zarzadzenie
Transkrypt
zarzadzenie
ZARZĄDZENIE NR 152/15 WÓJTA GMINY GRAJEWO z dnia 24 listopada 2015 r. w sprawie ustalenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę danych osobowych przetwarzanych w Urzędzie Gminy Grajewo. Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) zwanej dalej ustawą i § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zarządza się, co następuje: § 1. Wprowadza się do stosowania w Urzędzie Gminy Grajewo: 1) politykę bezpieczeństwa w zakresie przetwarzania i ochrony danych osobowych w brzmieniu określonym załącznikiem nr 1 do niniejszego zarządzenia; 2) instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w brzmieniu określonym załącznikiem nr 2 do niniejszego zarządzenia. § 2. Administratorem Danych Osobowych przetwarzanych w Urzędzie Gminy Grajewo jest Wójt Gminy Grajewo, który realizuje zadania w zakresie ochrony danych osobowych określone w ustawie o ochronie danych osobowych, a w szczególności: 1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza z uwzględnieniem zmian w obowiązującym prawie i technikach zabezpieczenia danych osobowych; 2) upoważnia poszczególne osoby do przetwarzania danych osobowych w indywidualnie określonym zakresie wydając pisemne upoważnienia; 3) powołuje Administratora Bezpieczeństwa Informacji Informatycznych. i Administratora Systemów § 3. Na funkcję Administratora Bezpieczeństwa Informacji powołuje się Sekretarza Gminy do którego zadań należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy. § 4. 1. Na funkcję Administratora Systemów Informatycznych wyznacza się pracownika ds. informatycznych odpowiedzialnego za ochronę danych osobowych w systemach informatycznych Urzędu. 2. Do zadań Administratora Systemów Informatycznych należy w szczególności: 1) zarządzanie systemami informatycznymi, w których przetwarzane są dane osobowe; 2) przydzielanie osobom identyfikatorów i haseł; upoważnionym do przetwarzania danych osobowych 3) nadzorowanie działania mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych w systemach informatycznych; 4) wykonywanie napraw, konserwacji i likwidacji urządzeń komputerowych na których zapisane są dane osobowe; 5) sprawowanie nadzoru nad wykonywaniem kopii zapasowych zestawów i zbiorów danych osobowych z poszczgólnych systemów informatycznych; 6) zabezpieczanie systemów informatycznych przed dostępem osób nieupoważnionych, a w szczególności przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń. § 5. Kierownicy poszczególnych referatów Urzędu w terminie 14 dni od dnia wejścia w życie niniejszego zarządzenia dokonają sprawdzenia aktualności upoważnień do przetwarzania danych osobowych posiadanych przez podległe im osoby i ewentualnie wystąpią do Admininistratora Danych Osobowych z wnioskami o nadanie nowych upoważnień. § 6. Administrator Bezpieczeństwa Informacji w ciągu 14 dni od dnia wejścia w życie niniejszego zarządzenia zapewni zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych i odebranie stosownych oświadczeń. § 7. Traci moc zarządzenie nr 35/08 Wójta Gminy Grajewo z dnia 16 października 2008 r. w sprawie zapewnienia ochrony danych osobowych przetwarzanych w Urzędzie Gminy Grajewo. § 8. Upoważnienia, oświadczenia i ewidencje sporządzone na formularzach, którch wzór określało uchylone zarządzenie, o którym mowa w § 7, zachowują ważność, jeśli są aktualne merytorycznie i zgodne z wzorami określonymi niniejszym zarządzeniem. § 9. Wykonanie zarządzenia powierza się Administratorowi Bezpieczeństwa Informacji, Administratorowi Systemów Informatycznych, kierownikom referatów i pracownikom Urzędu. § 10. Zarządzenie wchodzi w życie z dniem podpisania. /\ Zał. nr 1 do zarządzenia Nr 152/15 W ójta G m iny G rajewo z dnia 24 listopada 2015 r. POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH. Rozdział 1 Postanowienia ogólne. § 1. Polityka bezpieczeństwa przetwarzania i ochrony danych osobowych w Urzędzie zawiera opis sposobów przetwarzania danych i określenie środków niezbędnych do ich ochrony. § 2. Ilekroć w polityce bezpieczeństwa i instrukcji jest mowa o: 1) ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.); 2) Administratorze Danych Osobowych - rozumie się przez to Wójta Gminy Grajewo sprawującego funkcję kierownika Urzędu Gminy Grajewo decydującego o celach i środkach przetwarzania danych osobowych; 3) Urzędzie - rozumie się przez to Urząd Gminy Grajewo; 4) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 5) identyfikatorze - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; 6) haśle - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w danym systemie informatycznym; 7) odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 3la ustawy, d) podmiotu, o którym mowa w art. 31 ustawy, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. 