zarzadzenie

Transkrypt

zarzadzenie

ZARZĄDZENIE NR 152/15
WÓJTA GMINY GRAJEWO
z dnia 24 listopada 2015 r.
w sprawie ustalenia dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę danych osobowych
przetwarzanych w Urzędzie Gminy Grajewo.
Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2014 r. poz. 1182 z późn. zm.) zwanej dalej ustawą i § 3 rozporządzenia Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024) zarządza się, co następuje:
§ 1. Wprowadza się do stosowania w Urzędzie Gminy Grajewo:
1) politykę bezpieczeństwa w zakresie przetwarzania i ochrony danych osobowych w
brzmieniu określonym załącznikiem nr 1 do niniejszego zarządzenia;
2) instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych w brzmieniu określonym załącznikiem nr 2 do niniejszego zarządzenia.
§ 2. Administratorem Danych Osobowych przetwarzanych w Urzędzie Gminy Grajewo
jest Wójt Gminy Grajewo, który realizuje zadania w zakresie ochrony danych osobowych
określone w ustawie o ochronie danych osobowych, a w szczególności:
1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza z
uwzględnieniem zmian w obowiązującym prawie i technikach zabezpieczenia danych
osobowych;
2) upoważnia poszczególne osoby do przetwarzania danych osobowych w indywidualnie
określonym zakresie wydając pisemne upoważnienia;
3) powołuje Administratora Bezpieczeństwa Informacji
Informatycznych.
i Administratora Systemów
§ 3. Na funkcję Administratora Bezpieczeństwa Informacji powołuje się Sekretarza
Gminy do którego zadań należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych w szczególności
przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora
danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art.
36 ust. 2 ustawy, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z
przepisami o ochronie danych osobowych.
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z
wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru
oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy.
§ 4. 1. Na funkcję Administratora Systemów Informatycznych wyznacza się pracownika
ds. informatycznych odpowiedzialnego za ochronę danych osobowych w systemach
informatycznych Urzędu.
2. Do zadań Administratora Systemów Informatycznych należy w szczególności:
1) zarządzanie systemami informatycznymi, w których przetwarzane są dane osobowe;
2) przydzielanie osobom
identyfikatorów i haseł;
upoważnionym
do
przetwarzania
danych
osobowych
3) nadzorowanie działania mechanizmów uwierzytelniania użytkowników oraz kontroli
dostępu do danych osobowych w systemach informatycznych;
4) wykonywanie napraw, konserwacji i likwidacji urządzeń komputerowych na których
zapisane są dane osobowe;
5) sprawowanie nadzoru nad wykonywaniem kopii zapasowych zestawów i zbiorów danych
osobowych z poszczgólnych systemów informatycznych;
6) zabezpieczanie systemów informatycznych przed dostępem osób nieupoważnionych, a w
szczególności przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie
fizycznych i logicznych zabezpieczeń.
§ 5. Kierownicy poszczególnych referatów Urzędu w terminie 14 dni od dnia wejścia w
życie niniejszego zarządzenia dokonają sprawdzenia aktualności upoważnień do
przetwarzania danych osobowych posiadanych przez podległe im osoby i ewentualnie
wystąpią do Admininistratora Danych Osobowych z wnioskami o nadanie nowych
upoważnień.
§ 6. Administrator Bezpieczeństwa Informacji w ciągu 14 dni od dnia wejścia w życie
niniejszego zarządzenia zapewni zapoznanie osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych i odebranie stosownych oświadczeń.
§ 7. Traci moc zarządzenie nr 35/08 Wójta Gminy Grajewo z dnia 16 października
2008 r. w sprawie zapewnienia ochrony danych osobowych przetwarzanych w Urzędzie
Gminy Grajewo.
§ 8. Upoważnienia, oświadczenia i ewidencje sporządzone na formularzach, którch wzór
określało uchylone zarządzenie, o którym mowa w § 7, zachowują ważność, jeśli są aktualne
merytorycznie i zgodne z wzorami określonymi niniejszym zarządzeniem.
§ 9. Wykonanie zarządzenia powierza się Administratorowi Bezpieczeństwa Informacji,
Administratorowi Systemów Informatycznych, kierownikom referatów i pracownikom
Urzędu.
§ 10. Zarządzenie wchodzi w życie z dniem podpisania.
/\
Zał. nr 1 do zarządzenia Nr 152/15
W ójta G m iny G rajewo
z dnia 24 listopada 2015 r.
POLITYKA BEZPIECZEŃSTWA
W ZAKRESIE PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH.
Rozdział 1
Postanowienia ogólne.
§ 1. Polityka bezpieczeństwa przetwarzania i ochrony danych osobowych w Urzędzie
zawiera opis sposobów przetwarzania danych i określenie środków niezbędnych do ich
ochrony.
§ 2. Ilekroć w polityce bezpieczeństwa i instrukcji jest mowa o:
1) ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.);
2) Administratorze Danych Osobowych - rozumie się przez to Wójta Gminy Grajewo
sprawującego funkcję kierownika Urzędu Gminy Grajewo decydującego o celach i
środkach przetwarzania danych osobowych;
3) Urzędzie - rozumie się przez to Urząd Gminy Grajewo;
4) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
5) identyfikatorze - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w
systemie informatycznym;
6) haśle - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie
osobie uprawnionej do pracy w danym systemie informatycznym;
7) odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z
wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 3la ustawy,
d) podmiotu, o którym mowa w art. 31 ustawy,
e) organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem.
8) osobie upoważnionej do przetwarzania danych osobowych - rozumie się przez to osobę,
która upoważniona została na piśmie przez Administratora Danych Osobowych do
przetwarzania danych osobowych;
9) użytkowniku - rozumie się przez to osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym posiadającą identyfikator i hasło.
§ 3. Dane osobowe gromadzi się i przetwarza w:
1) kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych w
formie dokumentów papierowych;
2) systemach informatycznych i na elektronicznych nośnikach informacji.
§ 4. Wszystkie osoby upoważnione do przetwarzania danych osobowych w Urzędzie
