Załącznik Nr 1 do Zarządzenia Nr 15/2013 Starosty Bocheńskiego z

Załącznik Nr 1
do Zarządzenia Nr 15/2013
Starosty Bocheńskiego
z dnia 4 marca 2013 r.
ZATWIERDZAM
…………………………
Polityka Bezpieczeństwa
przetwarzania danych osobowych
w Starostwie Powiatowym w Bochni
Administrator Bezpieczeństwa Informacji
…………………………………………………….…
Starostwo Powiatowe w Bochni
str. 1
Spis treści
Rozdział 1 ......................................................................................................................................... 3
Postanowienia ogólne ...................................................................................................................... 3
Rozdział 2 ......................................................................................................................................... 5
Cele .................................................................................................................................................. 5
Rozdział 3 ......................................................................................................................................... 6
Zarządzanie ochroną danych osobowych........................................................................................ 6
Rozdział 4 ......................................................................................................................................... 9
Polityka dostępu do danych osobowych .......................................................................................... 9
Rozdział 5 ....................................................................................................................................... 10
Przetwarzanie danych osobowych. Wymagania bezpieczeństwa................................................. 10
Rozdział 6 ....................................................................................................................................... 13
Wykaz budynków, pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe . 13
Rozdział 7 ....................................................................................................................................... 13
Opis przetwarzanych zbiorów danych osobowych ........................................................................ 13
Rozdział 8 ....................................................................................................................................... 14
Opis struktury zbiorów danych ....................................................................................................... 14
Rozdział 9 ....................................................................................................................................... 15
Przepływ danych ............................................................................................................................ 15
Rozdział 10 ..................................................................................................................................... 15
Opis zdarzeń naruszających ochronę danych osobowych ............................................................ 15
Rozdział 11 ..................................................................................................................................... 16
Postępowanie w przypadku naruszenia systemu ochrony danych osobowych. Monitorowanie
zabezpieczeń.................................................................................................................................. 16
Rozdział 12 ..................................................................................................................................... 17
Przepisy karne ................................................................................................................................ 17
str. 2
Rozdział 1
Postanowienia ogólne
§1
„Polityka bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym
w Bochni" została opracowana przez Administratora Bezpieczeństwa Informacji, zgodnie z zapisem
§ 3 i § 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
Dokument ten określa podstawowe zasady ochrony danych osobowych przetwarzanych
w Starostwie Powiatowym w Bochni, niezależnie od sposobów oraz systemów informatycznych
służących do ich przetwarzania. Wskazuje działania, jakie należy podjąć, ustanawia minimalne
standardy ochrony oraz procedury postępowania, które należy stosować, aby właściwie wykonać
obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa
w § 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm.).
Bezpieczeństwo danych osobowych przetwarzanych w Starostwie Powiatowym w Bochni
jest przedmiotem szczególnej troski kierownictwa Starostwa i wszelkie naruszenia ustanowionych
zasad bezpieczeństwa będą spotykać się ze zdecydowaną reakcją przewidzianą w procedurach
prawnych.
Niniejszy dokument został zatwierdzony przez Starostę Bocheńskiego, który jest
Administratorem danych, w rozumieniu art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych, przetwarzanych przez Starostwo Powiatowe w Bochni w związku z realizacją
zadań wynikających z ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (t.j. Dz. U.
z 2001 r. Nr 142, poz. 1592) i innych aktów prawnych.
Żadne odstępstwa od zasad bezpieczeństwa przedstawionych w przedmiotowym
dokumencie nie są dopuszczalne bez uzyskania zgody administratora danych.
§2
1. Ilekroć w niniejszym dokumencie jest mowa o:
Staroście – należy przez to rozumieć Starostę Bocheńskiego,
Starostwie – należy przez to rozumieć Starostwo Powiatowe w Bochni,
Powiecie – należy przez to rozumieć powiat bocheński,
Bezpośrednim przełożonym – należy przez to rozumieć:
1) dyrektora wydziału, kierownika biura, kierownika referatu w stosunku do pracowników
poszczególnych wydziałów, biur, referatów;
2) Starostę i Wicestarostę, Sekretarza, Skarbnika – w stosunku do Dyrektorów Wydziałów,
Kierowników
Biur
pracowników
na
samodzielnych
stanowiskach
pracy
w zależności od podległości służbowej;
5) Osobie upoważnionej – należy przez to rozumieć Starostę lub osobę przez niego
upoważnioną
6) Dyrektorze – należy przez to rozumieć dyrektora wydziału, kierownika biura lub osobę
pracującą na samodzielnym stanowisku pracy,
7) Komórce organizacyjnej - należy przez to rozumieć wydział, biuro, referat, zespół lub
samodzielne stanowisko pracy Starostwa,
8) Pracowniku – należy przez to rozmieć pracownika samorządowego zatrudnionego na
podstawie umowy o pracę, zgodnie z ustawą z dnia 21 listopada 2008 r. o pracownikach
samorządowych (Dz. U. z 2008 r. Nr 223, poz.1458 z późn. zm.), osoby świadczącej usługi
na podstawie umowy cywilno-prawnej (Dz. U. z 1964 Nr 16, poz. 93 z późn. zm.) oraz osoby
odbywające staż,
9) Polityce bezpieczeństwa – należy przez to rozumieć Polityka bezpieczeństwa
przetwarzania danych osobowych w Starostwie Powiatowym w Bochni zatwierdzoną przez
Kierownika jednostki,
10) Ustawie – należy przez to rozumieć ustawę z dnia 29 sierpnia 1997r. o ochronie danych
osobowych (t.j. Dz. U. 2002 r. Nr 101, poz. 926 z późn. zm.),
1)
2)
3)
4)
str. 3
11) Rozporządzeniu – należy przez to rozumieć Rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U.
z 2004 r. Nr 100, poz. 1024 z późn. zm.),
12) Przetwarzaniu danych – należy przez to rozumieć jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,
13) Systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą
urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,
14) Instrukcji – należy przez to rozumieć „Instrukcję zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych”,
15) Danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
16) Zbiorze danych – należy przez to rozumieć każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
17) Zabezpieczeniu danych w systemie informatycznym – należy przez to rozumieć
wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
18) Usuwaniu danych - należy przez to rozumieć zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
19) Generalnym Inspektorze – należy przez to rozumieć Generalnego Inspektora Ochrony
Danych Osobowych powołanego przez Sejm Rzeczpospolitej,
20) Administratorze danych – należy przez to rozumieć Starostę,
21) Administratorze bezpieczeństwa informacji – należy przez to rozumieć osobę
wyznaczoną przez Administratora danych, nadzorującą przestrzeganie zasad ochrony
przetwarzania danych osobowych a w szczególności zabezpieczenia danych przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub
zniszczeniem,
22) Administratorze systemu informatycznego – należy przez to rozumieć osobę
wyznaczoną przez Starostę, upoważnioną do realizacji zadań związanych
z zarządzaniem systemem informatycznym, w tym w szczególności odpowiedzialnego za
przydzielanie dostępu do systemu informatycznego i modyfikowanie uprawnień
użytkowników systemu informatycznego w porozumieniu z opiekunem systemu, bieżący
kontakt z serwisem systemu informatycznego w zakresie zgłaszania zmian i usterek systemu
informatycznego, podejmowania stosownych działań w przypadku naruszenia
w systemie zabezpieczeń itp.,
23) Opiekunie systemu – należy przez to rozumieć pracownika Starostwa wyznaczonego przez
Starostę do merytorycznego sprawowania nadzoru nad systemem informatycznym, w tym
w szczególności odpowiedzialnego za nadzór nad przydzielaniem dostępu do systemu
informatycznego i modyfikowaniem uprawnień użytkowników systemu informatycznego,
zgłaszania zmian w zakresie funkcjonowania systemu oraz przeprowadzania szkoleń
w zakresie obsługi systemu informatycznego,
24) Użytkowniku systemu – należy przez to rozumieć pracownika Komórki organizacyjnej
pracującego w danym systemie informatycznym, który:
a) Odbył stosowne szkolenie w zakresie ochrony danych osobowych i posiada
upoważnienie do przetwarzania tych danych;
b) Odbył szkolenie w zakresie obsługi systemu informatycznego;
c) Posiada przydzielony dostęp do systemu informatycznego.