8) osobie upoważnionej do przetwarzania danych osobowych - rozumie się przez to osobę, która upoważniona została na piśmie przez Administratora Danych Osobowych do przetwarzania danych osobowych; 9) użytkowniku - rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym posiadającą identyfikator i hasło. § 3. Dane osobowe gromadzi się i przetwarza w: 1) kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych w formie dokumentów papierowych; 2) systemach informatycznych i na elektronicznych nośnikach informacji. § 4. Wszystkie osoby upoważnione do przetwarzania danych osobowych w Urzędzie zobowiązane są do zapoznania się z ustawą o ochronie danych osobowych i niniejszym zarządzeniem. § 5. 1. Do przetwarzania danych osobowych w Urzędzie mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych po zapoznaniu się z przepisami o ochronie danych osobowych. Wzór upoważnienia określa załącznik nr 1 do niniejszej polityki bezpieczeństwa. 2. Z wnioskiem o nadanie upoważnienia do przetwarzania danych osobowych w określonym zakresie dla osoby pracującej lub rozpoczynającej pracę w Urzędzie występuje kierownik właściwego referatu. Wzór wniosku określa załącznik nr 2 do polityki bezpieczeństwa. 3. Ewidencję osób upoważnionych do przetwarzania danych osobowych w Urzędzie prowadzi pracownik ds. kadrowych według wzoru stanowiącego załącznik nr 3 do polityki bezpieczeństwa. 4. Osoby upoważnione do przetwarzania danych osobowych składają oświadczenie w którym potwierdzają zapoznanie się z przepisami prawnymi dotyczącymi przetwarzania i ochrony danych osobowych oraz zobowiązują się do zachowania w tajemnicy przetwarzanych danych i sposobów ich zabezpieczenia. Wzór oświadczenia określa załącznik nr 4 do polityki bezpieczeństwa. 5. Złożone oświadczenia przechowuje pracownik ds. kadrowych oraz prowadzi ich ewidencję według wzoru stanowiącego załącznik nr 5 do polityki bezpieczeństwa. §6.1. Osoba pracująca w Urzędzie może, z zastrzeżeniem ust. 2, rozpocząć przetwarzanie danych osobowych w zbiorze po jego zgłoszeniu, zatwierdzonym przez kierownika właściwego referatu, do rejestru prowadzonego przez Administratora Bezpieczeństwa Informacji na formularzu, którego wzór określa załącznik nr 6 do niniejszej polityki bezpieczeństwa. 2. Osoba pracująca w Urzędzie może rozpocząć przetwarzanie danych, o których mowa w art. 27 ust. 1 ustawy (tzw. dane wrażliwe), w zbiorze danych po jego zgłoszeniu dla Administratora Bezpieczeństwa Informacji i zarejestrowaniu przez niego tego zbioru w rejestrze Generalnego Inspektora Ochrony Danych Osobowych, chyba że ustawa zwalnia z obowiązku zgłoszenia zbioru do rejestracji. 3. Osoba przetwarzająca dane osobowe w zbiorze jest obowiązana do zgłoszenia każdej zmiany informacji dotyczącej przetwarzanego zbioru zawartej w zgłoszeniu, o którym mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany, z zastrzeżeniem ust. 4. 4. Jeżeli zmiana informacji dotyczy rozszerzenia zakresu przetwarzanych danych o dane, o których mowa w art. 27 ust. 1 ustawy (dane wrażliwe) to ich przetwarzanie w zmienianym zbiorze może się rozpocząć po rejestracji zmiany informacji o zbiorze w rejestrze Generalnego Inspektora Ochrony Danych Osobowych. § 7. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych zgromadzonych w Urzędzie innemu podmiotowi w drodze umowy zawartej na piśmie na zasadach określonych w art. 31 i 31 a ustawy. § 8. Osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zawiadomić Administratora Bezpieczeństwa Informacji o każdym przypadku naruszenia zabezpieczeń chroniących dane osobowe, a w szczególności o: 1) uszkodzeniach zamków i innych zabezpieczeń szaf, biurek lub pomieszczeń w których są przechowywane dokumenty i elektroniczne nośniki informacji zawierające dane osobowe; 2) naruszeniu hasła dostępu do systemu informatycznego (system nie reaguje na hasło, usunięty mechanizm zabezpieczenia hasłem); 3) częściowym lub całkowitym braku zbioru danych; 4) zmianach w funkcjonowaniu programu (pojawianie się komunikatów o błędach, nieprawidłowe wykonywanie operacji); 5) zmianie ustawienia komputerów; 6) zmianach w funkcjonowaniu systemu; 7) innych sytuacjach nadzwyczajnych. § 9. Administrator Bezpieczeństwa Informacji po otrzymaniu zawiadomienia o naruszeniu zabezpieczeń zbiorów danych osobowych przechowywanych w dokumentach papierowych, na elektronicznych nośnikach informacji lub w systemie informatycznym powinien niezwłocznie: 1) powiadomić o zdarzeniu Administratora Danych Osobowych, 2) przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności zdarzenia i osoby odpowiedzialnej za naruszenie ochrony danych osobowych, 3) w uzgodnieniu z kierownikiem jednostki podjąć działania zabezpieczające przed ponownym naruszeniem zabezpieczeń chroniących zbiory danych. Rozdział 2 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. § 10. Dane osobowe w Urzędzie mogą być przetwarzane wyłącznie w pomieszczeniach przenaczonych do przetwarzania danych osobowych posiadających możliwość zamknięcia na klucz na czas nieobecności w nim osób upoważnionych do przetwarzania danych. § 11. Ustala się, że w budynku Urzędu Gminy Grajewo położonym przy ul. Komunalnej 6 w Grajewie, obszarem w którym przetwarza się dane osobowe są: 1) na parterze - pomieszczenia oznaczone numerami: 1,2, 3, 4, 5, 5A, 6, 6A, 10, 11; 2) na piętrze - pomieszczenia oznaczone numerami: 12, 13, 13A, 14, 14A, 15, 16, 17, 17A, 18, 19, 19A, 20,21. Rozdział 3 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. § 12. Wykaz zbiorów danych osobowych funkcjonujących w Urzędzie oraz programów stosowanych do ich przetwarzania przedstawia się następująco: Lp. Nazwa zbioru danych Program używany do przetwarzania zbioru Miejsce przetwarzania (nr pomieszczenia) Zbiory nie podlegające w pisow i do rejestru A dm inistratora B ezpieczeństw a Inform acji 1. K adry i płace pracow ników U rzędu K adry i płace, Płatnik 4, 12, 14A, 18 2. R ejestracja i kw alifikacja w ojskow a Form a papierow a 5 3. Rejestr w yborców Selwin 4 4. K operty dow odow e Form a papierow a 5 Z biory podlegające w pisow i do rejestru A dm inistratora B ezpieczeństw a Informacji 5. R ejestr ew idencji budynków W ord 3 6. R ejestr decyzji o w arunkach zabudow y W ord 3 7. Podatki i opłaty lokalne Podatki, KSGZOB 18 8. Stypendia Szkolne Socjalne W ord 5 9. System Inform acji O św iatow ej SIO 5 10. Podatek od środków transportow ych A uta, K SG ZO B 18 11. E w idencja rolników - zw rot akcyzy Podatki 18 12. W łaściciele nieruchom ości - odpady Oplok, K SG ZO B 12, 14A, 17, 18 13. Karta Dużej Rodziny W ord 4 14 O dbiorcy w ody PI FIRM A SFSC 12 15 Rejestr m ieszkańców SELW IN 4 16 R ejestr zam ieszkania cudzoziem ców SELW IN 4 17 D ziennik korespondencji Sm artdoc 19, 14A 18 W ykazy uczniów dow ożonych do szkół W ord 5 19 Płace pracow ników gm innych jednostek ośw iatow ych Kadry i płace, Płatnik 15 Rozdział 4 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. § 13. Struktura poszczególnych zbiorów danych osobowych przetwarzanych w Urzędzie uwzględniająca grupy informacji (pola informacyjne) przedstawia się następująco: 1) kadry i płace pracowników Urzędu: a) dane osobowe (imię, nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, PESEL, NIP, nr konta bankowego), b) adres zamieszkania, adres do korespondencji (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) wykształcenie (podstawowe, zawodowe, średnie, wyższe), d) przebieg zatrudnienia (zawód, stanowisko, zakład pracy, okres zatrudnienia), e) dane osobowe dzieci pracownika (imię, nazwisko, data urodzenia). f) dane dotyczące płacy (wysokość płacy zasadniczej, rodzaj dodatków, wysokość dodatków), g) kod ubezpieczenia (nr identyfikacyjny). 