zobowiązane są do zapoznania się z ustawą o ochronie danych osobowych i niniejszym
zarządzeniem.
§ 5. 1. Do przetwarzania danych osobowych w Urzędzie mogą być dopuszczone
wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych
po zapoznaniu się z przepisami o ochronie danych osobowych. Wzór upoważnienia określa
załącznik nr 1 do niniejszej polityki bezpieczeństwa.
2. Z wnioskiem o nadanie upoważnienia do przetwarzania danych osobowych w
określonym zakresie dla osoby pracującej lub rozpoczynającej pracę w Urzędzie występuje
kierownik właściwego referatu. Wzór wniosku określa załącznik nr 2 do polityki
bezpieczeństwa.
3. Ewidencję osób upoważnionych do przetwarzania danych osobowych w Urzędzie
prowadzi pracownik ds. kadrowych według wzoru stanowiącego załącznik nr 3 do polityki
bezpieczeństwa.
4. Osoby upoważnione do przetwarzania danych osobowych składają oświadczenie
w którym potwierdzają zapoznanie się z przepisami prawnymi dotyczącymi
przetwarzania i ochrony danych osobowych oraz zobowiązują się do zachowania
w tajemnicy przetwarzanych danych i sposobów ich zabezpieczenia. Wzór oświadczenia
określa załącznik nr 4 do polityki bezpieczeństwa.
5. Złożone oświadczenia przechowuje pracownik ds. kadrowych oraz prowadzi ich
ewidencję według wzoru stanowiącego załącznik nr 5 do polityki bezpieczeństwa.
§6.1. Osoba pracująca w Urzędzie może, z zastrzeżeniem ust. 2, rozpocząć
przetwarzanie danych osobowych w zbiorze po jego zgłoszeniu, zatwierdzonym przez
kierownika właściwego referatu, do rejestru prowadzonego przez Administratora
Bezpieczeństwa Informacji na formularzu, którego wzór określa załącznik nr 6 do niniejszej
polityki bezpieczeństwa.
2. Osoba pracująca w Urzędzie może rozpocząć przetwarzanie danych, o których
mowa w art. 27 ust. 1 ustawy (tzw. dane wrażliwe), w zbiorze danych po jego zgłoszeniu dla
Administratora Bezpieczeństwa Informacji i zarejestrowaniu przez niego tego zbioru w
rejestrze Generalnego Inspektora Ochrony Danych Osobowych, chyba że ustawa zwalnia z
obowiązku zgłoszenia zbioru do rejestracji.
3. Osoba przetwarzająca dane osobowe w zbiorze jest obowiązana do zgłoszenia każdej
zmiany informacji dotyczącej przetwarzanego zbioru zawartej w zgłoszeniu, o którym mowa
w ust. 1, w terminie 30 dni od dnia dokonania zmiany, z zastrzeżeniem ust. 4.
4. Jeżeli zmiana informacji dotyczy rozszerzenia zakresu przetwarzanych danych o
dane, o których mowa w art. 27 ust. 1 ustawy (dane wrażliwe) to ich przetwarzanie w
zmienianym zbiorze może się rozpocząć po rejestracji zmiany informacji o zbiorze w
rejestrze Generalnego Inspektora Ochrony Danych Osobowych.
§ 7. Administrator Danych Osobowych może powierzyć przetwarzanie danych
osobowych zgromadzonych w Urzędzie innemu podmiotowi w drodze umowy zawartej na
piśmie na zasadach określonych w art. 31 i 31 a ustawy.
§ 8. Osoba upoważniona do przetwarzania danych osobowych zobowiązana jest
zawiadomić Administratora Bezpieczeństwa Informacji o każdym przypadku naruszenia
zabezpieczeń chroniących dane osobowe, a w szczególności o:
1) uszkodzeniach zamków i innych zabezpieczeń szaf, biurek lub pomieszczeń w których są
przechowywane dokumenty i elektroniczne nośniki informacji zawierające dane
osobowe;
2) naruszeniu hasła dostępu do systemu informatycznego (system nie reaguje na hasło,
usunięty mechanizm zabezpieczenia hasłem);
3) częściowym lub całkowitym braku zbioru danych;
4) zmianach w funkcjonowaniu programu (pojawianie się komunikatów o błędach,
nieprawidłowe wykonywanie operacji);
5) zmianie ustawienia komputerów;
6) zmianach w funkcjonowaniu systemu;
7) innych sytuacjach nadzwyczajnych.
§ 9. Administrator Bezpieczeństwa Informacji po otrzymaniu zawiadomienia o
naruszeniu zabezpieczeń zbiorów danych osobowych przechowywanych w dokumentach
papierowych, na elektronicznych nośnikach informacji lub w systemie informatycznym
powinien niezwłocznie:
1) powiadomić o zdarzeniu Administratora Danych Osobowych,
2) przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności zdarzenia i osoby
odpowiedzialnej za naruszenie ochrony danych osobowych,
3) w uzgodnieniu z kierownikiem jednostki podjąć działania zabezpieczające przed
ponownym naruszeniem zabezpieczeń chroniących zbiory danych.
Rozdział 2
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe.
§ 10. Dane osobowe w Urzędzie mogą być przetwarzane wyłącznie w pomieszczeniach
przenaczonych do przetwarzania danych osobowych posiadających możliwość zamknięcia na
klucz na czas nieobecności w nim osób upoważnionych do przetwarzania danych.
§ 11. Ustala się, że w budynku Urzędu Gminy Grajewo położonym przy ul. Komunalnej
6 w Grajewie, obszarem w którym przetwarza się dane osobowe są:
1) na parterze - pomieszczenia oznaczone numerami: 1,2, 3, 4, 5, 5A, 6, 6A, 10, 11;
2) na piętrze - pomieszczenia oznaczone numerami: 12, 13, 13A, 14, 14A, 15, 16, 17, 17A,
18, 19, 19A, 20,21.
Rozdział 3
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych.
§ 12. Wykaz zbiorów danych osobowych funkcjonujących w Urzędzie oraz programów
stosowanych do ich przetwarzania przedstawia się następująco:
Lp.
Nazwa zbioru danych
Program używany do
przetwarzania zbioru
Miejsce przetwarzania
(nr pomieszczenia)
Zbiory nie podlegające w pisow i do rejestru A dm inistratora B ezpieczeństw a Inform acji
1.
K adry i płace pracow ników U rzędu
K adry i płace, Płatnik
4, 12, 14A, 18
2.
R ejestracja i kw alifikacja w ojskow a
Form a papierow a
5
3.
Rejestr w yborców
Selwin
4
4.
K operty dow odow e
Form a papierow a
5
Z biory podlegające w pisow i do rejestru A dm inistratora B ezpieczeństw a Informacji
5.
R ejestr ew idencji budynków
W ord
3
6.
R ejestr decyzji o w arunkach zabudow y
W ord
3
7.
Podatki i opłaty lokalne
Podatki, KSGZOB
18
8.
Stypendia Szkolne Socjalne
W ord
5
9.
System Inform acji O św iatow ej
SIO
5
10.
Podatek od środków transportow ych
A uta, K SG ZO B
18
11.
E w idencja rolników - zw rot akcyzy
Podatki
18
12.
W łaściciele nieruchom ości - odpady
Oplok, K SG ZO B
12, 14A, 17, 18
13.
Karta Dużej Rodziny
W ord
4
14
O dbiorcy w ody
PI FIRM A SFSC
12
15
Rejestr m ieszkańców