25) Wykazie systemów – należy przez to rozumieć wykaz o którym mowa w Zarządzeniu
Starosty Bocheńskiego w sprawie wprowadzenia w Starostwie Powiatowym w Bochni
wykazu systemów informatycznych wspomagających funkcjonowanie i zarządzanie
Starostwem.
2. Określa się następujące atrybuty bezpieczeństwa danych osobowych przetwarzanych,
przesyłanych i przechowywanych w systemach informatycznych:
str. 4
1) poufność - właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana
nieautoryzowanym osobom, podmiotom lub procesom;
2) integralność - właściwość zapewniająca, że informacje nie zostały zmienione lub
zniekształcone w sposób nieautoryzowany;
3) dostępność - właściwość systemu bycia dostępnym i możliwym do wykorzystania przez
autoryzowany podmiot przy zachowanych rygorach czasowych;
4) rozliczalność - właściwość systemu umożliwiająca określenie i weryfikowanie
odpowiedzialności za działania, usługi i funkcje;
5) niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub
w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;
6) niezawodność – zapewnienie spójności oraz zamierzonych zachowań.
Rozdział 2
Cele
§3
1. Polityka bezpieczeństwa ma zastosowanie do wszystkich zbiorów zawierających dane osobowe
w rozumieniu Ustawy w postaci dokumentów papierowych, elektronicznych i innych,
w szczególności gromadzonych i przetwarzanych w systemach informatycznych Starostwa,
w związku z realizacją ustawowych zadań realizowanych przez Powiat.
2.
Ochronie podlegają wszystkie dane osobowe zgromadzone w zbiorach papierowych oraz
informatycznych bez względu na sposób ich pozyskania (w tym powierzone do przetwarzania).
3. Dostęp do przetwarzanych danych osobowych zgromadzonych w zbiorach mogą mieć tylko
upoważnieni pracownicy Starostwa, w zakresie niezbędnym do realizacji określonego zadania,
którzy zobowiązani są do ochrony danych osobowych oraz zachowania tych danych
w tajemnicy.
4.
5.
Przetwarzanie danych osobowych dopuszczalne jest jedynie w ramach zbiorów, znajdujących
się w Wykazie systemów prowadzonym przez Administratora Bezpieczeństwa Informacji po
spełnieniu wymagań zawartych w Polityce bezpieczeństwa oraz (w stosunku do zbiorów
przetwarzanych w systemie informatycznym) wymagań zawartych w Instrukcji do przetwarzania
danych osobowych.
Wszystkie zbiory i materiały zawierające dane osobowe podlegają:
1) identyfikacji - określeniu, gdzie znajduje się informacja zawierająca dane osobowe, jaki jest
jej zakres, jaką ma postać, kto z niej korzysta, w jakim trybie i na jakich zasadach,
2) klasyfikacji - określeniu wartości informacji z punktu widzenia prawa oraz jej znaczenia dla
funkcjonowania Starostwa,
3) opracowaniu projektu dokumentu sankcjonującego zasadność przetwarzania danych
osobowych wraz z projektem sposobu przetwarzania tych danych lub sposobu usunięcia
danych i zamknięcia zbioru,
4) zgłoszeniu zbioru do Wykazu prowadzonego przez Administratora bezpieczeństwa
informacji.
6.
Za wykonanie czynności, o których mowa w ust. 5, odpowiedzialni są Dyrektorzy komórek
organizacyjnych, w których przetwarzane są dane osobowe,
7.
Dyrektor komórki organizacyjnej, w której ma zostać utworzony zbiór danych osobowych,
przygotowuje wniosek, który powinien w szczególności zawierać:
1) datę utworzenia zbioru,
2) podstawę prawną prowadzenia zbioru,
3) cel prowadzenia zbioru,
4) zakres danych przetwarzanych w zbiorze,
str. 5
5) osoby odpowiedzialne za prowadzenie zbioru,
6) kategorie uprawnień do korzystania ze zbioru,
7) tryb uzyskiwania uprawnień,
8) źródło danych osobowych przetwarzanych w zbiorze.
Następnie wniosek ten przesyła do Administratora bezpieczeństwa informacji, który na jego
podstawie przygotowuje projekt Zarządzenia w sprawie utworzenia zbioru danych osobowych.
Podpisanie Zarządzenia przez Starostę stanowi podstawę utworzenia nowego Zbioru danych
osobowych.
8.
9.
Dyrektor wnioskujący o utworzenie zbioru może wnioskować o jego likwidację.
Likwidację zbioru przeprowadza komisja powołana przez Starostę. Z likwidacji zbioru komisja
sporządza protokół, który powinien zawierać:
1) skład osobowy komisji;
2)
datę likwidacji;
3) sposób usunięcia zgromadzonych danych.
10. Jeżeli dane osobowe przetwarzane są w ramach systemu niejawnego w rozumieniu ustawy
z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. 2010, Nr 182 poz. 1228
z późn. zm.), to stosuje się do nich zasady ochrony zawarte w dokumentach bezpieczeństwa,
opracowanych dla tych systemów (szczególnych wymaganiach bezpieczeństwa i procedurach
bezpiecznej eksploatacji).
11. Polityka bezpieczeństwa obowiązuje wszystkich pracowników Starostwa.
Rozdział 3
Zarządzanie ochroną danych osobowych
§4
1. Ze względu na funkcjonowanie wielu zbiorów danych osobowych przetwarzanych
w Starostwie, ustalono następującą strukturę zarządzania bezpieczeństwem przetwarzania
danych osobowych:
1) Administrator danych,
2) Administrator bezpieczeństwa informacji,
3) Administrator systemu teleinformatycznego,
4) Opiekun systemu,
5) Użytkownik systemu.
2. Za bezpieczeństwo danych osobowych przetwarzanych w Starostwie odpowiada Administrator
danych.
3. Dyrektorzy, Administrator systemu informatycznego, Opiekun Systemu oraz Użytkownik systemu
obowiązani są zastosować środki techniczne i organizacyjne zapewniające ochronę
przetwarzania danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych
ochroną, a w szczególności powinni zabezpieczyć dane przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem
Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
§5
1. Administratorem danych w Starostwie jest Starosta.
2. Administrator danych może upoważnić do przetwarzania danych osobowych inne osoby, w myśl
obowiązujących przepisów.
str. 6
§6
1.
2.
Funkcję Administratora bezpieczeństwa informacji pełni pracownik Starostwa wyznaczony
przez Starostę.
