Polityka bezpieczeństwa przetwarzania danych osobowych w
Transkrypt
Polityka bezpieczeństwa przetwarzania danych osobowych w
Załącznik nr 1 do zarządzenia nr 166/2008 Burmistrza Miasta Ustroń z dnia 3 września 2008 r. Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miasta Ustroń I. Postanowienia ogólne §1 1. „Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miasta Ustroń”, zwana dalej „Polityką” opracowana została zgodnie z wymogami określonymi w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 2. Niniejsza Polityka jest wewnętrznym dokumentem wydanym przez Burmistrza Miasta Ustroń i przeznaczona jest dla osób zatrudnionych przy przetwarzaniu danych osobowych. 3. Ochrona danych osobowych przetwarzanych w Urzędzie Miasta obowiązuje wszystkie osoby, które mają dostęp do informacji zbieranych, przetwarzanych oraz przechowywanych w Urzędzie Miasta. 4. Osoby mające dostęp do danych osobowych są zobligowane do stosowania niezbędnych środków zapobiegających ujawnieniu tych danych osobom nieupowaŜnionym. §2 Określenia i skróty uŜyte w Polityce bezpieczeństwa oznaczają: 1. Administrator - Administrator Danych Osobowych tj. Burmistrz Miasta Ustroń, 2. ABI - Administrator Bezpieczeństwa Informacji tj. osoba wyznaczona przez Administratora lub osobę upowaŜnioną, odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych Urzędu Miasta Ustroń, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach oraz odpowiedzialna za sprawność, konserwacje i wdraŜanie technicznych zabezpieczeń systemów informatycznych, w których przetwarzane są dane osobowe w zbiorach komórek organizacyjnych Urzędu Miasta Ustroń, 3. UŜytkownik - Osoba upowaŜniona lub uŜytkownik systemu tj. osoba posiadająca upowaŜnienie wydane przez Administratora lub osobę upowaŜnioną przez niego i dopuszczona w zakresie w nim wskazanym, jako uŜytkownik do przetwarzania danych osobowych w systemie informatycznym komórki organizacyjnej Urzędu Miasta Ustroń, 1 4. PrzełoŜony - PrzełoŜony uŜytkownika tj. naczelnik wydziału komórki organizacyjnej Urzędu Miasta Ustroń, 5. System - System informatyczny tj. zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 6. Zabezpieczenie systemu informatycznego – wdroŜenie przez Administratora stosownych środków organizacyjnych i technicznych w celu zabezpieczenia zasobów oraz ochrony danych przed dostępem, modyfikacją ujawnieniem, pozyskaniem lub zniszczeniem przez osobę trzecią, 7. Przetwarzanie danych osobowych – wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i usuwanie, a zwłaszcza tych, które są wykonywane w systemach informatycznych, 8. Zbiór – Zbiór danych osobowych tj. kaŜdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezaleŜnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 9. Stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umoŜliwiający uŜytkownikom systemu dostęp do danych osobowych znajdujących się w systemie, 10. ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.), 11. rozporządzenie - rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) II. Cele i zakres polityki §3 1. Administrator wyraŜa pełne zaangaŜowanie dla zapewnienia i bezpieczeństwa danych osobowych oraz wsparcie dla przedsięwzięć technicznych i organizacyjnych związanych z ochroną danych osobowych. 2. Poprzez bezpieczeństwo naleŜy rozumieć stan faktyczny uniemoŜliwiający wykorzystanie, przepływ, modyfikację lub zniszczenie informacji w Urzędzie Miasta przez osoby postronne lub nieupowaŜnione. §4 1. Polityka określa podstawowe zasady bezpieczeństwa i zarządzania bezpieczeństwem systemów. 2. Polityka dotyczy wszystkich danych osobowych przetwarzanych w biurach Urzędu Miasta niezaleŜnie od formy ich przetwarzania. 3. Polityka w zakresie danych osobowych odnosi się do danych przetwarzanych w zbiorach: a) tradycyjnych, w szczególności kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, b) w systemach informatycznych, takŜe w przypadku przetwarzania danych poza zbiorem danych osobowych. 2 §5 1. Celem Polityki jest ochrona danych osobowych przed udostępnieniem osobom nieupowaŜnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. 2. Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech: a) poufności – właściwości zapewniającej, Ŝe dane nie są udostępniane nieupowaŜnionym podmiotom, b) integralności - właściwości zapewniającej, Ŝe dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, c) rozliczalności – właściwości zapewniającej, Ŝe działania podmiotu mogą być przypisane w sposób jednoznaczny tylko jednemu podmiotowi 3. Za podmiot nieupowaŜniony uwaŜa się podmiot, który nie otrzymał zgody Administratora na udostępnienie mu danych osobowych w trybie i na zasadach określonych w art. 29 ustawy oraz osobę nieposiadającą upowaŜnienia do przetwarzania danych osobowych, nadanego przez Administratora w trybie art. 37 ustawy. §6 1. Dla skutecznej realizacji Polityki Administrator zapewnia: a) odpowiednie do zagroŜeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne, b) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony, c) okresowe szacowanie ryzyka zagroŜeń dla zbiorów danych, d) kontrolę i nadzór nad przetwarzaniem danych osobowych, e) monitorowanie zastosowanych środków ochrony. III. Obszar przetwarzania danych. §7 1. Przetwarzanie danych osobowych moŜe odbywać się wyłącznie w obszarach do tego celu przeznaczonych. 2. Są to pomieszczenia biurowe znajdujące się w budynku Urzędu Miasta przy ul. Rynek 1 3. W szczególnych przypadkach moŜliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych) jednak wymaga to zgody indywidualnej ABI. 4. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe oraz do pomieszczeń, w których znajdują się serwery baz danych lub przechowywane są kopie zapasowe mogą mieć wyłącznie osoby, które posiadają do tego upowaŜnienie. 5. Przetwarzać dane osobowe moŜe wyłącznie osoba posiadająca pisemne upowaŜnienie do przetwarzania danych osobowych. 3 6. Wydanie upowaŜnienia następuje na wniosek przełoŜonego pracownika, który otrzymuje upowaŜnienie. Wniosek o wydanie upowaŜnienia składany jest w formie pisemnej do ABI. 7. Szczegółowe zasady sposobu składania wniosku zawiera „Instrukcja zarządzania systemami informatycznymi słuŜącymi do przetwarzania danych osobowych”. §8 1. Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego Urzędu Miasta, w szczególności stacje robocze (poszczególne komputery), które powinny być umiejscowione w sposób uniemoŜliwiający osobom nieuprawnionym bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń słuŜących do przetwarzania, a zwłaszcza kopiowania danych. 2. W pomieszczeniach tworzących obszar przetwarzania danych wymienionych w §7 ust. 1 mają prawo przebywać wyłącznie osoby upowaŜnione do dostępu przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrole nad bezpieczeństwem przetwarzania tych danych. 3. Osoby nieupowaŜnione do przetwarzania danych osobowych, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych lub wykonujące inne czynności niemające związku z dostępem do tych danych mogą przebywać w pomieszczeniach wymienionych w §7 ust. 1 wyłącznie w obecności upowaŜnionego pracownika. 4. Całkowite opuszczenie pomieszczenia, w którym przetwarzane SA dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych. W przypadku planowanej, choćby chwilowej nieobecności pracownika upowaŜnionego do przetwarzania danych osobowych obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemoŜliwiającym dostęp do danych osobowych osobom niepowołanym. 5. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru wymienionego w §7 ust. 1 bez zabezpieczenia pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne i traktowane będzie jako cięŜkie naruszenie podstawowych obowiązków pracowniczych. 4 IV. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem. §9 1. Administrator realizując politykę stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniając ochronę przetwarzanych danych osobowych odpowiednią do zagroŜeń oraz kategorii danych objętych ochroną, a w szczególności: a) zabezpiecza dane przed ich udostępnieniem osobom nieupowaŜnionym, b) zabraniem przez osobę nieuprawnioną, c) przetwarzaniem z naruszeniem ustawy, d) zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator realizując politykę dąŜy do systematycznego unowocześniania stosowanych informatycznych, technicznych i organizacyjnych środków ochrony danych osobowych, a w szczególności zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalających na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi zagroŜeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych. 3. Zarządzanie bezpieczeństwem systemów jest procesem ciągłym, realizowanym przy współdziałaniu uŜytkowników z ABI. 4. Wszystkie osoby przetwarzające dane osobowe zobowiązane są do: a) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, b) postępowania zgodnie z ustaloną przez Administratora Polityką, c) postępowania zgodnie z „Instrukcją zarządzania systemami informatycznymi słuŜącym do przetwarzania danych osobowych”. 