SELW IN
4
16
R ejestr zam ieszkania cudzoziem ców
SELW IN
4
17
D ziennik korespondencji
Sm artdoc
19, 14A
18
W ykazy uczniów dow ożonych do szkół
W ord
5
19
Płace pracow ników gm innych jednostek
ośw iatow ych
Kadry i płace, Płatnik
15
Rozdział 4
Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi.
§ 13. Struktura poszczególnych zbiorów danych osobowych przetwarzanych w Urzędzie
uwzględniająca grupy informacji (pola informacyjne) przedstawia się następująco:
1) kadry i płace pracowników Urzędu:
a) dane osobowe (imię, nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia,
PESEL, NIP, nr konta bankowego),
b) adres zamieszkania, adres do korespondencji (kod pocztowy, miejscowość, ulica, nr
domu, nr lokalu),
c) wykształcenie (podstawowe, zawodowe, średnie, wyższe),
d) przebieg zatrudnienia (zawód, stanowisko, zakład pracy, okres zatrudnienia),
e) dane osobowe dzieci pracownika (imię, nazwisko, data urodzenia).
f) dane dotyczące płacy (wysokość płacy zasadniczej, rodzaj dodatków, wysokość
dodatków),
g) kod ubezpieczenia (nr identyfikacyjny).
2) rejestracja i kwalifikacja wojskowa:
a) dane osobowe (imię, nazwisko, imię ojca, data urodzenia, miejsce urodzenia, kategoria
zdrowia, nr dowodu tożsamości, nr książeczki wojskowej)
b) adres pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu).
3) rejestr wyborców:
a) dane osobowe (imię, nazwisko,
obywatelstwo),
imię ojca, data urodzenia,
PESEL, płeć,
b) adres zamieszkania lub pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr
lokalu).
4) koperty dowodowe:
a) dane osobowe (imię, nazwisko, imiona rodziców, PESEL, data urodzenia, miejsce
urodzenia, numer dowodu osobistego, wizerunek twarzy),
b) dane kontaktowe (nr telefonu, e-mail).
5) rejestr ewidencji budynków:
a) dane osobowe (imię, nazwisko, imiona rodziców),
b) adres zamieszkania (kod pocztowy, miejscowość, ulica, nr posesji),
c) dane dotyczące nieruchomości (adres położenia, nr geodezyjny działki).
6) rejestr decyzji o warunkach zabudowy:
a) dane osobowe (imię, nazwisko, imiona rodziców),
b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu),
c) przedmiot decyzji (nr działki, powierzchnia, przeznaczenie, rodzaj użytku).
7) podatki i opłaty lokalne:
a) dane osobowe (imię, nazwisko, imiona rodziców, data urodzenia, PESEL, NIP),
c) przedmiot opodatkowania (powierzchnia, nr jednostki rejestrowej, klasa gruntu, rodzaj
użytku, rodzaj budynku),
d) dane kontaktowe (nr telefonu, nr e-maila).
8) stypendia szkolne socjalne:
a) dane osobowe (imię, nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia,
imiona i nazwiska osób wspólnie prowadzących gospodarstwo domowe),
c) źródło dochodu (miejsce pracy, wysokość dochodów),
d) miejsce nauki (nazwa szkoły),
e) dane kontaktowe (nr telefonu).
9) system informacji oświatowej:
a) dane osobowe (data urodzenia, PESEL),
b) wykształcenie (podstawowe, zawodowe, średnie, wyższe)
c) zatrudnienie (zawód, miejsce pracy).
10) podatek od środków transportowych:
a) dane osobowe (imię, nazwisko, imiona rodziców, PESEL, NIP),
c) dane dotyczące przedmiotu opodatkowania (marka, typ, model i rodzaj pojazdu,
numer rejestracyjny, nr VIN, dopuszczalna masa całkowita, rodzaj zawieszenia, ilość
osi, ilość miejsc, rok produkcji),
d) dane kontaktowe (nr telefonu, e-mail).
11) ewidencja rolników - zwrot akcyzy:
a) dane osobowe (imię, nazwisko, data urodzenia, PESEL, NIP, nr dowodu osobistego,
nr rachunku bankowego),
c) powierzchnia użytków rolnych.
12) właściciele nieruchomości - odpady:
a) dane osobowe (imiona, nazwiska, imiona rodziców, PESEL, NIP),
b) dane kontaktowe (nr telefonu, e-mail).
13) Karta Dużej Rodziny:
a) dane osobowe (imiona, nazwiska, data urodzenia, PESEL),
b) adres zamieszkania/pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu),
c) dane kontaktowe (nr telefonu).
14) odbiorcy wody:
a) dane osobowe (imiona, nazwiska),
c) dane kontaktowe (nr telefonu).
15) rejestr mieszkańców:
a) dane osobowe (imiona i nazwiska, PESEL, data urodzenia, miejsce urodzenia, kraj
urodzenia, płeć, nazwisko rodowe, imiona rodziców, imiona i nazwiska rodowe
rodziców, data zawarcia małżeństwa, obywatelstwo),
b) dane dotyczące miejsca zameldowania i wymeldowania (rodzaj zameldowania, adres,
data, kraj),
c) dane dotyczące stanu cywilnego (określone w art. 8 pkt 13 ustawy o ewidencji
ludności),
d) dokument tożsamości (rodzaj, seria, numer, wystawca, data wydania, data ważności),
e) dane dotyczące zgonu (data, numer aktu zgonu, nazwa USC sporządzającego akt).
16) rejestr zamieszkania cudzoziemców:
a) dane osobowe
obywatelstwo),
(imiona
i nazwiska,
data urodzenia,
kraj
urodzenia, płeć,
b) dane dotyczące miejsca zameldowania i wymeldowania (rodzaj zameldowania, adres,
data, kraj),
c) dane dotyczące dokumentu potwierdzającego tożsamość (rodzaj, numer, data
ważności),
d) pozostałe dane określone w art. 9 ust. 3 ustawy o ewidencji ludności.
17) dziennik korespondencji:
a) dane osobowe (imiona i nazwiska, PESEL, NIP),
c) dane kontaktowe (numer telefonu, e-mail).
18) wykazy uczniów dowożonych do szkól:
a) dane osobowe (imiona i nazwiska),
b) adres zamieszkania/pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu).
19) płace pracowników gminnych jednostek oświatowych:
a) dane osobowe (imiona i nazwiska, nazwisko rodowe, NIP, PESEL, data urodzenia,
miejsce urodzenia, imiona rodziców, nr konta bankowego),
c) dane dotyczące płacy (wysokość płacy zasadniczej, rodzaj dodatków, wysokość
dodatków),
d) kod ubezpieczenia (nr identyfikacyjny).
Rozdział 5
Sposób przepływu danych pomiędzy poszczególnymi systemami.
§ 14. Przepływy danych osobowych pomiędzy poszczególnymi systemami przedstawia
poniższa tabela:
Lp.
Nazwa zbioru danych
1.
Kadry i place pracowników
Urzędu
Kadry i place, Płatnik
Kadry i place - dwukierunkowo pomiędzy stacjami Siecią LAN, w obrębie stacji
roboczymi, a serwerem bazy danych. Jednkierunkowo z roboczej i siecią publiczną.
programu Kadry i place do Płatnika.
2.
Rejestracja i kwalifikacja
wojskowa
Forma papierowa
Nie dotyczy
3.
Rejestr wyborców
Selwin
Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy.
przepływów danych pomiędzy systemami.
4.