Do zadań Administratora bezpieczeństwa informacji, w szczególności należy:
1) na poziomie polityki bezpieczeństwa:
a) analiza zagrożeń dla bezpieczeństwa danych osobowych oraz wdrażanie zmian
w dokumentacji przetwarzania w celu zapewnienia właściwego poziomu ochrony
przetwarzania;
b) prowadzenie Wykazu systemów;
c) prowadzenie kontroli w zakresie bezpieczeństwa danych osobowych;
d) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych
w Starostwie;
e) realizowanie procedur związanych ze zgłaszaniem Generalnemu Inspektorowi zbiorów
danych osobowych przetwarzanych w Starostwie, podlegających rejestracji;
f)
realizowanie procedur związanych z uprawnieniami osób, których dane osobowe
dotyczą w szczególności prawa do uzyskania informacji, o którym mowa w Ustawie;
g) organizowanie systemu szkoleń z zakresu ochrony danych osobowych dla osób
upoważnionych do ich przetwarzania, osób nowo zatrudnionych oraz podejmowanie
działań mających na celu popularyzację wiedzy w tym zakresie w Starostwie;
h) wydawanie zaleceń z zakresu ochrony danych osobowych.
2) na poziomie systemu przetwarzania:
a) nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych
zawartych w Instrukcji, we wszystkich systemach informatycznych Starostwa,
w których przetwarzane są dane osobowe;
b) kontrolowanie
osobowych;
zakresu
przedmiotowego
i
podmiotowego
przetwarzania
danych
c) analiza incydentów dotyczących naruszenia bezpieczeństwa przetwarzania danych
osobowych
i
podejmowanie
odpowiednich
działań,
przy
współpracy
z Administratorem systemu informatycznego, w celu zapobieżenia ich powstawania
w przyszłości.
§7
1.
Funkcję Administratora systemu informatycznego pełni pracownik Starostwa wyznaczony przez
Starostę.
2.
Administrator systemu informatycznego odpowiedzialny jest za realizację zadań związanych
z zarządzaniem systemem informatycznym, w którym przetwarzane są dane osobowe.
3.
Do jego zadań w szczególności należy:
1) opracowanie Instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych,
2) właściwe skonfigurowanie systemu informatycznego według wymagań wynikających
z Instrukcji,
3) zakładanie kont użytkownikom systemu zgodnie z uprawnieniami
z pisemnego upoważnienia podpisanego przez administratora danych,
wynikającymi
4) zablokowywanie bądź zamykanie kont użytkowników systemu:
a)
na polecenie Administratora danych osobowych;
b) w wypadku utraty ważności upoważnienia;
str. 7
c) rozwiązania stosunku pracy z użytkownikiem systemu.
5) przyjmowanie od użytkowników systemów uwag dotyczących nieprawidłowości w działaniu
systemu oraz podejmowanie działań zmierzających do zapewnienia sprawności systemu
informatycznego,
6) przyjmowanie informacji o wypadkach naruszenia bezpieczeństwa przetwarzania danych
osobowych oraz niezwłoczne podejmowanie działań zmierzających do zapobieżenia
powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności
danych osobowych oraz wyjaśnianie przyczyn ich powstania,
7) zapoznawanie użytkowników systemu z Instrukcją oraz przechowywanie potwierdzeń faktu
zapoznania się i zrozumienia przez użytkowników systemu zasad bezpiecznego
przetwarzania danych osobowych w niej zawartych,
8) zainstalowanie programu antywirusowego i systematyczne uaktualnianie bazy wirusów przez
niego wykrywanych,
9) bieżąca naprawa, konserwacja i rozbudowa systemu informatycznego w zakresie
umożliwiającym utrzymywanie go w stałej sprawności technicznej oraz funkcjonalnej,
10) wykonywanie i przechowywanie kopii bezpieczeństwa według zasad wynikających
z Instrukcji,
11) niszczenie uszkodzonych nośników informacji zgodnie z procedurami określonymi
w Instrukcji,
12) uczestniczenie w szkoleniach z zakresu administrowania systemami informatycznymi,
13) wykonywanie zaleceń Administratora bezpieczeństwa informacji w zakresie ochrony danych
osobowych,
14) kontrola nad dostępem użytkowników do systemów informatycznych,
15) podejmowanie stosownych działań w przypadku naruszenia w systemie informatycznym
zabezpieczeń,
16) opracowanie Instrukcji,
§8
1.
2.
3.
Funkcję Opiekuna systemu wykonuje pracownik Starostwa wyznaczony przez Starostę.
Opiekun systemu odpowiedzialny jest za realizację zadań związanych z nadzorem nad
systemem informatycznym, w którym przetwarzane są dane osobowe.
Do jego zadań w szczególności należy:
1) nadzór nad przydzielaniem dostępu do systemu informatycznego i modyfikowanie uprawnień
użytkowników systemu informatycznego,
2) zgłaszanie zmian w zakresie funkcjonowania systemu informatycznego,
3) prowadzenie szkoleń w zakresie obsługi systemu informatycznego.
§9
Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej pracy na
stanowisku pracy – również z wykorzystaniem powierzonego sprzętu informatycznego. Jest
odpowiedzialny przed Administratorem bezpieczeństwa informacji za stosowanie określonych
w Polityce bezpieczeństwa warunków bezpieczeństwa, w szczególności do przestrzegania procedur
dostępu do systemu i ochrony danych osobowych oraz ponosi odpowiedzialność przed
Administratorem systemu informatycznego za przestrzeganie zapisów Instrukcji.
str. 8
Rozdział 4
Polityka dostępu do danych osobowych
§ 10
1.
Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby zatrudnione na
podstawie umowy o pracę, umowy cywilno-prawnej oraz osoby odbywające staż w Starostwie,
posiadające upoważnienie wydane przez Administratora danych.
2.
Z wnioskiem o wydanie upoważnienia (którego wzór stanowi zał. Nr 1 do niniejszego
dokumentu), występuje do Administratora danych Dyrektor.
3.
Wniosek, o którym mowa w ust. 2, musi zawierać wskazanie zakresu przetwarzanych danych
osobowych.
4.
Wszystkie osoby mające dostęp do danych osobowych muszą odbyć szkolenie
obejmujące znajomość obowiązujących przepisów prawa w zakresie ochrony danych
osobowych. Przedmiotowe szkolenie prowadzi Administrator bezpieczeństwa informacji.
5.
Dodatkowo wszystkie osoby mające dostęp do danych osobowych przetwarzanych
w systemie informatycznym, muszą zapoznać się z Instrukcją oraz podpisem potwierdzić fakt
zrozumienia zasad w niej zawartych.
6.
Indywidualny zakres obowiązków osoby upoważnionej do przetwarzania danych musi zawierać
zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do
zadań tej osoby przy przetwarzaniu danych osobowych.
7.
Zezwala się na udostępnienie danych osobowych innemu podmiotowi na podstawie umowy.
Podmiot, któremu powierzono udostępniono dane osobowe może przetwarzać dane wyłącznie
w zakresie i celu wskazanym w umowie.
8.
W przypadku udostępnienia danych osobowych innemu podmiotowi, należy każdorazowo
poinformować osobę lub podmiot, których dane zostały udostępnione, o odbiorcach
przekazanych danych.
§ 11
1.
2.
Uzyskanie lub cofniecie dostępu do systemu informatycznego przetwarzającego dane osobowe,
dla poszczególnych użytkowników, wymaga złożenia przez Dyrektora wniosku do Administratora
systemu informatycznego (wzór wniosku stanowi zał. Nr 2 do niniejszego dokumentu).