2) rejestracja i kwalifikacja wojskowa: a) dane osobowe (imię, nazwisko, imię ojca, data urodzenia, miejsce urodzenia, kategoria zdrowia, nr dowodu tożsamości, nr książeczki wojskowej) b) adres pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu). 3) rejestr wyborców: a) dane osobowe (imię, nazwisko, obywatelstwo), imię ojca, data urodzenia, PESEL, płeć, b) adres zamieszkania lub pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu). 4) koperty dowodowe: a) dane osobowe (imię, nazwisko, imiona rodziców, PESEL, data urodzenia, miejsce urodzenia, numer dowodu osobistego, wizerunek twarzy), b) dane kontaktowe (nr telefonu, e-mail). 5) rejestr ewidencji budynków: a) dane osobowe (imię, nazwisko, imiona rodziców), b) adres zamieszkania (kod pocztowy, miejscowość, ulica, nr posesji), c) dane dotyczące nieruchomości (adres położenia, nr geodezyjny działki). 6) rejestr decyzji o warunkach zabudowy: a) dane osobowe (imię, nazwisko, imiona rodziców), b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) przedmiot decyzji (nr działki, powierzchnia, przeznaczenie, rodzaj użytku). 7) podatki i opłaty lokalne: a) dane osobowe (imię, nazwisko, imiona rodziców, data urodzenia, PESEL, NIP), b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) przedmiot opodatkowania (powierzchnia, nr jednostki rejestrowej, klasa gruntu, rodzaj użytku, rodzaj budynku), d) dane kontaktowe (nr telefonu, nr e-maila). 8) stypendia szkolne socjalne: a) dane osobowe (imię, nazwisko, imiona rodziców, data urodzenia, miejsce urodzenia, imiona i nazwiska osób wspólnie prowadzących gospodarstwo domowe), b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) źródło dochodu (miejsce pracy, wysokość dochodów), d) miejsce nauki (nazwa szkoły), e) dane kontaktowe (nr telefonu). 9) system informacji oświatowej: a) dane osobowe (data urodzenia, PESEL), b) wykształcenie (podstawowe, zawodowe, średnie, wyższe) c) zatrudnienie (zawód, miejsce pracy). 10) podatek od środków transportowych: a) dane osobowe (imię, nazwisko, imiona rodziców, PESEL, NIP), b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) dane dotyczące przedmiotu opodatkowania (marka, typ, model i rodzaj pojazdu, numer rejestracyjny, nr VIN, dopuszczalna masa całkowita, rodzaj zawieszenia, ilość osi, ilość miejsc, rok produkcji), d) dane kontaktowe (nr telefonu, e-mail). 11) ewidencja rolników - zwrot akcyzy: a) dane osobowe (imię, nazwisko, data urodzenia, PESEL, NIP, nr dowodu osobistego, nr rachunku bankowego), b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) powierzchnia użytków rolnych. 12) właściciele nieruchomości - odpady: a) dane osobowe (imiona, nazwiska, imiona rodziców, PESEL, NIP), b) dane kontaktowe (nr telefonu, e-mail). 13) Karta Dużej Rodziny: a) dane osobowe (imiona, nazwiska, data urodzenia, PESEL), b) adres zamieszkania/pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) dane kontaktowe (nr telefonu). 14) odbiorcy wody: a) dane osobowe (imiona, nazwiska), b) adres zamieszkania/pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) dane kontaktowe (nr telefonu). 15) rejestr mieszkańców: a) dane osobowe (imiona i nazwiska, PESEL, data urodzenia, miejsce urodzenia, kraj urodzenia, płeć, nazwisko rodowe, imiona rodziców, imiona i nazwiska rodowe rodziców, data zawarcia małżeństwa, obywatelstwo), b) dane dotyczące miejsca zameldowania i wymeldowania (rodzaj zameldowania, adres, data, kraj), c) dane dotyczące stanu cywilnego (określone w art. 8 pkt 13 ustawy o ewidencji ludności), d) dokument tożsamości (rodzaj, seria, numer, wystawca, data wydania, data ważności), e) dane dotyczące zgonu (data, numer aktu zgonu, nazwa USC sporządzającego akt). 16) rejestr zamieszkania cudzoziemców: a) dane osobowe obywatelstwo), (imiona i nazwiska, data urodzenia, kraj urodzenia, płeć, b) dane dotyczące miejsca zameldowania i wymeldowania (rodzaj zameldowania, adres, data, kraj), c) dane dotyczące dokumentu potwierdzającego tożsamość (rodzaj, numer, data ważności), d) pozostałe dane określone w art. 9 ust. 3 ustawy o ewidencji ludności. 17) dziennik korespondencji: a) dane osobowe (imiona i nazwiska, PESEL, NIP), b) adres zamieszkania/pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) dane kontaktowe (numer telefonu, e-mail). 