Koperty dowodowe
Forma papierowa
Nie dotyczy
Program używany do
przetwarzania zbioru
Kierunki przepływów danych
Sposób przesyłania
Zbiory nie podlegające wpisowi do rejestru Administratora Bezpieczeństwa Informacji
Nie dotyczy
Nie dotyczy
Zbiory podlegające wpisowi do rejestru Administratora Bezpieczeństwa Informacji
5.
Rejestr ewidencji budynków
Word
Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy
6.
Rejestr decyzji o warunkach
zabudowy
Word
7.
Podatki i opłaty lokalne
Podatki, KSGZOB
Dwukierunkowo pomiędzy stacją roboczą, a komputerem z Siecią LAN oraz w obrębie
bazą danych.
komputera z bazą danych.
8.
Stypendia Szkolne Socjalne
Word
9.
System Informacji Oświatowej
SIO
10.
Podatek od środków
transportowych
Auta, KSGZOB
Auta - Zbiór przetwarzany na jednej stacji roboczej. W obrębie komputera z bazą
KSGZOB - dwukierunkowo pomiędzy komputerem z bazą danych oraz siecią LAN.
danych, a stacją roboczą.
11.
Ewidencja rolników - zwrot
akcyzy
Podatki
12.
Właściciele nieruchomości odpady
Oplok, KSGZOB
Dwukierunkowo pomiędzy
serwerem bazy danych.
13.
Karta Dużej Rodziny
Word
14
Odbiorcy wody
PI FIRMA SFSC
15
Rejestr mieszkańców
SELWIN
Jednokierunkowy przepływ danych z SRP PESEL do Siecią dedykowaną MSW
wyodrębnionej stacji roboczej
16
Rejestr zamieszkania
cudzoziemców
SELWIN
Jednokierunkowy przepływ danych z SRP PESEL do Siecią dedykowaną MSW
wyodrębnionej stacji roboczej
17
Dziennik korespondencji
Smartdoc
18
Wykazy uczniów dowożonych do
szkól
Word
19
Place pracowników gminnych
jednostek oświatowych
Kadry i płace, Płatnik
stacjami
stacjami
stacjami
roboczymi,
roboczymi,
roboczymi,
a Siecią LAN
a Siecią LAN
a Siecią LAN
Rozdział 6
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności
i rozliczalności przetwarzanych danych.
§ 15. W celu ochrony przetwarzanych danych osobowych, a w szczególności
zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub
zniszczeniem stosuje się środki techniczne i organizacyjne mające zapewnić:
1) poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane
nieupoważnionym podmiotom lub osobom;
2) integralność danych rozumianą jako właściwość zapewniającą, że dane osobowe nie
zostały zmienione lub zniszczone w sposób nieautoryzowany;
3) rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą
być przypisane w sposób jednoznaczny tylko tej osobie.
§ 16. Zastosowane w Urzędzie środki techniczne i organizacyjne dla ochrony
przetwarzanych danych osobowych obejmują:
1) środki ochrony fizycznej:
a) dane osobowe w formie papierowej oraz w formie elektronicznej zapisane na
nośnikach danych są przechowywane w zamykanych na klucz szafach i biurkach,
b) pomieszczenia w których są przechowywane dane osobowe w formie papierowej
i elektronicznej zapisane na nośnikach danych i dyskach stacji roboczych są
zabezpieczone drzwiami zwykłymi lub wzmacnianymi zamykanymi na klucz,
c) klucze do szaf i biurek, w których są przechowywane dane osobowe, pracownicy
przechowują w miejscu niewidocznym lub noszą przy sobie,
d) klucze do pomieszczeń, w których są przechowywane dane osobowe, po pracy są
zostawiane w zamykanych właściwych pomieszczeniach do których dostęp mają
wybrane osoby,
e) kopie zapasowe zbiorów danych w formie elektronicznej na nośnikach danych są
przechowywane w zamykanych szafach metalowych lub odrębnym pomieszczeniu z
drzwiami wzmacnianymi do których dostęp mają właściwe osoby,
f) pomieszczenia, w których przetwarzane są dane osobowe, są zabezpieczone przed
skutkami pożaru za pomocą hydrantu wodnego i wolnostojących gaśnic,
g) projekty dokumentów zawierające dane osobowe, nie podlegające archiwizacji, po
ustaniu ich przydatności są niszczone mechanicznie w niszczarkach dokumentów.
2) środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
a) zastosowano urządzenia typu UPS chroniące systemy informatyczne służące do
przetwarzania danych osobowych przed skutkami awarii zasilania,
b) dostęp do systemu operacyjnego komputerów, w których są przetwarzane dane
osobowe, zabezpiecza się za pomocą procesu uwierzytelniania z wykorzystaniem
identyfikatora i hasła lub karty procesorowej i kodu PIN,
c) zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł,
d) zastosowano system rejestracji dostępu do systemów informatycznych,
e) w głównym serwerze urzędu zastosowano macierz dyskową w celu ochrony danych
osobowych przed skutkami awarii pamięci dyskowej,
f) zastosowano programy chroniące systemy informatyczne urzędu przed szkodliwym
oprogramowaniem takim jak: wirusy, trojany itp.,
g) dostęp do sieci komputerowej urzędu chroniony jest za pomocą środków sprzętowoprogramowych,
h) na wybranych stacjach roboczych zastosowano środki umożliwiające określenie praw
dostępu do wskaznanego zakresu danych w ramach przetwarzanego zbioru danych
osobowych,
i) na stanowiskach komputerowych, na których przetwarzane są dane osobowe,
zainstalowano wygaszacze ekranów oraz mechanizmy automatycznej blokady dostępu
do systemu informatycznego w przypadku dłuższej nieaktywości pracy użytkownika.
3) środki organizacyjne:
a) dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienie nadane
przez Administratora Danych Osobowych,
b) prowadzona jest
osobowych,
ewidencja osób
upoważnionych do
przetwarzania danych
c) osoby zatrudnione przy przetwarzaniu danych, są zapoznawane z przepisami
dotyczącymi ochrony danych osobowych,
d) osoby zatrudnione przy przetwarzaniu danych osobowych
informatycznych są szkolone w zakresie jego zabezpieczeń,
w
systemach
e) osoby przetwarzające dane osobowe, zobowiązują się do zachowania ich w tajemnicy
i sposobów ich zabezpieczenia,
f) pomieszczenia, w których są przetwarzane dane osobowe, zabezpiecza się przed
dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do
przetwarzania danych,
g) w pomieszczeniach, w których są przetwarzane dane osobowe, przebywanie osób
nieuprawnionych jest dopuszczalne za zgodą Administratora Danych Osobowych lub
w obecności osoby upoważnionej do przetwarzania danych osobowych,
h) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w
sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
i) kopie zapasowe wybranych zbiorów danych osobowych przetwarzanych w systemach