Wniosek, o którym mowa w ust. 1, wymaga:
1) pełną nazwę systemu informatycznego z podaniem konkretnej aplikacji,
2) pozytywnej opinii Administratora bezpieczeństwa informacji,
3) adnotacji Opiekuna systemu informatycznego,
4) wniosek ewidencjonuje Administrator systemu informatycznego dokonując stosownej
adnotacji w wykazie użytkowników systemów informatycznych (którego wzór stanowi zał.
Nr 3 do niniejszego dokumentu).
3.
4.
Wniosek, o którym mowa w ust. 1, stanowi podstawę do przydzielenia lub cofnięcia uprawnień
poszczególnym użytkownikom.
Administrator systemu informatycznego:
a) przyznaje uprawnienia poszczególnym użytkownikom nie później niż w terminie 3 (trzech)
dni roboczych liczonych od daty złożenia wniosku;
b) cofa uprawnienia niezwłocznie po otrzymaniu wniosku.
str. 9
Rozdział 5
Przetwarzanie danych osobowych. Wymagania bezpieczeństwa
§ 12
1.
Przed przystąpieniem do przetwarzania danych osobowych pracownik w zakresie ochrony
fizycznej powinien zapewnić w szczególności następujące środki bezpieczeństwa:
1) wszystkie operacje na danych osobowych a w szczególności zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie może się odbywać
w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych.
Kategorycznie zabrania się pozostawiania w pomieszczeniu bez nadzoru klientów oraz
pracowników Starostwa, którzy nie są upoważnieni do przetwarzania danych osobowych
danego systemu bądź określonej kategorii danych,
2) pomieszczenia, w których realizowane są operacje na danych osobowych należy zamykać
w momencie zakończenia pracy oraz każdorazowo w przypadku opuszczenia stanowiska
pracy,
3) klucze do pomieszczeń pracy przechowywane są w zamykanej szafce w pokoju nr 1,
Budynku Starostwa przy ul. Kazimierza Wielkiego 31 w Bochni,
4) osoby nie posiadające upoważnienia do przetwarzania danych osobowych mogą przebywać
w pomieszczeniach, w których te dane są przetwarzane, tylko w obecności użytkownika
systemu,
5) dane osobowe w postaci papierowej powinny być przechowywane w szafach metalowych,
szafach drewnianych lub biurkach wyposażonych w odpowiednie zamki mechaniczne
charakteryzujące się umiarkowaną odpornością na nieuprawnione próby otwarcia,
6) nie należy pozostawiać dokumentów papierowych i nośników elektronicznych
w miejscach umożliwiających ich wykorzystanie przez osoby nieuprawnione,
7)
pomieszczenia, w których gromadzone są dane osobowe powinny być:
a) w przypadku pomieszczeń zlokalizowanych na parterze - okna w tych pomieszczeniach
powinny być zabezpieczone kratami, drzwi powinny być wyposażone w zamki
mechaniczne charakteryzujące się odpornością na sprawne działania osoby
nieuprawnionej, posługującej się zwykłymi, powszechnie dostępnymi środkami;
b) w przypadku pomieszczeń zlokalizowanych na piętrze - drzwi do tych pomieszczeń
powinny być wyposażyć w zamki mechaniczne charakteryzujące się odpornością na
sprawne działania osoby nieuprawnionej, posługującej się zwykłymi, powszechnie
dostępnymi środkami.
8) klucze do szaf lub biurek powinny być przechowywane w miejscu wskazanym przez
Dyrektora,
9) na serwerownie wyznacza się pomieszczenie, które spełnia wymagania pod względem
bezpieczeństwa fizycznego tj. zlokalizowane jest na pierwszym piętrze budynku Starostwa,
posiada kraty w oknach, drzwi wyposażone są w zamek mechaniczny charakteryzujący się
odpornością na sprawne działanie osoby nieuprawnionej posługującej się zwykłymi,
powszechnie dostępnymi środkami oraz jest wyposażone w system alarmowy. Ponadto
wejście do serwerowni chronione jest systemem monitoringu wizyjnego.
2. W zakresie bezpieczeństwa teleinformatycznego:
1) dane osobowe mogą być przetwarzane jedynie w systemach informatycznych, w których
możliwe jest zachowanie wszystkich podstawowych atrybutów bezpieczeństwa zbioru tj.
poufności, integralności, dostępności, rozliczalności i niezaprzeczalności,
2) dopuszcza się przechowywanie danych osobowych wyłącznie na serwerach gdzie
powinny podlegać ochronie zapewnianej między innymi przez mechanizmy
bezpieczeństwa systemu operacyjnego (np. uwierzytelnienie),
3) przetwarzanie danych osobowych w systemie informatycznym może się odbywać
jedynie przy spełnieniu następujących wymagań:
str. 10
a) system spełnia wymagania funkcjonalne zawarte w § 7 Rozporządzenia;
b) zaimplementowane zostały mechanizmy kontroli dostępu (logiczne lub sprzętowe),
umożliwiające uwierzytelnianie każdego użytkownika indywidualnie;
c) system został zabezpieczony przed działaniem oprogramowania złośliwego w tym
w szczególności umożliwiającego uzyskanie nieuprawnionego dostępu do systemu;
d) wdrożono postanowienia wynikające z Instrukcji;
e) zapewniono środki ochrony kryptograficznej nośników zawierających dane osobowe
na czas transportu, przechowywania i użytkowania poza obszarem przetwarzania;
f)
monitory komputerów na których dokonuje się przetwarzanie danych, powinny być
ustawione w sposób uniemożliwiający ich podgląd osobom nieuprawnionym.
4)
dane osobowe przetwarzane w systemach należy zabezpieczyć poprzez wykonanie
kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych
w odstępach nie większych niż 7 dni. Kopie powinien wykonywać Administrator systemu
informatycznego.
5)
kopie zapasowe, o których mowa w § 12 ust. 2 pkt 4, powinny być przechowywane:
a) w pomieszczeniach innych niż pomieszczenie serwerowni;
b) w urządzeniach spełniających wymagania ochrony zgromadzonych zbiorów
w sposób uniemożliwiający osobom nieuprawnionym dostęp do przechowywanych
danych;
c) przez Administrator systemu informatycznego.
6)
serwer Starostwa powinien posiadać odpowiednie oprogramowanie zabezpieczające
przed programami szkodliwymi (spamem, wirusem, itp.) oraz oprogramowanie
umożliwiające transmisję danych z użyciem technik kryptograficznych, spełniających co
najmniej minimalne wymagania określone w ustawie z dnia 17 lutego 2005 r.
o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2005 r.
Nr 64, poz. 565 z późn. zm.) oraz Rozporządzeniu. Dostęp do serwerowni maja
wyłącznie Administrator systemu informatycznego. Przebywanie innych osób
w pomieszczeniu serwerowni dopuszczone jest wyłącznie w obecności Administrator
systemu informatycznego.
3. Procedura przechowywania/pobierania kluczy do pomieszczeń:
1) klucze do pomieszczeń pracy przechowywane są zgodnie z § 12 ust. 1 pkt 3,
2) pracownik, który jako ostatni opuszcza stanowisko pracy, sprawdza stan zabezpieczenia
pomieszczenia oraz dokumentów (zamkniecie okien, szaf itp.),
3) następnie zamyka pomieszczenie a klucze zamyka w szafce w pokoju, o którym mowa
w § 12 ust. 1 pkt 3,
4) w momencie przyjścia do pracy pracownik pobiera klucze do pomieszczenia, sprawdza
wizualnie czy nie było próby nieuprawnionego otwarcia pomieszczenia i otwiera
pomieszczenie,
5) po wejściu do pomieszczenia, dokonuje sprawdzenia wizualnego pomieszczenia
i w przypadku braku symptomów świadczących o nieuprawnionym wejściu do
pomieszczenia, przystępuje do pracy.
