Polityka bezpieczeństwa przetwarzania danych osobowych w

Załącznik nr 1
do zarządzenia
nr 166/2008
Burmistrza Miasta Ustroń
z dnia 3 września 2008 r.
Polityka bezpieczeństwa przetwarzania
danych osobowych w Urzędzie Miasta Ustroń
I. Postanowienia ogólne
§1
1. „Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie
Miasta Ustroń”, zwana dalej „Polityką” opracowana została zgodnie z wymogami
określonymi w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z
dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny
odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024).
2. Niniejsza Polityka jest wewnętrznym dokumentem wydanym przez
Burmistrza Miasta Ustroń i przeznaczona jest dla osób zatrudnionych przy
przetwarzaniu danych osobowych.
3. Ochrona danych osobowych przetwarzanych w Urzędzie Miasta obowiązuje
wszystkie osoby, które mają dostęp do informacji zbieranych, przetwarzanych oraz
przechowywanych w Urzędzie Miasta.
4. Osoby mające dostęp do danych osobowych są zobligowane do stosowania
niezbędnych środków zapobiegających ujawnieniu tych danych osobom
nieupowaŜnionym.
§2
Określenia i skróty uŜyte w Polityce bezpieczeństwa oznaczają:
1. Administrator - Administrator Danych Osobowych tj. Burmistrz Miasta Ustroń,
2. ABI - Administrator Bezpieczeństwa Informacji tj. osoba wyznaczona przez
Administratora lub osobę upowaŜnioną, odpowiedzialna za bezpieczeństwo danych
osobowych przetwarzanych w systemach informatycznych Urzędu Miasta Ustroń, w
tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz
podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych
systemach oraz odpowiedzialna za sprawność, konserwacje i wdraŜanie
technicznych zabezpieczeń systemów informatycznych, w których przetwarzane są
dane osobowe w zbiorach komórek organizacyjnych Urzędu Miasta Ustroń,
3. UŜytkownik - Osoba upowaŜniona lub uŜytkownik systemu tj. osoba posiadająca
upowaŜnienie wydane przez Administratora lub osobę upowaŜnioną przez niego i
dopuszczona w zakresie w nim wskazanym, jako uŜytkownik do przetwarzania
danych osobowych w systemie informatycznym komórki organizacyjnej Urzędu
Miasta Ustroń,
1
4. PrzełoŜony - PrzełoŜony uŜytkownika tj. naczelnik wydziału komórki
organizacyjnej Urzędu Miasta Ustroń,
5. System - System informatyczny tj. zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,
6. Zabezpieczenie systemu informatycznego – wdroŜenie przez Administratora
stosownych środków organizacyjnych i technicznych w celu zabezpieczenia
zasobów oraz ochrony danych przed dostępem, modyfikacją ujawnieniem,
pozyskaniem lub zniszczeniem przez osobę trzecią,
7. Przetwarzanie danych osobowych – wykonywanie jakichkolwiek operacji na
danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, udostępnianie i usuwanie, a zwłaszcza tych, które są wykonywane
w systemach informatycznych,
8. Zbiór – Zbiór danych osobowych tj. kaŜdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezaleŜnie od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
9. Stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład
systemu informatycznego umoŜliwiający uŜytkownikom systemu dostęp do danych
osobowych znajdujących się w systemie,
10. ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.
Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.),
11. rozporządzenie - rozporządzenia Ministra Spraw Wewnętrznych i Administracji z
dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać
urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych
(Dz. U. Nr 100 poz. 1024)
II. Cele i zakres polityki
§3
1. Administrator wyraŜa pełne zaangaŜowanie dla zapewnienia i
bezpieczeństwa danych osobowych oraz wsparcie dla przedsięwzięć technicznych i
organizacyjnych związanych z ochroną danych osobowych.
2. Poprzez bezpieczeństwo naleŜy rozumieć stan faktyczny uniemoŜliwiający
wykorzystanie, przepływ, modyfikację lub zniszczenie informacji w Urzędzie Miasta
przez osoby postronne lub nieupowaŜnione.