informatycznych przechowywane są w innym pomieszczeniu iż to, w którym znajduje
się serwer.
§ 17. 1. Osoby upoważnione do przetwarzania danych osobowych przed opuszczeniem
stanowiska pracy zabezpieczają dokumenty, elektroniczne nośniki informacji
i systemy informatyczne zawierające dane osobowe przed dostępem osób nieupoważnionych
lub postronnych.
2. Dokumenty i elektroniczne nośniki informacji należy umieszczać w zamykanych na
klucz biurkach lub szafach.
3. Systemy informatyczne należy zabezpieczać poprzez zamknięcie danego programu,
a przed końcem pracy wyłączenie systemu.
§ 18. Osoba opuszczająca dane pomieszczenie pracy jako ostatnia jest obowiązana
sprawdzić, czy nie pozostały w nim niezabezpieczone dokumenty, elektroniczne nośniki
informacji lub włączone systemy informatyczne zawierające dane osobowe.
mgr inż. Si
Załącznik nr 1
do polityki bezpieczeństwa
Grajewo, dnia.............................
(Nazwa Administratora Danych Osobowych)
Pan/i
(Nazwisko i imię pracownika, stanowisko, referat)
UPOWAŻNIENIE N R ...../ .....
Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2014 r. poz. 1182 z późn. zm.) upoważniam
Pana/Panią.........................................................................................................
do przetwarzania danych osobowych zawartych w:
I) zestawach ewidencyjnych w aktach prowadzonych spraw wynikających z realizacji posiadanego
zakresu czynności,
II) zbiorach danych osobowych wymienionych poniżej:
1) ......................................................................................................................................................................................................................
2) ......................................................................................................................................................................................................................
3 ) ......................................................................................................................................................................................................................
Upoważnienie jest udzielone na czas trwania stosunku pracy/ stosunku służbowego/ do odwołania
Traci moc upoważnienie n r ....../........ z d n ia...........................................
W związku z powyższym jest Pani/Pan zobowiązana/y zachować w tajemnicy poznane dane
osobowe oraz sposoby ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu stosunku pracy/
ustaniu stosunku służbowego/ odwołaniu upoważnienia
(Podpis Administratora Danych Osobowych)
1—niepotrzebne skreślić.
Niniejsze upoważnienie otrzymałam/em:
(Data i czytelny podpis osoby upoważnionej)
Załącznik nr 2
Grajewo, dnia
(Nazwisko i imię wnioskodawcy, stanowisko)
Wójt Gminy Grajewo
Wniosek
Na podstawie § 5 ust. 2 załącznika nr 1 do zarządzenia nr 152/15 Wójta Gminy Grajewo z
dnia 24 listopada 2015 r. w sprawie ustalenia dokumentacji opisującej sposób przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające ochronę danych osobowych
przetwarzanych w Urzędzie Gminy Grajewo zwracam się z wnioskiem o nadanie upoważnienia dla
do przetwarzania danych osobowych zawartych w:
I) zestawach ewidencyjnych w aktach prowadzonych spraw wynikających z realizacji posiadanego
zakresu czynności,
II) zbiorach danych osobowych wymienionych poniżej:
1) ........................................................................................................................................................................................ ,
2 ) ................................................................................................................................................................................ ,
3) .................................................................................................................................... ,
4) .....................................................................................................................................
Jednocześnie proszę o uchylenie dotychczasowego upoważnienia (jeśli dotyczy).
(Podpis wnioskodawcy)
Załącznik nr 3
Ewidencja osób upoważnionych do przetwarzania danych osobowych
w Urzędzie Gminy Grajewo.
Lp. Nazwisko i imię osoby
upoważnionej
Numer
upoważnienia
Data nadania
upoważnienia
Data ustania
upoważnienia
Zakres upoważnienia do przetwarzania danych
osobowych
Identyfikator w
systemie
informatycznym
Załącznik nr 4
OŚWIADCZENIE
Ja, niżej podpisana/y oświadczam, że:
zostałam/em
zapoznana/y
z
przepisami
ustawy
o
ochronie
danych
osobowych
(Dz. U. z 2014 r. poz. 1182 z późn. zm.),
zostałam/em zapoznana/y z zarządzeniem nr 152/15 Wójta Gminy Grajewo z dnia
24 listopada 2015 r. w sprawie
ustalenia dokumentacji opisującej sposób przetwarzania
danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę danych
osobowych przetwarzanych w Urzędzie Gminy Grajewo,
zobowiązuję się do zachowania w tajemnicy danych osobowych i sposobów ich
zabezpieczenia, które poznałam/em podczas wykonywania obowiązków służbowych w
Urzędzie Gminy Grajewo zarówno podczas trwania stosunku pracy/stosunku służbowego jak i
po jego ustaniu.
Grajewo, dnia
(Czytelny podpis upoważnionego pracownika)
Załącznik nr 5
Ewidencja oświadczeń złożonych przez osoby upoważnione do przetwarzania
danych osobowych w Urzędzie Gminy Grajewo o zapoznaniu się z przepisami
o ochronie danych osobowych.
Lp. Nazwisko i imię osoby składającej
oświadczenie
Data złożenia oświadczenia
Uwagi
Załącznik nr 6
(Nazwisko i imię wnioskodawcy, stanowisko)
Administrator Bezpieczeństwa Informacji
Urzędu Gminy Grajewo
Zgłoszenie zbioru danych osobowych
do rejestru Administratora Bezpieczeństwa Informacji
Lp.
Wyszczególnienie
1
N azw a zbioru danych:
2
N azw a adm inistratora danych, adres jeg o
siedziby oraz Regon:
Przedstaw iciel adm inistratora danych, o
którym m ow a w art. 31 a ustaw y i adres
jego siedziby:
Podmiot, którem u pow ierzono
przetw arzanie danych ze zbioru na
podstaw ie art. 31 ustaw y i adres jeg o
siedziby:
Podstaw a praw na upow ażniająca do
prow adzenia zbioru danych:
Cel przetw arzania danych w zbiorze:
3
4
5
6
7
8
9
10
11
12
Informacje dotyczące zbioru
O pis kategorii osób, których dane są
przetw arzane w zbiorze:
Zakres danych przetw arzanych w zbiorze:
Sposób zbierania danych do zbioru, w
szczególności inform acja, czy dane do
zbioru są zbierane od osób, których
dotyczą, czy z innych źródeł niż osoba,
której dane dotyczą:
Sposób udostępniania danych ze zbioru, w
szczególności inform acja, czy dane ze
zbioru są udostępniane innym podm iotom
niż upow ażnione na podstaw ie przepisów
prawa:
O znaczenie odbiorcy danych lub kategorii
odbiorców , którym dane m ogą być
przekazyw ane:
Inform acja dotycząca ew entualnego
przekazyw ania danych do państw a
trzeciego:
(Podpis wnioskodawcy)
(Podpis kierownika referatu)
Załącznik Nr 2 do zarządzenia nr 152/15
Wójta Gminy Grajewo
z dnia 24 listopada 2015
Instrukcja
określająca sposób zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych w Urzędzie Gminy Grajewo
Rozdział 1
Postanowienia ogólne.
§ 1. W Urzędzie Gminy Grajewo obowiązuje wysoki poziom bezpieczeństwa systemu
informatycznego z uwagi na to, że jest on połączony z siecią publiczną (z Internetem).
§ 2. W celu zapewnienia bezpiecznej ekspolatacji sprzętu i oprogramowania ustala się
następujące zasady jego użytkowania:
1) urządzenia aktywne obsługujące sieć lokalną Urzędu chronią ją na poziomie warstwy
łącza danych na ewentualność podłączenia obcych w Urzędzie;
2) ekrany monitorów są wyposażone w wygaszacze zabezpieczone hasłem, które aktywują
się automatycznie po upływie określonego czasu od ostatniego użycia komputera;
3) programy zainstalowane na komputerach obsługujących przetwarzanie danych osobowych
są użytkowane z zachowaniem praw autorskich i posiadają licencje;
4) instalacji oprogramowania może dokonywać ASI, w razie konieczności instalacji
oprogramowania przez pracowników firm zewnętrznych czynność ta powinna być
wykonywana za przyzwoleniem i w obecności zarządzającego oprogramowaniem;
5) system informatyczny wyposażony jest w mechanizmy autoryzacji oraz uwierzytelniania
użytkownika sprawujące kontrolę dostępu do danych osobowych jedynie osób
upoważnionych;
6) użytkownikom nie wolno uruchamiać oprogramowania z innych źródeł (nośniki
wymienne, Internet) bez zgody ASI;
7) komputer przenośny może być używany do przetwarzania danych osobowych po
odpowiednim jego zabezpieczeniu (hasło na Bios, lub szyfrowanie danych);
8) użytkownik korzystający z komputera przenośnego jest zobowiązany do zachowania
szczególnej ostrożności podczas transportu komputera oraz nie może udostępnić
komputera osobom nieupoważnionym;
9) ekrany monitorów są ustawione w miarę możliwości w taki sposób, żeby uniemożliwić
odczyt wyświetlanych informacji osobom nieupoważnionym.
§ 3. W celu bezpiecznego korzystania z internetu i poczty elektroniczej należy
przestrzegać następujących zasad:
1) zakazuje się ściągania przez użytkowników jakichkolwiek plików lub przeglądania
zasobów informacyjnych o treści nie związanej z wykonywana pracą, a w szczególności
prawnie zabronionej;
2) zaleca się, aby do wymiany korespondencji w czasie korzystania z systemu
informatycznego Urzędu wykorzystywać jedynie służbową pocztę elektroniczną;
3) szczególne rygory należy stosować wobec ściągania z Internetu plików wykonywalnych,
użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie
ściągnięte z Internetu i przez niego używane;
4) do korzystania z Internetu użytkownicy mogą wykorzystywać jedynie zaakceptowane
przez Administratora Systemów Informatycznych formy dostępu (dotyczy prób
obchodzenia poustawianych obostrzeń oraz podłączania dodatkowych urządzeń
komunikacyjnych);
5) przesyłanie informacji za pośrednictwem poczty elektronicznej winno odbywać się
zgodnie z uprawnieniami adresatów do korzystania z określonego typu danych. W
przypadku wątpliwości nadawca powinien sprawdzić, czy dana osoba ma uprawnienia do
korzystania z dokumentów danego typu lub o określonej klauzuli poprzez skonsultowanie
się z Administratorem Bezpieczeństwa Informacji;
6) jeśli adresatem wiadomości zawierającej dane osobowe jest pracownik Urzędu zaleca się
doręczenia danych w formie elektronicznej w sposób wykorzystujący wewnętrzne
mechanizmy przekazywania danych (dyski sieciowe, udostępniony folder użytkownika
docelowego);
7) przesyłanie informacji poza obręb Urzędu może odbywać się tylko przez osoby do tego
upoważnione do adresatów upoważnionych do odbierania tego typu danych;
8) w razie konieczności przesyłania danych osobowych dane te należy uprzednio
odpowiednio zabezpieczyć wykorzystując mechanizmy kompresji z szyfrowaniem z tym
zastrzeżeniem, że hasło musi zostać dostarczone do adresata drogą inną niż same dane
(np. przez telefon);
9) użytkownicy powinni zwrócić szczególną uwagę na poprawność adresu odbiorcy
dokumentu;
10) jeżeli istotne jest potwierdzenie otrzymania przez adresata przesyłki, użytkownik winien
skorzystać, o ile jest to technicznie możliwe, z opcji systemu poczty elektronicznej
informującej o dostarczeniu i otwarciu dokumentu. Dodatkowo zaleca się, aby
użytkownik zawarł w treści dokumentu prośbę o potwierdzenie otrzymania i zapoznania
się z informacją. Adresat zobowiązany jest w takiej sytuacji przesłać nadawcy
potwierdzenie;
11) informacje przesyłane za pośrednictwem poczty elektronicznej muszą być zgodne z
prawem i z zasadami zawartymi w Polityce Bezpieczeństwa Danych Osobowych
obowiązującej w Urzędzie;
12) użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie
sugeruje związku z wypełnianymi przez nich obowiązkami służbowymi. W przypadku
otrzymania takiej przesyłki, użytkownik powinien ją zniszczyć lub skontaktować się z
Administratorem Systemów Informatycznych;
13) użytkownicy nie powinni uruchamiać wykonywalnych załączników (pliki.exe)
dołączonych do wiadomości przesyłanych pocztą elektroniczną. W takim przypadku
użytkownik powinien poinformować o zdarzeniu ASI, który winien sprawdzić, czy
załącznik stanowi zagrożenie dla przetwarzanych w systemie informatycznym informacji;
14) użytkownicy nie powinni rozsyłać za pośrednictwem poczty elektronicznej informacji o