4. Wprowadza się
uwierzytelnienia:
w
systemach
informatycznych
Starostwa
następujące
sposoby
1) hasło, które powinno składać się co najmniej z 8 znaków, w tym zawierające małe
i wielkie litery oraz cyfry i znaki specjalne. W ustawieniach programowych systemu
należy ustawić zmianę hasła w okresach nie dłuższych niż 30-to dniowych,
2) karta kryptograficzna zabezpieczona kodem PIN. Kod PIN pracownik nadaje sobie
samodzielnie. Ustawienie zabezpieczenia kodu PIN powinno powodować zablokowanie
karty w momencie trzykrotnego błędnie wprowadzonego kodu PIN.
str. 11
§ 13
1. Dostęp do danych osobowych wprowadzanych do systemów informatycznych mogą mieć
wyłącznie użytkownicy danych systemów informatycznych, Opiekunowie systemów oraz
Administratorzy systemów informatycznych, którzy zapewniają jego prawidłową eksploatację.
2. Wszyscy pracownicy będący użytkownikami systemów, Opiekunowie systemów oraz
Administratorzy systemów informatycznych zobowiązani są dołożyć wszelkich starań w celu
ochrony przetwarzanych danych.
3. Dokumenty i nośniki informacji zawierające dane osobowe powinny być zabezpieczone przed
dostępem osób nieupoważnionych. Jeśli nie są aktualnie używane powinny być przechowywane
w szafach lub innych przeznaczonych do tego celu urządzeniach biurowych, posiadających
stosowne zabezpieczenia.
4.
Użytkownicy systemu powinni mieć przed przystąpieniem do pracy w systemie informatycznym,
zablokowany dostęp do sieci publicznej tj. witryn internetowych. Z wnioskiem o przyznanie
dostępu do sieci publicznej (którego wzór stanowi zał. Nr 4 do niniejszego dokumentu),
występuje, do Administratora systemu informatycznego, pracownik danej komórki
organizacyjnej. Wniosek powinien być zaopiniowany przez właściwego Dyrektora.
5.
Osoby przetwarzające dane osobowe powinny dokonywać niszczenia zbędnie wytworzonych
lub już niepotrzebnych wydruków, wykazów, zestawień lub innych dokumentów zawierających
dane osobowe za pomocą niszczarki.
6.
Użytkownicy komputerów przenośnych, na których są przetwarzane dane osobowe
zobowiązani są do zabezpieczenia ich hasłem przed nieautoryzowanym uruchomieniem. Dane
osobowe
mogą
być
przetwarzane,
w
komputerach
przenośnych
wyłącznie
w urządzeniach z wymiennymi nośnikami pamięciami z programem szyfrowania danych
zapisywanych na nośniku pamięci.
7.
Zabrania się udostępniania komputerów przenośnych osobom nieupoważnionym.
8.
Wynoszenie komputerów poza budynek Starostwa wymaga uzyskania zgody Starosty lub
osoby przez niego upoważnionej. Z wnioskiem (którego wzór stanowi zał. Nr 5 do niniejszego
dokumentu) występuje pracownik Starostwa. Wniosek przed przekazaniem Staroście lub osobie
upoważnionej powinien być zaopiniowany przez bezpośredniego przełożonego oraz Dyrektora
Wydziału Organizacyjnego.
9.
Użytkownicy systemów informatycznych przed opuszczeniem stanowiska pracy powinni
zakończyć pracę z aplikacją i wylogować się z systemu, w przypadku chwilowego opuszczenia
stanowiska pracy należy w celu ochrony przetwarzanych danych uaktywnić wygaszacz ekranu
zabezpieczony hasłem.
§ 14
1. Wprowadza się następujące zasady korzystania z oprogramowania:
1) oryginalne dokumenty licencyjne oraz nośniki każdego oprogramowania przechowywane są
w Wydziale Organizacyjnym. Nośniki oraz kody aktywacyjne produktów oprogramowania nie
mogą być kopiowane, wypożyczane lub w żaden sposób przekazywane osobom trzecim.
2) wszyscy pracownicy zobowiązani są do pracy na legalnym oprogramowaniu,
3) zabrania się instalacji i użytkowania oprogramowania pochodzącego ze źródeł innych niż
Starostwo,
2. Za sprawne funkcjonowanie systemów sygnalizacji alarmowej, monitoringu wizyjnego, środków
ochrony ppoż. oraz innych środków technicznych wspomagających ochronę przetwarzanych
danych (w tym kraty, zamki do drzwi, szafek itp.) odpowiedzialny jest Dyrektor Wydziału
Organizacyjnego.
str. 12
Rozdział 6
Wykaz budynków, pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe
§ 15
1. Budynek Starostwa znajdujący się na ul. Kazimierza Wielkiego Nr 31 w Bochni będącego
siedzibą Starostwa jest obszarem, w którym zezwala się na przetwarzanie danych osobowych.
2. Dane osobowe w postaci elektronicznej mogą być:
1) gromadzone w pomieszczeniu serwerowni,
2) modyfikacje, wpisywanie, kopiowanie, uzupełniane itd. na stacjach komputerowych
w pozostałych pomieszczeniach biurowych Starostwa.
3. Przetwarzanie danych osobowych poza budynkiem Starostwa o którym mowa w ust.1 jest
kategorycznie zabronione.
Rozdział 7
Opis przetwarzanych zbiorów danych osobowych
§ 16
1. Dane osobowe w postaci elektronicznej, mogą być przetwarzane wyłącznie w systemach
informatycznych funkcjonujących w Starostwie. Wykaz systemów informatycznych
wspomagających funkcjonowanie i zarządzanie Starostwem stanowi zał. Nr 6 do niniejszego
dokumentu.
2. Przetwarzane w Starostwie dane osobowe zgromadzone w zbiorach zawierają w szczególności:
1) imię i nazwisko,
2) imiona i nazwiska rodowe rodziców,
3) nazwisko rodowe,
4) data urodzenia,
5) miejsce urodzenia,
6) nr PESEL,
7) płeć,
8) adres zamieszkania,
9) kod pocztowy,
10) dokument tożsamości (seria, nr, nazwa i siedziba wystawcy),
11) wartość zamówienia,
12) data zamówienia.
3. Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem
(którego wzór stanowi zał. Nr 7 do niniejszego dokumentu), podlega aktualizacji każdorazowo
w przypadku:
1) likwidacji, wprowadzenia lub zmiany systemu informatycznego;
2) zmiany Administratora systemu informatycznego lub opiekuna systemu informatycznego.
4. Aktualizacji wykazu systemów informatycznych, o których mowa w ust. 1 oraz 3, dokonuje
Administrator bezpieczeństwa informacji na podstawie Zarządzenia Starosty.
str. 13
§ 17
1. W uzasadnionych przypadkach zezwala się na przetwarzanie danych osobowych w doraźnym
zbiorze pod warunkiem, że zapisane dane są należycie chronione:
1) uniemożliwi się dostęp do danych osobom nieuprawnionym,
2) uniemożliwi się zmiany danych, a tym samym zafałszowanie informacji pochodzących
z systemu,
3) zabezpieczy się bezpośredni dostęp do danych hasłem.