6. W przypadku naruszenia przepisów lub zasad postępowania uŜytkownik podlega odpowiedzialności słuŜbowej i karnej. § 10 1. Do obowiązków ABI naleŜy kontrola i nadzór przestrzegania zasad bezpieczeństwa i ochrony danych osobowych określonych w dokumentacji, o której mowa w §9 ust. 4. 2. UŜytkownicy zobowiązani są do: a) ścisłego przestrzegania zakresu nadanego upowaŜnienia, b) przetwarzania i ochrony danych osobowych zgodnie z przepisami, c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych osobowych oraz niewłaściwym funkcjonowaniem systemu, a takŜe informowania ABI o przypadkach naruszenia zasad ochrony danych osobowych. 3. Administrator realizując politykę sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych i ich zbiorów. 4. Niszczenie zbędnych danych osobowych i ich zbiorów polegać powinno w szczególności na: a) trwałym, fizycznym zniszczeniu danych osobowych i ich zbiorów wraz z ich nośnikami w stopniu uniemoŜliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod, 5 b) anonimizacji danych osobowych i ich zbiorów polegającej na pozbawieniu danych osobowych i ich zbiorów cech pozwalających na identyfikację osób fizycznych, których anonimizowane dane dotyczą. 5. UŜytkownicy przetwarzający dane osobowe mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych i ich zbiorów. 6. naruszanie przez zatrudnione osoby upowaŜnione do dostępu i/lub przetwarzania danych osobowych stosowanych procedur niszczenia zbędnych danych osobowych i ich zbiorów traktowane będzie jako cięŜkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami. 7. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych i ich zbiorów moŜe w szczególności polegać na wprowadzeniu odpowiednich procedur niszczenia tych danych, a takŜe zlecaniu ich niszczenia wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednio do rodzaju nośnika tych danych. V. Udostępnianie danych osobowych. § 11 1. Przetwarzane dane osobowe na obszarze wymienionym w §7 ust. 2 udostępnia się wyłącznie osobom do tego upowaŜnionym na mocy uregulowań wewnętrznych a w szczególności „Instrukcji zarządzania systemami informatycznymi słuŜącym do przetwarzania danych osobowych”. 2. UpowaŜnienie wynikać moŜe w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy, b) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, c) odrębnego dokumentu zawierającego imienne upowaŜnienie do dostępu do danych osobowych. § 12 1. Administrator realizując politykę zapewnia dostęp do przetwarzanych danych osobowych osobom fizycznym będącym dysponentami tych danych. 2. Dysponentami danych osobowych są osoby, które powierzyły swoje dane Urzędowi Miasta i StraŜy Miejskiej. § 13 1. Osoby niezatrudnione przy przetwarzaniu danych osobowych, w tym dysponenci danych osobowych, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych mogą mieć do nich wgląd wyłącznie w obecności upowaŜnionego pracownika Urzędu Miasta i StraŜy Miejskiej. 2. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upowaŜnienia Administratora moŜe mieć miejsce wyłącznie w przypadku działań podmiotów upowaŜnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii. 6 3. W szczególności dostęp do danych osobowych na wskazanej zasadzie określonej w art. 10 ust. 1 ustawy mogą mieć: Państwowa Inspekcja Pracy, ZUS, organy skarbowe, Policja, ABW, Wojskowe SłuŜby Informacyjne, sądy powszechne, NIK, GIODO i inne upowaŜnione przez przepisy prawa podmioty i organy działające na graniach przyznanych im uprawnień po okazaniu dokumentów potwierdzających te uprawnienia. VI. Osoby przetwarzające dane osobowe. § 14 1. Administrator realizują politykę wyznacza osoby odpowiedzialne za bieŜącą realizację tej polityki na obszarze wymienionym w §7 ust. 2 tj.: a) administratora bezpieczeństwa informacji, b) osoby odpowiedzialne za nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z przepisów prawa oraz uregulowań wewnętrznych, c) lokalni administratorzy danych osobowych, d) inne osoby wykonujące zadania ochrony danych osobowych. § 15 1. Administrator zapewnia kontrolę nad dostępem do danych osobowych w szczególności poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz procedur udzielania dostępu do tych danych. 