zagrożeniach dla systemu informatycznego, "łańcuszków szczęścia" itp;
15) użytkownicy nie powinni rozsyłać, wiadomości zawierających załączniki o dużym
rozmiarze (powyżej 20 MB) do większej liczby adresatów. W razie konieczności
przesłania większych załączników winni skontaktować się z ASI;
16) użytkownicy powinni okresowo kasować niepotrzebne wiadomości pocztowe.
Rozdział 2
Procedura nadawania uprawnień do przetwarzania danych osobowych.
§ 4. 1. Do przetwarzania danych osobowych w systemie informatycznym Urzędu mogą
być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych
osobowych nadane przez Administratora Danych Osobowych (ADO).
2. Rejestracji osób (użytkowników), o których mowa w ust. 1, w poszczególnych
systemach informatycznych przetwarzających dane osobowe dokonuje Administrator
Systemów Informatycznych (ASI) na polecenie Administratora Bezpieczeństwa Informacji
(ABI).
3. Rejestracja użytkownika, o którym mowa w ust. 2, polega na nadaniu jemu
identyfikatora i hasła oraz wprowadzenia tych danych do systemu informatycznego.
4. Użytkownik po otrzymaniu hasła od Administratora Systemów Informatycznych
dokonuje jego natychmiastowej zmiany i zachowuje je wyłącznie do swojej wiadomości.
5. Użytkownik ma prawo do wykonywania tylko tych czynności, do których został
upoważniony.
6. Użytkownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu
jego identyfikatora i hasła dostępu.
7. Odebranie uprawnień użytkownikowi następuje na pisemny wniosek przełożonego,
któremu użytkownik podlega z podaniem daty oraz przyczyny odebrania uprawnień.
8. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych
należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one
przetwarzane oraz unieważnić jej hasło.
9. Administrator Systemu Informatycznego zobowiązany jest do prowadzenia rejestru
użytkowników i ich uprawnień w systemie informatycznym.
Rozdział 3
Metody i środki uwierzytelnienia.
§ 5. Celem procedury uwierzytelniania jest zapewnienie, że do systemów
informatycznych przetwarzających dane osobowe mają dostęp jedynie osoby do tego
upoważnione.
§6. 1. Identyfikator i hasło umożliwia użytkownikowi dostęp do określonego obszaru
systemu informatycznego niezbędnego do realizacji jej obowiązków służbowych.
2. Hasło dostępu powinno składać się z co najmniej 8 znaków, zawierać małe i duże
litery oraz cyfry lub znaki specjalne i zabezpieczać dostęp do systemu informatycznego na
poziomie systemu operacyjnego oraz programu przetwarzającego dane osobowe.
3. Użytkownik dokonuje zmiany hasła nie rzadziej niż co 30 dni.
4. Użytkownik systemu informatycznego jest obowiązany do zachowania w ścisłej
tajemnicy hasła dostępu do_systemów.
5. Identyfikatory nadane dla poszczególnych osób upoważnionych do przetwarzania
danych osobowych w określonym obrzarze systemu informatycznego są rejestrowane w
ewidencji, o której mowa w § 5 ust. 3 polityki bezpieczeństwa.
6. Hasła administratora do poszczególnych programów i systemów są ustalane przez
ASI i przechowywane są przez niego i ABI. Skorzystanie z hasła administratora odbywa się
po wyznaczeniu przez niego osoby upoważnionej.
7. Zarejestrowane hasła administratora, oprócz treści hasła winny posiadać adnotację o
dacie ich wprowadzenia do systemu.
8. W przypadku utraty uprawnień przez osobę administrującą systemem należy
niezwłocznie zmienić hasła, do których miała dostęp.
Rozdział 4
Procedura rozpoczęcia, zawieszenia i zakończenia pracy
§ 7. W wypadku utraty upoważnienia do przetwarzania danych osobowych przez daną
osobę Administrator Systemu Informatycznego w trybie natychmiastowym pozbawia ją
uprawnień dostępu do systemu informatycznego przetwarzającego dane osobowe.
§ 8. Użytkownik w trakcie prowadzenia czynności uwierzytelniania w systemie
informatycznym nie dopuszcza do ujawnienia danych uwierzytelniających użytkownika
(hasła osobistego) poprzez uniemożliwienie podejrzenia lub zarejestrowania w inny sposób
wprowadzanego z klawiatury hasła przez osobę trzecią. W przypadku, gdy poufne
wprowadzenie hasła nie jest możliwe z przyczyn wynikających ze strony osoby trzeciej,
użytkownik ma obowiązek zaprzestania dalszych działań lub nie rozpoczynania tej operacji
oraz powiadamia o tym bezpośredniego przełożonego.
§ 9. 1. Sytem informatyczny przetwarzający dane osobowe może pracować jedynie pod
bezpośrednim nadzorem upoważnionej osoby.
2. Przed opuszczeniem stanowiska pracy użytkownik obowiązany jest zabezpieczyć
system informatyczny przetwarzający dane osobowe przed dostępem osób nieupoważnionych
lub postronnych poprzez zablokowanie pulpitu, wylogowanie się, ewentualnie wyłączenie
stacji roboczej.
3. Użytkownik zabezpiecza stację roboczą ustawiając wygaszacz ekranu w trybie
blokady z hasłem, która następuje maksymalnie po 15 minutach nieaktywności komputera.
4. Przed opuszczeniem stanowiska pracy, użytkownik obowiązany jest:
1) wylogować się z systemu informatycznego lub,
2) wywołać blokowany hasłem wygaszacz ekranu.
5. Kończąc pracę należy:
1) wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy,
2) zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki
danych, na których znajdują się dane osobowe.
6. W przypadku stwierdzenia problemów z funkcjonowaniem systemu oraz
niemożliwością wykonania żadnego z działań określonych w pkt 2, 3, 4 lub 5 użytkownik
zobowiązany niezwłocznie wezwać Administratora Systemów Informatycznych oraz pozostać
przy stanowisku pracy do czasu jego przybycia lub do przybycia wyznaczonej przez niego
osoby.
Rozdział 5
Procedura tworzenia kopii zapasowych.
§ 10. W celu zabezpieczenia się przed utratą przetwarzanych danych osobowych, osoby
odpowiedzialne za ich przetwarzanie na swoich stacjach roboczych obowiązane są tworzyć
kopie zapasowe przetwarzanych danych na elektronicznych nośnikach informacji co
najmniej raz w miesiącu.
§11. Za tworzenie kopii bezpieczeństwa zbiorów danych osobowych i programów
służących do ich przetwarzania znajdujących się na wybranych stacjach roboczych i serwerze
odpowiedzialny jest Administrator Systemów Informatycznych.
Rozdział 6
Sposób, miejsce i okres przechowywania elektronicznych nośników zawierających dane