2. Doraźny zbiór danych osobowych należy usunąć z nośnika danych, na którym został utworzony
lub zniszczyć nośnik.
Rozdział 8
Opis struktury zbiorów danych
§ 18
1. W Starostwie przetwarzane są następujące informacje:
1) dane osobowe pracowników zatrudnionych w Starostwie Powiatowym w Bochni oraz
kierowników jednostek organizacyjnych powiatu,
2) dane kontrahentów, przedsiębiorców,
3) informacje związane z realizacją zamówień publicznych,
4) informacje związane z działalnością komórek organizacyjnych Starostwa.
2. Zbiory danych osobowych w Starostwie podzielone są funkcjonalnie. Zbiera się je, przechowuje
i przetwarza tradycyjnie na nośnikach papierowych, jak również w systemie informatycznym
w zakresie:
1) dokumentacji kadrowej:
b) dokumentów kandydatów ubiegających się o przyjęcie do pracy;
c) pracowników aktualnie zatrudnionych;
d) pracowników, z którymi rozwiązano umowę o pracę;
e) osób odbywających staż.
2) dokumentacji przetargowej:
a) kontrahentów;
b) przedsiębiorców;
3) danych osobowych mieszkańców Powiatu:
a) obywateli Polski;
b) obywateli innych państw.
3. Z uwagi na rodzaj i charakter danych osobowych zawartych w zbiorach w Starostwie wyróżnia
się dwie kategorie danych:
1) dane osobowe zwykłe – dane osobowe niezbędne do wykonania zadań administratora
danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres
przetwarzanych danych jest określony w ustawie;
2) dane osobowe szczególne – dane osobowe ujawniające pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach
lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym, których przetwarzanie jest dopuszczalne w związku z art. 27 ustawy.
str. 14
4. Dane osobowe mogą być przetwarzane wyłącznie w systemach informatycznych, które zostały
wprowadzone do użytku zgodnie z Zarządzeniem Starosty w sprawie wprowadzenia
w Starostwie Powiatowym w Bochni wykazu systemów informatycznych wspomagających
funkcjonowanie i zarządzanie Starostwem.
Rozdział 9
Przepływ danych
§ 19
1. Komunikacja wewnętrzna – obieg dokumentów zawierających dane osobowe, pomiędzy
komórkami organizacyjnymi powinien odbywać się:
1) w formie papierowej w sposób zapewniający pełną ochronę przed ujawnieniem lub
zagubieniem zawartych w tych dokumentach danych osobowych;
2) w formie elektronicznej przy wykorzystaniu funkcjonujących w Starostwie systemów
informatycznych;
2. Komunikacja zewnętrzna – dokumenty (materiały) zawierające dane osobowe powinny być
przesyłane (przekazywane) za pośrednictwem jednej z poniżej podanych form doręczenia:
1) goniec ZPO,
2) przesyłka polecona ZPO,
3) przesyłka polecona priorytetowa ZPO,
4) paczka ZPO,
5) paczka priorytetowa ZPO,
6) przesyłka zagraniczna priorytetowa ZPO.
Dokumenty (materiały) zawierające dane osobowe powinny być opakowane w nieprzezroczystą
kopertę. Przy przekazywaniu dokumentów należy zapewnić pełną ochronę przekazywanych
danych osobowych.
3. Komunikacja w sieci komputerowej – zezwala się na przekazywanie danych (informacji)
w systemie informatycznym. Komunikacja może odbywać się wyłącznie za pośrednictwem
serwera Starostwa poprzez łącza publiczne po wcześniejszym zaszyfrowaniu przesyłanych
danych.
Rozdział 10
Opis zdarzeń naruszających ochronę danych osobowych
§ 20
1. Dopuszcza się następujący podział zagrożeń mogących wystąpić w Starostwie:
1) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu itp.),
2) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki użytkowników systemu, awarie
sprzętu, błędy oprogramowania itp.),
3) zagrożenia zamierzone – spowodowane celową działalnością człowieka zmierzające do
utraty poufności danych.
2. Sytuacje zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia ochrony
danych osobowych to między innymi:
1) awaria sprzętu lub oprogramowania, które wskazują na umyślne działanie w kierunku
naruszenia ochrony danych osobowych,
2) stwierdzenie próby modyfikacji, modyfikacja danych lub zmiana w strukturze danych bez
autoryzacji (upoważnienia),
str. 15
3) ujawnienie osobom nieupoważnionym danych osobowych, rażące naruszenie dyscypliny
pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. niewylogowanie
się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w miejscu
ogólnie dostępnym, urządzeniu wielofunkcyjnym, niezamknięcie pomieszczenia, w których
przetwarzane są dane osobowe, niewykonanie w określonym czasie kopii bezpieczeństwa,
prace na danych osobowych w celach prywatnych, itp.),
4) nieuzasadnione kopiowanie przez użytkowników systemów, plików z serwerów na stacje
robocze użytkowników, dyskietki i inne nośniki jest zabronione,
5) za naruszenie ochrony uważa się również nieprawidłowości w zakresie zabezpieczenia
miejsc przechowywania danych osobowych (otwarte szafy, biurka lub pozostawienie do nich
kluczy w miejscach widocznych, itp.).
Rozdział 11
Postępowanie w przypadku naruszenia systemu ochrony danych osobowych. Monitorowanie
zabezpieczeń
§ 21
1. Każdy pracownik Starostwa, który stwierdzi naruszenie zabezpieczenia ochrony danych
osobowych gromadzonych w formie papierowej powinien niezwłocznie poinformować o tym
fakcie Bezpośredniego przełożonego oraz Administratora bezpieczeństwa informacji.
2. W przypadku gdy naruszenie dotyczyło systemów informatycznych pracownik ma obowiązek
poinformować bezpośredniego przełożonego, Administratora systemu informatycznego oraz
Administratora bezpieczeństwa informacji.
3. Po otrzymaniu informacji o naruszeniu zabezpieczeń:
1) w przypadku danych gromadzonych w formie papierowej - Administrator bezpieczeństwa
informacji,
2) w przypadku systemów informatycznych - Administrator systemu informatycznego,
zobowiązani są do podjęcia działań mających na celu ochronę danych osobowych przetwarzanych
w Starostwie.
4. Administrator bezpieczeństwa informacji, a w przypadku systemów informatycznych
Administrator systemu informatycznego, sporządza raport z naruszenia bezpieczeństwa
i niezwłocznie przekazuje go Staroście.
5. W przypadku gdy naruszenie bezpieczeństwa danych przetwarzanych w systemach
informatycznych dotyczyło systemów i danych udostępnionych Starostwu (np. CEPiK, Ewid
2007 itp.) czynności, o których mowa powyżej, należy wykonać przy współpracy
z administratorami tych systemów.
6. W przypadku gdy naruszenie bezpieczeństwa danych przetwarzanych w systemach
informatycznych dotyczyło systemów i danych udostępnionych innym jednostkom (np. ewidencja
gruntów i budynków) Kierownik danej jednostki, której udostępniono dane ma obowiązek
poinformować Starostę na piśmie o zaistniałym incydencie oraz podjąć niezbędne kroki w celu
wyjaśnienia zdarzenia i wdrożenia procedur eliminujących w przyszłości podobne sytuacje.