§4
1. Polityka określa podstawowe zasady bezpieczeństwa i zarządzania
bezpieczeństwem systemów.
2. Polityka dotyczy wszystkich danych osobowych przetwarzanych w biurach
Urzędu Miasta niezaleŜnie od formy ich przetwarzania.
3. Polityka w zakresie danych osobowych odnosi się do danych
przetwarzanych w zbiorach:
a) tradycyjnych, w szczególności kartotekach, skorowidzach, księgach, wykazach i w
innych zbiorach ewidencyjnych,
b) w systemach informatycznych, takŜe w przypadku przetwarzania danych poza
zbiorem danych osobowych.
2
§5
1. Celem Polityki jest ochrona danych osobowych przed udostępnieniem
osobom nieupowaŜnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu
danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.
2. Cele Polityki realizowane są poprzez zapewnienie danym osobowym
następujących cech:
a) poufności – właściwości zapewniającej, Ŝe dane nie są udostępniane
nieupowaŜnionym podmiotom,
b) integralności - właściwości zapewniającej, Ŝe dane osobowe nie zostały
zmienione lub zniszczone w sposób nieautoryzowany,
c) rozliczalności – właściwości zapewniającej, Ŝe działania podmiotu mogą być
przypisane w sposób jednoznaczny tylko jednemu podmiotowi
3. Za podmiot nieupowaŜniony uwaŜa się podmiot, który nie otrzymał zgody
Administratora na udostępnienie mu danych osobowych w trybie i na zasadach
określonych w art. 29 ustawy oraz osobę nieposiadającą upowaŜnienia do
przetwarzania danych osobowych, nadanego przez Administratora w trybie art. 37
ustawy.
§6
1. Dla skutecznej realizacji Polityki Administrator zapewnia:
a) odpowiednie do zagroŜeń i kategorii danych objętych ochroną środki techniczne i
rozwiązania organizacyjne,
b) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony,
c) okresowe szacowanie ryzyka zagroŜeń dla zbiorów danych,
d) kontrolę i nadzór nad przetwarzaniem danych osobowych,
e) monitorowanie zastosowanych środków ochrony.
III. Obszar przetwarzania danych.
§7
1. Przetwarzanie danych osobowych moŜe odbywać się wyłącznie w
obszarach do tego celu przeznaczonych.
2. Są to pomieszczenia biurowe znajdujące się w budynku Urzędu Miasta przy
ul. Rynek 1
3. W szczególnych przypadkach moŜliwe jest przetwarzanie danych
osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych) jednak
wymaga to zgody indywidualnej ABI.
4. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe oraz do
pomieszczeń, w których znajdują się serwery baz danych lub przechowywane są
kopie zapasowe mogą mieć wyłącznie osoby, które posiadają do tego upowaŜnienie.
5. Przetwarzać dane osobowe moŜe wyłącznie osoba posiadająca pisemne
upowaŜnienie do przetwarzania danych osobowych.
3
6. Wydanie upowaŜnienia następuje na wniosek przełoŜonego pracownika,
który otrzymuje upowaŜnienie. Wniosek o wydanie upowaŜnienia składany jest w
formie pisemnej do ABI.
7. Szczegółowe zasady sposobu składania wniosku zawiera „Instrukcja
zarządzania systemami informatycznymi słuŜącymi do przetwarzania danych
osobowych”.
§8
1. Pod szczególną ochroną przed niepowołanym dostępem do danych
osobowych pozostają urządzenia wchodzące w skład systemu informatycznego
Urzędu Miasta, w szczególności stacje robocze (poszczególne komputery), które
powinny być umiejscowione w sposób uniemoŜliwiający osobom nieuprawnionym
bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń słuŜących do
przetwarzania, a zwłaszcza kopiowania danych.
2. W pomieszczeniach tworzących obszar przetwarzania
danych
wymienionych w §7 ust. 1 mają prawo przebywać wyłącznie osoby upowaŜnione do
dostępu przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrole
nad bezpieczeństwem przetwarzania tych danych.