18) wykazy uczniów dowożonych do szkól: a) dane osobowe (imiona i nazwiska), b) adres zamieszkania/pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu). 19) płace pracowników gminnych jednostek oświatowych: a) dane osobowe (imiona i nazwiska, nazwisko rodowe, NIP, PESEL, data urodzenia, miejsce urodzenia, imiona rodziców, nr konta bankowego), b) adres zamieszkania/ pobytu (kod pocztowy, miejscowość, ulica, nr domu, nr lokalu), c) dane dotyczące płacy (wysokość płacy zasadniczej, rodzaj dodatków, wysokość dodatków), d) kod ubezpieczenia (nr identyfikacyjny). Rozdział 5 Sposób przepływu danych pomiędzy poszczególnymi systemami. § 14. Przepływy danych osobowych pomiędzy poszczególnymi systemami przedstawia poniższa tabela: Lp. Nazwa zbioru danych 1. Kadry i place pracowników Urzędu Kadry i place, Płatnik Kadry i place - dwukierunkowo pomiędzy stacjami Siecią LAN, w obrębie stacji roboczymi, a serwerem bazy danych. Jednkierunkowo z roboczej i siecią publiczną. programu Kadry i place do Płatnika. 2. Rejestracja i kwalifikacja wojskowa Forma papierowa Nie dotyczy 3. Rejestr wyborców Selwin Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy. przepływów danych pomiędzy systemami. 4. Koperty dowodowe Forma papierowa Nie dotyczy Program używany do przetwarzania zbioru Kierunki przepływów danych Sposób przesyłania Zbiory nie podlegające wpisowi do rejestru Administratora Bezpieczeństwa Informacji Nie dotyczy Nie dotyczy Zbiory podlegające wpisowi do rejestru Administratora Bezpieczeństwa Informacji 5. Rejestr ewidencji budynków Word Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 6. Rejestr decyzji o warunkach zabudowy Word Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 7. Podatki i opłaty lokalne Podatki, KSGZOB Dwukierunkowo pomiędzy stacją roboczą, a komputerem z Siecią LAN oraz w obrębie bazą danych. komputera z bazą danych. 8. Stypendia Szkolne Socjalne Word Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 9. System Informacji Oświatowej SIO Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 10. Podatek od środków transportowych Auta, KSGZOB Auta - Zbiór przetwarzany na jednej stacji roboczej. W obrębie komputera z bazą KSGZOB - dwukierunkowo pomiędzy komputerem z bazą danych oraz siecią LAN. danych, a stacją roboczą. 11. Ewidencja rolników - zwrot akcyzy Podatki Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 12. Właściciele nieruchomości odpady Oplok, KSGZOB Dwukierunkowo pomiędzy serwerem bazy danych. 13. Karta Dużej Rodziny Word Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 14 Odbiorcy wody PI FIRMA SFSC Dwukierunkowo pomiędzy serwerem bazy danych. 15 Rejestr mieszkańców SELWIN Jednokierunkowy przepływ danych z SRP PESEL do Siecią dedykowaną MSW wyodrębnionej stacji roboczej 16 Rejestr zamieszkania cudzoziemców SELWIN Jednokierunkowy przepływ danych z SRP PESEL do Siecią dedykowaną MSW wyodrębnionej stacji roboczej 17 Dziennik korespondencji Smartdoc Dwukierunkowo pomiędzy serwerem bazy danych. 18 Wykazy uczniów dowożonych do szkól Word Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. 19 Place pracowników gminnych jednostek oświatowych Kadry i płace, Płatnik Zbiór przetwarzany na jednej stacji roboczej. Brak Nie dotyczy przepływów danych pomiędzy systemami. stacjami stacjami stacjami roboczymi, roboczymi, roboczymi, a Siecią LAN a Siecią LAN a Siecią LAN Rozdział 6 Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. § 15. W celu ochrony przetwarzanych danych osobowych, a w szczególności zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem stosuje się środki techniczne i organizacyjne mające zapewnić: 1) poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom lub osobom; 2) integralność danych rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; 3) rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie. § 16. Zastosowane w Urzędzie środki techniczne i organizacyjne dla ochrony przetwarzanych danych osobowych obejmują: 1) środki ochrony fizycznej: a) dane osobowe w formie papierowej oraz w formie elektronicznej zapisane na nośnikach danych