§ 22
1. Do monitorowania systemu zabezpieczeń zobowiązani są:
1) Administrator danych,
2) Administrator bezpieczeństwa informacji.
2. W ramach kontroli należy zwracać szczególna uwagę na:
1) zabezpieczenie dokumentów,
2) zabezpieczenie pomieszczeń,
str. 16
3) okresowe sprawdzanie kopii bezpieczeństwa pod względem przydatności do możliwości
odtwarzania danych,
4) kontrolę ewidencji nośników kopii bezpieczeństwa.
Rozdział 12
Przepisy karne
§ 23
Pracownik nie przestrzegający zasad określonych w niniejszej Polityce ponosi odpowiedzialność za
ochronę przetwarzanych danych zgodnie z zapisami art. 49, art. 51-53 ustawy o ochronie danych
osobowych (t.j. Dz. U. 2002 r. Nr 101, poz. 926 z późn. zm.).
str. 17
Zał. Nr 1
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
Wniosek o wydanie upoważnienia
do przetwarzania danych osobowych
Na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101,poz. 926 z późn. zm.) proszę o wydanie upoważnienia dla:
Pani (a) ………………………………..
(imię i nazwisko)
Pracownika ………………………………………………………………………………………………….
(nazwa komórki organizacyjnej)
Do wykonywania czynności związanych z przetwarzaniem danych osobowych w zakresie:
…………………………………………………………………………………………………………………
(wpisujemy zakres przetwarzanych danych np. komputerowym systemie KSAT 2000
aplikacja Organizacja Pracy Urzędu , systemie elektronicznego naboru dla szkół VULCAN itp.)
na okres od ……………………………….do …………………………..
…………………………………………
(imię i nazwisko dyrektora - podpis)
str. 18
Zał. Nr 2
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
WNIOSEK
O PRZYDZIELENIE / COFNIECIE1
UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM WSPOMAGAJĄCYM FUNKCJONOWANIE
URZĘDU
Wnioskuję o przyznanie/odebranie1 uprawnień w systemie informatycznym dla :
1. Imię: ………………………………………………………………….
2. Nazwisko: ……………………………………………………………
3. Stanowisko: ………………………………………………………….
4. Nazwa Komórki organizacyjnej: …………………………………...
5. Data wypełnienia: ……………………………………………………
Nazwa systemu informatycznego
Pełna nazwa systemu,
aplikacji:
Administrator bezpieczeństwa informacji
Adnotacja
dot.
przetwarzania
danych osobowych:
Opiekun systemu informatycznego
Adnotacja dot. szkolenia:
Administrator systemu informatycznego
Adnotacja
dot.
szkolenia,
przydzielenia konta uzytkownikowi:
……………………………………………………………
(Podpis dyrektora)
1
niepotrzebne skreślić,
str. 19
Zał. Nr 3
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
Wykaz użytkowników systemu informatycznego
………………………………………………………..
Lp.
Imię
i nazwisko
Komórka
organizacyjna
Przydzielony
login
(identyfikator)
Data przyznania
dostępu
do systemu
informatycznego
Data cofnięcia
dostępu do systemu
informatycznego
Uprawnienia
Uwagi
1
2
3
4
5
6
7
8
str. 20
Zał. Nr 4
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
Wniosek
o przyznanie ostępu do sieci publicznej
Proszę o przyznanie dostępu do sieci publicznej dla:
Pani (a) ………………………………..
(imię i nazwisko)
Pracownika ………………………………………………………………………………………………….
(nazwa komórki organizacyjnej)
Wniosek podyktowany jest:
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
(podajemy krótki opis powodu dla którego staramy się o dostęp do sieci publicznej)
na okres od ……………………………….do …………………………..
…………………………………………
(imię i nazwisko wnioskującego - podpis)
Z wnioskiem zapoznałem się i przesyłam do dalszego postępowania: z poparciem/ bez poparcia*.
………………………………..…………
(imię i nazwisko dyrektora - podpis)
*niewłaściwe skreślić
str. 21
Zał. Nr 5
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
Wniosek
o wyrażenie zgody na korzystanie z sprzętu informatycznego poza budynkiem
Starostwa Powiatowego w Bochni
Zwracam się z wnioskiem o wrażenie zgody na korzystanie z powierzonego sprzętu
informatycznego tj.
…………………………………………………………………………………………………………………
(nazwa sprzętu informatycznego, nr inwentarzowy)
poza budynkiem Starostwa Powiatowego w Bochni.
Wniosek podyktowany jest:
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
(uzasadnienie wniosku)
na okres od ……………………………….do …………………………..
……………………….………………………..…………
(imię i nazwisko wnioskującego – podpis)
Z wnioskiem zapoznałem się i przesyłam do dalszego postępowania: z poparciem/ bez poparcia*.
……………………….………………………..…………
(imię i nazwisko bezpośredniego przełożonego - podpis)
Z wnioskiem zapoznałem się i przesyłam do dalszego postępowania: z poparciem/ bez poparcia*.
……………………….………………………..…..………
(imię i nazwisko Dyrektora Wydziału Organizacyjnego - podpis)
Wyrażam zgodę/ nie wyrażam zgody
……………………….………………………..…………
(podpis Starosty lub osoby upoważnionej)
*niewłaściwe skreślić
str. 22
Zał. Nr 6
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie
Starostwem
Lp.
Nazwa systemu
informatycznego
1
2
Przeznaczenie systemu
informatycznego
Miejsce
zainstalowania
systemu
informatycznego
Uwagi
3
5
8
Zintegrowany system zapewniający w
formie elektronicznej obsługę
następujących funkcji: Planowanie
Budżetu, Centralny Rejestr Umów,
Należności i Zobowiązania, Ewidencja
Kadrowa, Księga Główna, Płace, Centralna
Kartoteka Kontrahentów, Repozytorium
Systemu.
Zarządzanie sprawami, prowadzenie
metryk spraw, pilnowanie terminów spraw,
nadawanie znaków zgodnie z instrukcją
kancelaryjną, integracja z platformą
ePUAP, obsługa korespondencji
przychodzącej i wychodzącej.
Wspomaganie obsługi dokumentów
występujących wyłącznie w formie
elektronicznej, wspomaganie
użytkowników w przygotowaniu spraw do
archiwizacji dokumentów elektronicznych.
1
Komputerowy system dla
administracji terenowej
KSAT2000
2
System elektronicznego
zarządzania dokumentów
SIDAS
3
System elektronicznej
rejestracji czasu pracy
UNIRCP
4
System centralnego
wydruku
5
Platforma Stanowienia
Prawa Lokalnego EDICTA
LEGIS
6
Platforma Konsultacji
Społecznych
7
Active Directory
8
System poczty
elektronicznej
System bezpiecznej poczty elektronicznej.
Serwerownia
9
System CMS
Serwis internetowy Starostwa
Powiatowego w Bochni
Serwer zewnętrzny
EURA7 - dostęp do
edycji strony przez
Internet
10
System informacji prawnej
LEX
11
System dystrybucji
materiałów elektronicznych
dla Radnych
12
System dystrybucji
materiałów elektronicznych
Rejestracja i rozliczanie czasu pracy
Zintegrowany z Active Directory system
podążającego wydruku, skanowania,
rozpoznawania pisma oraz kontroli dostępu
do kserokopiarek.