3. Osoby nieupowaŜnione do przetwarzania danych osobowych, mające
interes prawny lub faktyczny w uzyskaniu dostępu do tych danych lub wykonujące
inne czynności niemające związku z dostępem do tych danych mogą przebywać w
pomieszczeniach wymienionych w §7 ust. 1 wyłącznie w obecności upowaŜnionego
pracownika.
4. Całkowite opuszczenie pomieszczenia, w którym przetwarzane SA dane
osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających
to pomieszczenie przed wejściem osób niepowołanych. W przypadku planowanej,
choćby chwilowej nieobecności pracownika upowaŜnionego do przetwarzania
danych osobowych obowiązany jest on umieścić zbiory występujące w formach
tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz
dokonać niezbędnych operacji w systemie informatycznym uniemoŜliwiającym
dostęp do danych osobowych osobom niepowołanym.
5. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru
wymienionego w §7 ust. 1 bez zabezpieczenia pomieszczenia oraz umiejscowionych
w nim zbiorów danych jest niedopuszczalne i traktowane będzie jako cięŜkie
naruszenie podstawowych obowiązków pracowniczych.
4
IV. Obowiązki i odpowiedzialność w zakresie zarządzania
bezpieczeństwem.
§9
1. Administrator realizując politykę stosuje odpowiednie środki informatyczne,
techniczne i organizacyjne zapewniając ochronę przetwarzanych danych osobowych
odpowiednią do zagroŜeń oraz kategorii danych objętych ochroną, a w
szczególności:
a) zabezpiecza dane przed ich udostępnieniem osobom nieupowaŜnionym,
b) zabraniem przez osobę nieuprawnioną,
c) przetwarzaniem z naruszeniem ustawy,
d) zmianą, utratą, uszkodzeniem lub zniszczeniem.
2.
Administrator
realizując
politykę
dąŜy
do
systematycznego
unowocześniania stosowanych informatycznych, technicznych i organizacyjnych
środków ochrony danych osobowych, a w szczególności zapewnia aktualizacje
informatycznych środków ochrony danych osobowych pozwalających na
zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi
zagroŜeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz
sieci telekomunikacyjnych.
3. Zarządzanie bezpieczeństwem systemów jest procesem ciągłym,
realizowanym przy współdziałaniu uŜytkowników z ABI.
4. Wszystkie osoby przetwarzające dane osobowe zobowiązane są do:
a) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami,
b) postępowania zgodnie z ustaloną przez Administratora Polityką,
c) postępowania zgodnie z „Instrukcją zarządzania systemami informatycznymi
słuŜącym do przetwarzania danych osobowych”.
6. W przypadku naruszenia przepisów lub zasad postępowania uŜytkownik
podlega odpowiedzialności słuŜbowej i karnej.
§ 10
1. Do obowiązków ABI naleŜy kontrola i nadzór przestrzegania zasad
bezpieczeństwa i ochrony danych osobowych określonych w dokumentacji, o której
mowa w §9 ust. 4.
2. UŜytkownicy zobowiązani są do:
a) ścisłego przestrzegania zakresu nadanego upowaŜnienia,
b) przetwarzania i ochrony danych osobowych zgodnie z przepisami,
c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych
osobowych oraz niewłaściwym funkcjonowaniem systemu, a takŜe informowania ABI
o przypadkach naruszenia zasad ochrony danych osobowych.
3. Administrator realizując politykę sprawuje kontrolę i nadzór nad niszczeniem
zbędnych danych osobowych i ich zbiorów.
4. Niszczenie zbędnych danych osobowych i ich zbiorów polegać powinno w
szczególności na:
a) trwałym, fizycznym zniszczeniu danych osobowych i ich zbiorów wraz z ich
nośnikami w stopniu uniemoŜliwiającym ich późniejsze odtworzenie przez osoby
niepowołane przy zastosowaniu powszechnie dostępnych metod,
5
b) anonimizacji danych osobowych i ich zbiorów polegającej na pozbawieniu danych
osobowych i ich zbiorów cech pozwalających na identyfikację osób fizycznych,
których anonimizowane dane dotyczą.
5. UŜytkownicy przetwarzający dane osobowe mają obowiązek stosowania
oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych
osobowych i ich zbiorów.