osobowe.
§ 12. W celu zabezpieczenia danych osobowych przed ich utratą w Urzędzie Gminy
stosuje się określoną procedurę przechowywania nośników.
§ 13. 1. Elektroniczne nośniki informacji zawierające zapasowe kopie danych osobowych
oraz wszelkie wydruki z danymi osobowymi należy przechowywać w szafach lub biurkach
zabezpieczonych zamkami przed dostępem osób nieupoważnionych.
2. Nośniki zawierające zapasowe kopie danych osobowych są przechowywane przez
okres 3 miesięcy po czym usuwa się z nich zapisane dane w sposób nieodwracalny, a w
przypadku gdy nie jest to możliwe, uszkadza się je lub niszczy w sposób uniemożliwiający
ich odczytanie.
3. Za wykonanie czynności, o których mowa w ust. 1 i 2, odpowiedzialne są właściwe
merytorycznie osoby przetwarzające poszczególne dane osobowe.
4. Pracownicy nie mogą wynosić na zewnątrz Urzędu wymiennych elektronicznych
nośników informacji z zapisanymi danymi osobowymi bez zgody Administratora Danych
Osobowych.
§ 14. W odniesieniu do kopii zapasowych zbiorów danych oraz oprogramowania
postępuje się następująco:
1) kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi
programowych zastosowanych do przetwarzania danych są przechowywane w zamykanej
szafie na terenie Urzędu;
2) dostęp do kopii zapasowych mają tylko upoważnieni pracownicy, tj. ABI oraz ASI;
3) nośniki, na których znajdują się kopie zawierające dane osobowe, są oznaczone w sposób
trwały, jednoznaczny i czytelny;
4) kopie archiwalne należy:
a) okresowo sprawdzać pod kątem ich dalszej przydatności do odtwarzania,
b) bezzwłocznie usuwać po ustaniu ich użyteczności.
Rozdział 7
Procedura zabezpieczenia systemu informatycznego przed działalnością
oprogramowania złośliwego.
§ 15. 1. System informatyczny Urzędu przetwarzający dane osobowe może być
wykorzystywany przez upoważnione osoby wyłącznie do realizacji zadań przewidzianych w
ich zakresach czynności.
2.
Zabronione jest samowolne instalowanie w systemie informatycznym Urzędu
jakiegokolwiek oprogramowania bez wiedzy i zgody Administratora Systemu
Informatycznego i Administratora Bezpieczeństwa Informacji.
§ 16. W celu ochrony systemu informatycznego przed oprogramowaniem, którego celem
jest uzyskanie nieuprawnionego dostępu do systemu, każdy zestaw komputerowy wchodzący
w jego skład musi być wyposażony w oprogramowanie zabezpieczające aktualizowane nie
rzadziej niż raz w miesiącu, posiadające jako minimum funkcjonalności możliwość
wykywania i eliminowania wirusów komputerowych.
§ 17. 1. Administrator Systemu Informatycznego jest bezpośrednio odpowiedzialny za
sprawowanie ochrony zasobów i systemów informatycznych przed wirusami komputerowymi
i podejmowanie w tym celu stosownych czynności.
2. Wprowadzanie danych pochodzących z zewnątrz do systemu informatycznego
Urzędu z wykorzystaniem elektronicznych nośników informacji może odbywać się po ich
uprzedniej kontroli antywirusowej.
Rozdział 8
Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych
osobowych.
§ 18. Przy udostępnianiu danych osobowych odbiorcom obowiązują w Urzędzie niżej
określone zasady:
1) odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych osobowych w Urzędzie,
c) podmiotu, któremu powierzono przetwarzanie danych,
d) organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem;
2) dane osobowe administrowane przez Urząd Gminy Grajewo mogą być udostępnione
osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa;
3) dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba, że przepis innej
ustawy stanowi inaczej;
4) dane udostępnione urzędowi przez inny podmiot można wykorzystać wyłącznie zgodnie z
przeznaczeniem, dla którego zostały udostępnione;
5) poszczególni pracownicy prowadzą ewidencję udostępniania danych, o których mowa w
pkt 2;
6) Ewidencja udostępniania danych obejmuje informacje o:
a) nazwie jednostki organizacyjnej lub imieniu i nazwisku osoby, której udostępniono
dane,
b) zakresie udostępnianych danych,
c) dacie udostępnienia,
7) odnotowanie informacji w ewidencji powinno nastąpić niezwłocznie po udostępnieniu
danych;
8) na żądanie osoby, której dane zostały udostępnione, informacje o udostępnieniu danych są
zamieszczane w pisemnym raporcie i przekazywane tej osobie;
9) realizacja wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. spełniona jest poprzez
prowadzenie "Ewidencji udostępniania danych".
Rozdział 9
Procedura wykonywania przeglądów i konserwacji systemów informatycznych i
nośników danych
§ 19. 1. Okresowych przeglądów i konserwacji systemu informatycznego dokonuje
Administrator Systemu Informatycznego.
2. W przypadku konieczności naprawy urządzeń systemu informatycznego przez firmy
zewnętrzne, przed ich przekazaniem do naprawy usuwa się z nich nośnik zawierający dane
osobowe lub naprawia się je pod nadzorem osoby upoważnionej przez Administratora
Danych Osobowych.
3. Wszelkie prace konserwacyjne i naprawcze sprzętu komputerowego oraz
uaktualnienia systemu informatycznego, wykonywane przez podmiot zewnętrzny, powinny
odbywać się na zasadach określonych w szczegółowej umowie z uwzględnieniem klauzuli
dotyczącej ochrony danych.
4. Aplikacje kontrolne programów przetwarzających dane osobowe umożliwiające
sprawdzenie poprawności pracy systemu i prawidłowości zapisu danych powinny być
okresowo uruchamiane przez Administratora Systemu Informatycznego.
§ 20. Aktualizacja oprogramowania powinna być przeprowadzana zgodnie z zaleceniami
producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji.
§ 21. Administrator Systemu Informatycznego jest zoobwiązany do dokonywania
okresowej analizy zagrożeń i podatności na zagrożenia funkcjonującego systemu
informatycznego Urzędu.

zarzadzenie

Transkrypt

Podobne dokumenty

Ochrona i przetwarzanie danych osobowych w Instytucie Zdrowia i

Proszę o przyjęcie syna/córki do klasy ………….od dnia

CURRENDA BEZPIECZEńSTWO INFORMACJI

Wniosek o kontynuację nauki w klasie pierwszej

ochrona danych osobowych dla hr

OŚWIADCZENIE UCZESTNIKA PROJEKTU O WYRAŻENIE ZGODY

Wyciąg z Polityki Bezpieczeństwa

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu

Polityka bezpieczeństwa przetwarzania danych