System redagowania aktów prawnych
Starosty, Zarządu Powiatu oraz Rady
Powiatu w wersji elektronicznej, w formacie
zgodnym z obowiązującymi przepisami
prawa
System konsultowania za pomocą
internetu aktów prawnych Starosty,
Zarządu Powiatu oraz Rady Powiatu.
Centralny system zarządzania
użytkownikami systemów informatycznych,
ich zasobami oraz prawami dostępu.
Dostęp do aktualnych aktów prawnych, w
tym orzeczeń, komentarzy, monografii,
piśmiennictwa, serwisów samorządowych,
prawa europejskiego oraz serwisu
zamówień publicznych
System zapewnia całodobowy dostęp do
materiałów dla Radnych Rady Powiatu w
Bochni w formie elektronicznej, po podaniu
loginu i hasła.
System zapewnia całodobowy dostęp do
materiałów dla Członków Zarządu w
Serwerownia
Serwerownia
Serwerownia
Serwerownia
Serwerownia
Serwerownia
Serwerownia
Serwerownia
Serwerownia
Serwerownia
str. 23
Lp.
Nazwa systemu
informatycznego
Przeznaczenie systemu
informatycznego
dla Członków Zarządu
Bochni w formie elektronicznej, po podaniu
loginu i hasła.
System umożliwiający wykonywanie zadań
w zakresie sprawozdawczości budżetowej
drogą elektroniczną.
System umożliwiający wykonywanie zadań
w zakresie sprawozdawczości drogą
elektroniczną.
Zapewnienie publicznie dostępnego
wykazu danych zawierających informacje o
środowisku i jego ochronie. Zgodnie z
ustawą z dnia 3 października 2008 r. o
udostępnianiu informacji o środowisku i
jego ochronie, udziale społeczeństwa w
ochronie środowiska oraz o ocenach
oddziaływania na środowisko (Dz.U. Nr
199 z 2008 r. poz. 1227 z późn. zm.)
Internetowy dostęp do informacji o stanie
sprawy załatwianej w Starostwie
Powiatowym w Bochni.
13
System sprawozdawczości
budżetowej JST BESTIA
14
System elektronicznej
sprawozdawczości GUS
15
System Informacji o
Środowisku
16
System informacji o stanie
sprawy
17
Biuletyn Informacji
Publicznej
Publikacja urzędowych informacji zgodnie
z obowiązującymi przepisami prawa.
18
Biuletyn zamówień
publicznych
System centralnej publikacji ogłoszeń o
zamówieniach publicznych.
19
Centralna Ewidencja
Pojazdów i Kierowców
System do kompleksowej obsługi zadań
Wydziału Komunikacji i Transportu w
zakresie Ewidencji Pojazdów i Kierowców.
21
Ewid 2007
22
System monitoringu
przeciwpowodziowego
23
Arkus2005
System do kompleksowej obsługi zadań
Wydziału Geodezji, Kartografii, Katastru i
Gospodarki Nieruchomościami w zakresie
Ewidencji Gruntów i Budynków.
W Powiecie Bocheńskim działa już
wczesne ostrzeganie przeciwpowodziowe.
Urządzenia pomiarowe zamontowane
zostały na rzece Rabie w Chełmie,
Stradomce w Łapanowie oraz Uszwicy w
Lipnicy Murowanej. Na system monitoringu
składają się trzy lokalne stacje pomiarowe
oraz centralna stacja pomiarowa. Stacje te
mierzą i przechowują dane dot. poziomu
wody w rzekach, monitorują gwałtowne
wzrosty i przekroczenia poziomu
ostrzegawczego i alarmowego. Informacje
te przekazywane są do stacji centralnej i
rozsyłane za pomocą komunikatu sms na
wybrane numery telefonów. Dane te
przekazywane są za pomocą standardowej
linii telefonicznej. Wszelkie informacje
pojawiają się także na specjalnej stronie
internetowej: http://monitoring.waterpoint.pl
Aplikacja umożliwiającą zbieranie,
przechowywanie, analizę informacji
dotyczących zasobów gmin województwa
w zakresie spraw związanych z
bezpieczeństwem w sytuacjach
kryzysowych, przedstawianie ich w formie
graficznej na mapie gminy (powiatu,
województwa), generowanie raportów o
stanie sił i środków gminy, powiatu,
zliczanie zasobów w układzie gminnym,
Miejsce
zainstalowania
systemu
informatycznego
Uwagi
Serwerownia
Serwer zewnętrzny dostęp do aplikacji
przez Internet
Serwer zewnętrzny dostęp do aplikacji
przez Internet
Serwerownia
Serwer zewnętrzny dostęp do aplikacji
przez Internet
Serwer zewnętrzny dostęp do aplikacji
przez Internet
Serwer zewnętrzny w pok. 15a
zainstalowany jest
serwer pośredniczący
dla CEPiK.
Serwerownia
Serwer zewnętrzny
firmy Waterpoint
Aplikacja używana
lokalnie w Wydziale
Bezpieczeństwa i
Spraw Społecznych.
str. 24
Lp.
24
Nazwa systemu
informatycznego
EMID
Przeznaczenie systemu
informatycznego
powiatowym, wojewódzkim lub wybranych
jednostek administracji samorządowej.
Moduł mapowy umożliwia: prognozowanie
skażeń i zagrożeń oraz zobrazowanie ich
na mapie, automatyczne wyszukiwanie
miejscowości i ich umiejscawianie na
mapie a ponadto ma rozbudowany moduł
graficzny umożliwiający wykonywanie
planów, lub zobrazowanie sytuacji
kryzysowej na mapie. Przy pomocy
„ARCUS 2005” rozwiązany jest problem
kompleksowego gromadzenia danych od
szczebla gminy do szczebla województwa i
transferu danych z gminy do powiatu i
województwa. Jest to narzędzie
funkcjonujące w jednostkach
samorządowych szczebla gminy i powiatu
oraz na szczeblu wojewódzkim.
System wspomagający ewidencję oraz
znakowanie i inwentaryzację środków
trwałych urzędu.
Miejsce
zainstalowania
systemu
informatycznego
Uwagi
Serwerownia
25
SIO
System Informacji Oświatowej
Aplikacja używana
lokalnie w Wydziale
Edukacji, Kultury,
Sportu i Turystyki
26
Communication Assistant
Pro
System obsługi Call Center
Serwerownia
27
VULCAN
System elektronicznego naboru do szkół
28
PABS
Elektroniczne arkusze organizacyjne szkół
i placówek
29
30
Cogisoft
Korelacja
System finansowo-księgowy
System Finansowo-Księgowo-Płacowy
Serwer zewnętrzny dostęp do aplikacji
przez Internet
Serwer zewnętrzny dostęp do aplikacji
przez Internet
Serwerownia
Serwerownia
31
Generator wniosków
Generator Wniosku o dofinansowanie
realizacji projektów
Aplikacja używana
lokalnie
32
System centralnego faksu
sieciowego
System umożliwia wysyłanie faksów z
lokalnych stanowisk i centralny odbiór
faksów w wersji elektronicznej
Serwerownia
str. 25
Zał. Nr 7
do Polityki bezpieczeństwa przetwarzanych danych osobowych
w Starostwie Powiatowym w Bochni
Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem
Lp.
Nazwa systemu
informatycznego
Przeznaczenie
systemu
informatycznego
Firma
wdrażająca
system
informatyczny
Miejsce
zainstalowania
systemu
informatycznego
Opiekun
systemu
Administrator
systemu
informatycznego
Uwagi
1
2
3
4
5
6
7
8
str. 26