6. naruszanie przez zatrudnione osoby upowaŜnione do dostępu i/lub
przetwarzania danych osobowych stosowanych procedur niszczenia zbędnych
danych osobowych i ich zbiorów traktowane będzie jako cięŜkie naruszenie
podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd
konsekwencjami.
7. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych i ich
zbiorów moŜe w szczególności polegać na wprowadzeniu odpowiednich procedur
niszczenia tych danych, a takŜe zlecaniu ich niszczenia wyspecjalizowanym
podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia
danych odpowiednio do rodzaju nośnika tych danych.
V. Udostępnianie danych osobowych.
§ 11
1. Przetwarzane dane osobowe na obszarze wymienionym w §7 ust. 2
udostępnia się wyłącznie osobom do tego upowaŜnionym na mocy uregulowań
wewnętrznych a w szczególności „Instrukcji zarządzania systemami informatycznymi
słuŜącym do przetwarzania danych osobowych”.
2. UpowaŜnienie wynikać moŜe w szczególności:
a) z charakteru pracy wykonywanej na danym stanowisku pracy,
b) z dokumentu określającego zakres obowiązków (zakres czynności)
wykonywanych na danym stanowisku pracy,
c) odrębnego dokumentu zawierającego imienne upowaŜnienie do dostępu do
danych osobowych.
§ 12
1. Administrator realizując politykę zapewnia dostęp do przetwarzanych
danych osobowych osobom fizycznym będącym dysponentami tych danych.
2. Dysponentami danych osobowych są osoby, które powierzyły swoje dane
Urzędowi Miasta i StraŜy Miejskiej.
§ 13
1. Osoby niezatrudnione przy przetwarzaniu danych osobowych, w tym
dysponenci danych osobowych, mające interes prawny lub faktyczny w uzyskaniu
dostępu do tych danych mogą mieć do nich wgląd wyłącznie w obecności
upowaŜnionego pracownika Urzędu Miasta i StraŜy Miejskiej.
2. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego
upowaŜnienia Administratora moŜe mieć miejsce wyłącznie w przypadku działań
podmiotów upowaŜnionych na mocy odpowiednich przepisów prawa do dostępu i
przetwarzania danych określonej kategorii.
6
3. W szczególności dostęp do danych osobowych na wskazanej zasadzie
określonej w art. 10 ust. 1 ustawy mogą mieć: Państwowa Inspekcja Pracy, ZUS,
organy skarbowe, Policja, ABW, Wojskowe SłuŜby Informacyjne, sądy powszechne,
NIK, GIODO i inne upowaŜnione przez przepisy prawa podmioty i organy działające
na graniach przyznanych im uprawnień po okazaniu dokumentów potwierdzających
te uprawnienia.
VI. Osoby przetwarzające dane osobowe.
§ 14
1. Administrator realizują politykę wyznacza osoby odpowiedzialne za bieŜącą
realizację tej polityki na obszarze wymienionym w §7 ust. 2 tj.:
a) administratora bezpieczeństwa informacji,
b) osoby odpowiedzialne za nadzór nad przestrzeganiem zasad ochrony danych
osobowych wynikających z przepisów prawa oraz uregulowań wewnętrznych,
c) lokalni administratorzy danych osobowych,
d) inne osoby wykonujące zadania ochrony danych osobowych.
§ 15
1. Administrator zapewnia kontrolę nad dostępem do danych osobowych w
szczególności poprzez ewidencjonowanie osób przetwarzających dane osobowe
oraz procedur udzielania dostępu do tych danych.
2. Administrator zapewnia zaznajomienie osób upowaŜnionych do dostępu i
przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa,
uregulowaniami wewnętrznymi, a takŜe technikami i środkami ochrony tych danych.
3. Zaznajomienie osób upowaŜnionych do przetwarzania danych osobowych z
powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a
takŜe technikami i środkami ochrony tych danych moŜe odbywać się poprzez:
a) instruktaŜ na stanowisku pracy,
b) szkolenie wewnętrzne realizowane na obszarze Urzędu Miasta i StraŜy Miejskiej,
c) szkolenie zewnętrzne.
