonuje się w systemach informatycznych ,
8) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą
urządzeń ,
programów, procedury, przetwarzania informacji
narzędzi
programowych zastosowanych w celu przetwarzania danych ,
9) urzędzie- rozumie się przez to Starostwo Powiatowe w Kościerzynie ,
1O) osobie upoważnionej do przetwarzan ia danych- rozumie się przez to osobę
upoważnioną
do
przetwarzania
danych
w formie
teleinformatycznej
(przy
wykorzystaniu
systemu
informatycznego)
lub
manualnej
(przy
wykorzystywaniu zewnętrznych nośników danych) .
§3.
Naczelnicy oraz pracownicy zatrudnieni na samodzielnych stanowiskach realizują według
dla innych podmiotów następujące zadania :
1) prowadzą własne wykazy zbiorów danych osobowych , zgodnie ze wzorem
określonym przez ADO ,
2) prowadzą własną ewidencję osób upoważnionych do przetwarzania danych
osobowych , zgodnie ze wzorem stanowiącym załącznik Nr 1 do niniejszego
właściwości, niezastrzeżone
zarządzenia,
3)
4)
5)
6)
7)
przekazują ABI lub Zastępcy ABI dane konieczne do opracowania dokumentów o
których mowa w § 3 rozporządzenia , w terminach przez niego ustalonych ,
aktualizują
w niezbędnym zakresie odpowiednie formularze i wnioski
wykorzystywane w Urzędzie przy zbieraniu danych osobowych i dostosowują je do
wymogów ustawy,
sporządzają oraz przedkładają ABI lub Zastępcy ABI projekt upoważnienia do
przetwarzania danych osobowych. Wzór upoważnienia do przetwarzania danych
osobowych stanowi załącznik Nr 2 do niniejszego zarządzenia ,
przedkładają oraz aktualizują projekty indywidualnych zakresów czynności
podległych im pracowników, w szczególności poprzez określenie indywidualnych
obowiązków i odpowiedzialności w zakresie przetwarzania danych osobowych w stopniu odpowiednim do merytorycznych zadań pracownika,
sprawują
stały
i bezpośredni
nadzór nad
przetwarzaniem
danych ,
w szczególności
nad
ich zabezpieczeniem
przed
dostępem
osób
nieupoważnionych ,
zalecenia ABI oraz Zastępcy ABI w zakresie ochrony danych
osobowych ,
9) wdrażają
oraz
przestrzegają
postanowienia
"Polityki
bezpieczeństwa
przetwarzania danych osobowych w Starostwie Powiatowym w Kościerzynie " oraz
"Instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych w Starostwie Powiatowym w Kościerzynie " oraz innych aktów
prawnych regulujących zasady postępowania przy przetwarzaniu danych
osobowych ,
1O) zapewniają warunki organizacyjne i techniczne umożliwiające spełnianie
wymogów wynikających z ustawy oraz aktów wykonawczych ,
11) zapewniają poprawność merytoryczną danych gromadzonych w systemie
informatycznym ,
12) przygotowują oraz dostarczają ABI lub Zastępcy ABI , projekt zgłoszenia danego
zbioru danych do rejestracji , a w przypadku każdej zmiany informacji stanowiącej
podstawę zgłoszenia - aktualizacji danego zgłoszenia; przygotowanie oraz
dostarczenie projektu zamiany w istniejącym zbiorze powinno nastąpić , nie później
niż w ciągu 1O dni od dnia zamierzenia dokonania w/w zmiany , (wzór zgłoszenia
zbioru danych osobowych do rejestracji określa Rozporządzenie Ministra Spraw
8)
wykonują
Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru
zabioru danych do rejestracji Generalnemu Inspektorowi Danych
Ochrony Danych Osobowych (Dz.U.2008.229.1536) ; dostępny jest na stronie
internetowej
Generalnego
Inspektora
Ochrony
Danych
Osobowych
www.giodo.gov.pl) ,
13) informują ABI lub Zastępcę ABI o zaprzestaniu przetwarzania danych w
zarejestrowanych zbiorach .
ogłoszenia
§4.
Zobowiązuje się
zarządzenia
osoby, o których mowa w § 3 do zapoznania z
wszystkich podległych im pracowników.
treścią
niniejszego
§ 5.
Wykonanie
zarządzenia
powierzam osobom wymienionym w § 3 niniejszego
zarządzenia .
§ 6.
Traci moc Zarządzenie Nr 52/2008 Starosty Kościerskiego z dnia 30 października 2008 r.
w sprawie ochrony danych osobowych w Starostwie Powiatowym w Kościerzynie.