2. Administrator zapewnia zaznajomienie osób upowaŜnionych do dostępu i przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a takŜe technikami i środkami ochrony tych danych. 3. Zaznajomienie osób upowaŜnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a takŜe technikami i środkami ochrony tych danych moŜe odbywać się poprzez: a) instruktaŜ na stanowisku pracy, b) szkolenie wewnętrzne realizowane na obszarze Urzędu Miasta i StraŜy Miejskiej, c) szkolenie zewnętrzne. 4. Osoby upowaŜnione do przetwarzania danych osobowych zostają zaznajomione z zakresem informacji objętych tajemnicą w związku z wykonywaną przez siebie pracą, a w szczególności o powinności zachowania tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. VII. Wykaz zbiorów danych osobowych i opis struktury zbiorów. § 16 1. Wykaz zbiorów danych osobowych stanowi załącznik nr 1 do niniejszej polityki. 2. Opis struktury zbiorów danych osobowych stanowi załącznik nr 2 do niniejszej polityki. 7 VIII. Sposób przepływu danych pomiędzy poszczególnymi systemami słuŜącymi do przetwarzania danych osobowych § 17 1. Informacje z systemu Dowody Osobiste zasilają system Ewidencja Ludności. Dane są wprowadzane z wydruków komputerowych. Dane z systemu są przesyłane transmisją szyfrowaną do centralnego systemu MSWiA. 2. Informacje z systemów podatkowych „Ratusz” zasilają system „Biuro”. Dane są wprowadzane z wydruków komputerowych. 3. Informacje z systemu ewidencji gruntów „EGB WIN” zasilają system „Ratusz”. Dane są wprowadzane z wydruków komputerowych oraz automatycznie. 4. Informacje z systemu kadrowego „AGA” zasilają program płacowy „QWARK” – dane są wprowadzane z wydruków komputerowych, natomiast dane z „QWARK” zasilają systemy „Płatnik”, „Multicash”. Dane są wprowadzane automatycznie poprzez import. 5. System obiegu dokumentów „SEKAP” pracuje na danych wprowadzonych do systemu przez uŜytkowników systemu, bez przepływu danych pomiędzy innymi systemami Urzędu Miasta Ustroń. IX. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności i rozliczania danych § 18 1. Środki ochrony fizycznej to: a) budynek całodobowo monitorowany jest systemem kamer przemysłowych z rejestratorem obrazów, b)urządzenia słuŜące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami. 2. Stosowane środki sprzętowe i informatyczne to w szczególności: a) niszczarki dokumentów, b) struktura sieci oparta na serwerach i stacjach roboczych, c) przetwarzanie danych osobowych w sposób scentralizowany; 3. Środki ochrony w ramach oprogramowania systemu stosuje się poprzez: a) dostęp fizyczny do baz danych osobowych zastrzeŜony jest wyłącznie dla ABI, b) konfigurację systemu umoŜliwiająca uŜytkownikom dostęp do danych osobowych tylko za pośrednictwem aplikacji, c) system operacyjny serwera pozwalający zdefiniować prawa dostępu do zasobów systemu, - zastosowano działający w „tle” program antywirusowy na komputerach uŜytkowników. 4. Środki ochrony w ramach narzędzi baz danych dokonywane są poprzez: a) automatycznie rejestrowany identyfikator uŜytkownika wprowadzającego dane, b) ustalenie dla kaŜdego uŜytkownika odrębnego identyfikatora i hasła, c) zdefiniowania uŜytkowników oraz ich poziom dostępu do danych osobowych. 5. Środki organizacyjne stosuje się poprzez: a) wyznaczenie administratora bezpieczeństwa informacji ABI. 8 b) przeszkolenie osób upowaŜnionych do przetwarzania danych osobowych przed dopuszczeniem ich do tych danych w zakresie obowiązujących przepisów o ochronie danych osobowych oraz procedur przetwarzania danych, c) prowadzenie ewidencji osób upowaŜnionych do przetwarzania danych osobowych, d) ustalenia „Instrukcji zarządzania systemami informatycznymi słuŜącymi do przetwarzania danych osobowych”, e) zdefiniowanie procedury postępowania w sytuacji naruszenia ochrony danych osobowych. 9