4. Osoby upowaŜnione do przetwarzania danych osobowych zostają
zaznajomione z zakresem informacji objętych tajemnicą w związku z wykonywaną
przez siebie pracą, a w szczególności o powinności zachowania tajemnicy danych
osobowych oraz sposobów ich zabezpieczenia.
VII. Wykaz zbiorów danych osobowych i opis struktury zbiorów.
§ 16
1. Wykaz zbiorów danych osobowych stanowi załącznik nr 1 do niniejszej
polityki.
2. Opis struktury zbiorów danych osobowych stanowi załącznik nr 2 do
niniejszej polityki.
7
VIII. Sposób przepływu danych pomiędzy poszczególnymi
systemami słuŜącymi do przetwarzania danych osobowych
§ 17
1. Informacje z systemu Dowody Osobiste zasilają system Ewidencja
Ludności. Dane są wprowadzane z wydruków komputerowych. Dane z systemu są
przesyłane transmisją szyfrowaną do centralnego systemu MSWiA.
2. Informacje z systemów podatkowych „Ratusz” zasilają system „Biuro”. Dane
są wprowadzane z wydruków komputerowych.
3. Informacje z systemu ewidencji gruntów „EGB WIN” zasilają system
„Ratusz”. Dane są wprowadzane z wydruków komputerowych oraz automatycznie.
4. Informacje z systemu kadrowego „AGA” zasilają program płacowy
„QWARK” – dane są wprowadzane z wydruków komputerowych, natomiast dane z
„QWARK” zasilają systemy „Płatnik”, „Multicash”. Dane są wprowadzane
automatycznie poprzez import.
5. System obiegu dokumentów „SEKAP” pracuje na danych wprowadzonych
do systemu przez uŜytkowników systemu, bez przepływu danych pomiędzy innymi
systemami Urzędu Miasta Ustroń.
IX. Środki techniczne i organizacyjne niezbędne do zapewnienia
poufności i rozliczania danych
§ 18
1. Środki ochrony fizycznej to:
a) budynek całodobowo monitorowany jest systemem kamer przemysłowych z
rejestratorem obrazów,
b)urządzenia słuŜące do przetwarzania danych osobowych znajdują się w
pomieszczeniach zabezpieczonych zamkami.
2. Stosowane środki sprzętowe i informatyczne to w szczególności:
a) niszczarki dokumentów,
b) struktura sieci oparta na serwerach i stacjach roboczych,
c) przetwarzanie danych osobowych w sposób scentralizowany;
3. Środki ochrony w ramach oprogramowania systemu stosuje się poprzez:
a) dostęp fizyczny do baz danych osobowych zastrzeŜony jest wyłącznie dla ABI,
b) konfigurację systemu umoŜliwiająca uŜytkownikom dostęp do danych
osobowych tylko za pośrednictwem aplikacji,
c) system operacyjny serwera pozwalający zdefiniować prawa dostępu do
zasobów systemu,
- zastosowano działający w „tle” program antywirusowy na komputerach
uŜytkowników.
4. Środki ochrony w ramach narzędzi baz danych dokonywane są poprzez:
a) automatycznie rejestrowany identyfikator uŜytkownika wprowadzającego dane,
b) ustalenie dla kaŜdego uŜytkownika odrębnego identyfikatora i hasła,
c) zdefiniowania uŜytkowników oraz ich poziom dostępu do danych osobowych.
5. Środki organizacyjne stosuje się poprzez:
a) wyznaczenie administratora bezpieczeństwa informacji ABI.
8
b) przeszkolenie osób upowaŜnionych do przetwarzania danych osobowych
przed dopuszczeniem ich do tych danych w zakresie obowiązujących przepisów o
ochronie danych osobowych oraz procedur przetwarzania danych,
c) prowadzenie ewidencji osób upowaŜnionych do przetwarzania danych
osobowych,
d) ustalenia „Instrukcji zarządzania systemami informatycznymi słuŜącymi do
przetwarzania danych osobowych”,
e) zdefiniowanie procedury postępowania w sytuacji naruszenia ochrony danych
osobowych.
9