§ 7.
· wc hodz1· w zyc1e
· · z d n1em
·
1-. ·...AJ-.
· wszys tk.1m
....
.. :.WAG'
. . . . . . . r. ·1 po dl ega prze kazan1u
Zarzą dzenie
komórkom organizacyjnym Starostwa Powiatowego w Kościerzynie.
Uzasadnienie
Na podstawie ustawy o ochronie danych osobowych administrator danych osobowych
jest do zastosowania środków technicznych i organizacyjnych
zapewniających ochronę przetwarzanych danych osobowych , odpowiednich do zagrożeń
i kategorii danych podlegających ochronie. Przede wszystkim powinien zabezpieczyć
dane przed
ich
udostępnieniem
osobom
nieupoważnionym ,
przetwarzaniem
z naruszeniem ustawy, zmianą lub zniszczeniem.
zobowiązany
Mając na uwadze
i konieczne.
powyższe, podjęcie
niniejszego
GŁÓWNY SPECJALI.STA
ds . obstugi prawneJ
Ale4k.~
zarządzenia
uznaje
się
za zasadne
)
)!
nr 1
do Zarządzenia nr ... -~ -~ )pAS
Starosty Kościerskiego
z dnia ..;t . ~-:L.V:P\\1\<~ ...?:-()~(r.
Załącznik
1
EWIDENCJA OSÓB UPOWAŻNIONYCH
DO PRZETWARZANIA DANYCH OSOBOWYCH
Lp.
Imię
i nazwisko osoby
upoważ n ionej
Nazwa zbioru
danych (1)
Data nadania
upoważnienia
Data utraty mocy
u p oważ n i en ia
Zakres
up oważnie n ia
Identyfikator
Uwagi
1.
2.
3.
4.
l
5.
1
( )
l
Nazwa zwyczajowa lub własna zbioru, określona zgodnie z załącznikiem nr 3 do Polityki bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym
w Kościerzynie , stanowiącej załącznik nr 1 do Zarządzenia nr ... ....... . .... .Starosty Kościerskiego z dnia . . . .. . . . . . . . . . . . . . . .
. .. r.
Dane aktualne na dzień: ... ../. ..../..
(data i podpis osoby
prowadzącej ewidencję)
Załącznik nr 2
(Ot?\.J.p,t (
do Zarządzen ta nr ............ .. ..
Starosty Kościer~iego
z dnia . l . q~\A. 0.. .i~.. ?..()ĄS:' ... r.
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
Na podstawie art. 35 ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym
(t.j. Dz. U. z 2015 r., poz. 1445 ze zm .) oraz 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (t.j. Dz. U. z 2014 r. poz. 1182 ze zm .),
nadaję:
(imię
i nazwisko osoby
(stanowisko
upoważn i anej)
słu ż bowe )
(nazwa komórki organizacyjnej)
(data, od której
upoważnienie
obowiązuje/okres
na jaki
zostało
udzielone)
do przetwarzania danych w
(data, czytelny podpis Administratora
Bezpieczeństwa l nformacji )
niżej
wymienionym zakresie:
(data, czytelny podpis Administratora Danych
Osobowych)
Nadany numer upoważnienia : - - -- - -- -- - - - 1
2
3
4
5
Nazwa zwyczajowa lub własna zbioru , określona zgodnie z załącznikiem nr 2 do Polityki bezpieczeństwa
przetwarzania danych osobowych w Starostwie powiatowym w Kościerzynie , stanowiącej załącznik nr 1 do
Zarządzenia nr .............. Starosty Kościerskiego z dnia .. .. .... .. .. .... .. .. .... .. .... .r.
Forma manualna (przy wykorzystywaniu zewnętrznych nośników danych) lub teleinformatyczna (przy
wykorzystaniu systemu informatycznego).
System informatyczny korzystający z danego zbioru danych .
Identyfikator w systemie informatycznym - wpisujemy identyfikator do poszczególnego systemu
informatycznego (nie dotyczy zbiorów przetwarzanych w formie manualnej)
Zapis l odczyt - zapis (zbieranie, utrwalanie, opracowywanie , przeglądanie , udostępnianie , zmienianie ,
przechowywanie, usuwanie) , odczyt - tylko przeglądanie bez możliwości usuwania , zmieniania ,
udostępniania , zbierania , utrwalania , opracowywania .
Otrzymują :
1. Adresat.
2. Akta osobowe.
3. ABI.
4. a/a Komórki Administracyjnej.