są przechowywane w zamykanych na klucz szafach i biurkach, b) pomieszczenia w których są przechowywane dane osobowe w formie papierowej i elektronicznej zapisane na nośnikach danych i dyskach stacji roboczych są zabezpieczone drzwiami zwykłymi lub wzmacnianymi zamykanymi na klucz, c) klucze do szaf i biurek, w których są przechowywane dane osobowe, pracownicy przechowują w miejscu niewidocznym lub noszą przy sobie, d) klucze do pomieszczeń, w których są przechowywane dane osobowe, po pracy są zostawiane w zamykanych właściwych pomieszczeniach do których dostęp mają wybrane osoby, e) kopie zapasowe zbiorów danych w formie elektronicznej na nośnikach danych są przechowywane w zamykanych szafach metalowych lub odrębnym pomieszczeniu z drzwiami wzmacnianymi do których dostęp mają właściwe osoby, f) pomieszczenia, w których przetwarzane są dane osobowe, są zabezpieczone przed skutkami pożaru za pomocą hydrantu wodnego i wolnostojących gaśnic, g) projekty dokumentów zawierające dane osobowe, nie podlegające archiwizacji, po ustaniu ich przydatności są niszczone mechanicznie w niszczarkach dokumentów. 2) środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej: a) zastosowano urządzenia typu UPS chroniące systemy informatyczne służące do przetwarzania danych osobowych przed skutkami awarii zasilania, b) dostęp do systemu operacyjnego komputerów, w których są przetwarzane dane osobowe, zabezpiecza się za pomocą procesu uwierzytelniania z wykorzystaniem identyfikatora i hasła lub karty procesorowej i kodu PIN, c) zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł, d) zastosowano system rejestracji dostępu do systemów informatycznych, e) w głównym serwerze urzędu zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej, f) zastosowano programy chroniące systemy informatyczne urzędu przed szkodliwym oprogramowaniem takim jak: wirusy, trojany itp., g) dostęp do sieci komputerowej urzędu chroniony jest za pomocą środków sprzętowoprogramowych, h) na wybranych stacjach roboczych zastosowano środki umożliwiające określenie praw dostępu do wskaznanego zakresu danych w ramach przetwarzanego zbioru danych osobowych, i) na stanowiskach komputerowych, na których przetwarzane są dane osobowe, zainstalowano wygaszacze ekranów oraz mechanizmy automatycznej blokady dostępu do systemu informatycznego w przypadku dłuższej nieaktywości pracy użytkownika. 3) środki organizacyjne: a) dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych, b) prowadzona jest osobowych, ewidencja osób upoważnionych do przetwarzania danych c) osoby zatrudnione przy przetwarzaniu danych, są zapoznawane z przepisami dotyczącymi ochrony danych osobowych, d) osoby zatrudnione przy przetwarzaniu danych osobowych informatycznych są szkolone w zakresie jego zabezpieczeń, w systemach e) osoby przetwarzające dane osobowe, zobowiązują się do zachowania ich w tajemnicy i sposobów ich zabezpieczenia, f) pomieszczenia, w których są przetwarzane dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych, g) w pomieszczeniach, w których są przetwarzane dane osobowe, przebywanie osób nieuprawnionych jest dopuszczalne za zgodą Administratora Danych Osobowych lub w obecności osoby upoważnionej do przetwarzania danych osobowych, h) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane, i) kopie zapasowe wybranych zbiorów danych osobowych przetwarzanych w systemach informatycznych przechowywane są w innym pomieszczeniu iż to, w którym znajduje się serwer. § 17. 1. Osoby upoważnione do przetwarzania danych osobowych przed opuszczeniem stanowiska pracy zabezpieczają dokumenty, elektroniczne nośniki informacji i systemy informatyczne zawierające dane osobowe przed dostępem osób nieupoważnionych lub postronnych. 2. Dokumenty i elektroniczne nośniki informacji należy umieszczać w zamykanych na klucz biurkach lub szafach. 3. Systemy informatyczne należy zabezpieczać poprzez zamknięcie danego programu, a przed końcem pracy wyłączenie systemu. § 18. Osoba opuszczająca dane pomieszczenie pracy jako ostatnia jest obowiązana sprawdzić, czy nie pozostały w nim niezabezpieczone dokumenty, elektroniczne nośniki informacji lub włączone systemy informatyczne zawierające dane osobowe. mgr inż. Si Załącznik nr 1 do polityki bezpieczeństwa Grajewo, dnia............................. (Nazwa Administratora Danych Osobowych) Pan/i (Nazwisko i imię pracownika, stanowisko, referat) UPOWAŻNIENIE N R ...../ ..... Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) upoważniam Pana/Panią......................................................................................................... do przetwarzania danych osobowych zawartych w: I) zestawach ewidencyjnych w aktach prowadzonych spraw wynikających z realizacji posiadanego zakresu czynności, II) zbiorach danych osobowych wymienionych poniżej: 1) ...................................................................................................................................................................................................................... 2) ...................................................................................................................................................................................................................... 3 ) ...................................................................................................................................................................................................................... Upoważnienie jest udzielone na czas trwania stosunku pracy/ stosunku służbowego/ do odwołania Traci moc upoważnienie n r ....../........ z d n ia........................................... W związku z powyższym jest Pani/Pan zobowiązana/y zachować w tajemnicy poznane dane osobowe oraz sposoby ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu stosunku pracy/ ustaniu stosunku służbowego/ odwołaniu upoważnienia (Podpis Administratora Danych Osobowych) 1—niepotrzebne skreślić. Niniejsze upoważnienie otrzymałam/em: (Data i czytelny podpis osoby upoważnionej) Załącznik nr 2 do polityki bezpieczeństwa Grajewo, dnia (Nazwisko i imię wnioskodawcy, stanowisko) Wójt Gminy Grajewo Wniosek Na podstawie § 5 ust. 2 załącznika nr 1 do zarządzenia nr 152/15 Wójta Gminy Grajewo z dnia 24 listopada 2015 r. w sprawie ustalenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę danych osobowych przetwarzanych w Urzędzie Gminy Grajewo zwracam się z wnioskiem o nadanie upoważnienia dla (Nazwisko i imię pracownika, stanowisko, referat) do przetwarzania danych osobowych zawartych w: I) zestawach ewidencyjnych w aktach prowadzonych spraw wynikających z realizacji posiadanego zakresu czynności, II) zbiorach danych osobowych wymienionych poniżej: 1) ........................................................................................................................................................................................ , 2 ) ................................................................................................................................................................................ , 3) .................................................................................................................................... , 4) ..................................................................................................................................... Jednocześnie proszę o uchylenie dotychczasowego upoważnienia (jeśli dotyczy). (Podpis wnioskodawcy) Załącznik nr 3 do polityki bezpieczeństwa Ewidencja osób upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Grajewo. Lp. Nazwisko i imię osoby upoważnionej Numer upoważnienia Data nadania upoważnienia Data ustania upoważnienia Zakres upoważnienia do przetwarzania danych osobowych Identyfikator w systemie informatycznym Załącznik nr 4 do polityki bezpieczeństwa (Nazwisko i imię pracownika, stanowisko, referat) OŚWIADCZENIE Ja, niżej podpisana/y oświadczam, że: zostałam/em zapoznana/y z przepisami ustawy o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.), zostałam/em zapoznana/y z zarządzeniem nr 152/15 Wójta Gminy Grajewo z dnia 24 listopada 2015 r. w sprawie ustalenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę danych osobowych przetwarzanych w Urzędzie Gminy Grajewo, zobowiązuję się do zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, które poznałam/em podczas wykonywania obowiązków służbowych w Urzędzie Gminy Grajewo zarówno podczas trwania stosunku pracy/stosunku służbowego jak i po jego ustaniu. Grajewo, dnia (Czytelny podpis upoważnionego pracownika) Załącznik nr 5 do polityki bezpieczeństwa Ewidencja oświadczeń złożonych przez osoby upoważnione do przetwarzania danych osobowych w Urzędzie Gminy Grajewo o zapoznaniu się z przepisami o ochronie danych osobowych. Lp. Nazwisko i imię osoby składającej oświadczenie Data złożenia oświadczenia Uwagi Załącznik nr 6 do polityki bezpieczeństwa (Nazwisko i imię wnioskodawcy, stanowisko) Administrator Bezpieczeństwa Informacji Urzędu Gminy Grajewo Zgłoszenie zbioru danych osobowych do rejestru Administratora Bezpieczeństwa Informacji Lp. Wyszczególnienie 1 N azw a zbioru danych: 2 N azw a adm inistratora danych, adres jeg o siedziby oraz Regon: Przedstaw iciel adm inistratora danych, o którym m ow a w art. 31 a ustaw y i adres jego siedziby: Podmiot, którem u pow ierzono przetw arzanie danych ze zbioru na podstaw ie art. 31 ustaw y i adres jeg o siedziby: Podstaw a praw na upow ażniająca do prow adzenia zbioru danych: Cel przetw arzania danych w zbiorze: 3 4 5 6 7 8 9 10 11 12 Informacje dotyczące zbioru O pis kategorii osób, których dane są przetw arzane w zbiorze: Zakres danych przetw arzanych w zbiorze: Sposób zbierania danych do zbioru, w szczególności inform acja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą: Sposób udostępniania danych ze zbioru, w szczególności inform acja, czy dane ze zbioru są udostępniane innym podm iotom niż upow ażnione na podstaw ie przepisów prawa: O znaczenie odbiorcy danych lub kategorii odbiorców , którym dane m ogą być przekazyw ane: Inform acja dotycząca ew entualnego przekazyw ania danych do państw a trzeciego: (Podpis wnioskodawcy) (Podpis kierownika referatu) Załącznik Nr 2 do zarządzenia nr 152/15 Wójta Gminy Grajewo z dnia 24 listopada 2015 Instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Grajewo Rozdział 1 Postanowienia ogólne. § 1. W Urzędzie Gminy Grajewo obowiązuje wysoki poziom bezpieczeństwa systemu informatycznego z uwagi na to, że jest on połączony z siecią publiczną (z Internetem). § 2. W celu zapewnienia bezpiecznej ekspolatacji sprzętu i oprogramowania ustala się następujące zasady jego użytkowania: 1) urządzenia aktywne obsługujące sieć lokalną Urzędu chronią ją na poziomie warstwy łącza danych na ewentualność podłączenia obcych w Urzędzie; 2) ekrany monitorów są wyposażone w wygaszacze zabezpieczone hasłem, które aktywują się automatycznie po upływie określonego czasu od ostatniego użycia komputera; 3) programy zainstalowane na komputerach obsługujących przetwarzanie danych osobowych są użytkowane z zachowaniem praw autorskich i posiadają licencje; 4) instalacji oprogramowania może dokonywać ASI, w razie konieczności instalacji oprogramowania przez pracowników firm zewnętrznych czynność ta powinna być wykonywana za przyzwoleniem i w obecności zarządzającego oprogramowaniem; 5) system informatyczny wyposażony jest w mechanizmy autoryzacji oraz uwierzytelniania użytkownika sprawujące kontrolę dostępu do danych osobowych jedynie osób upoważnionych; 6) użytkownikom nie wolno uruchamiać oprogramowania z innych źródeł (nośniki wymienne, Internet) bez zgody ASI; 7) komputer przenośny może być używany do przetwarzania danych osobowych po odpowiednim jego zabezpieczeniu (hasło na Bios, lub szyfrowanie danych); 8) użytkownik korzystający z komputera przenośnego jest zobowiązany do zachowania szczególnej ostrożności podczas transportu komputera oraz nie może udostępnić komputera osobom nieupoważnionym; 9) ekrany monitorów są ustawione w miarę możliwości w taki sposób, żeby uniemożliwić odczyt wyświetlanych informacji osobom nieupoważnionym. § 3. W celu bezpiecznego korzystania z internetu i poczty elektroniczej należy przestrzegać następujących zasad: 1) zakazuje się ściągania przez użytkowników jakichkolwiek plików lub przeglądania zasobów informacyjnych o treści nie związanej z wykonywana pracą, a w szczególności prawnie zabronionej; 2) zaleca się, aby do wymiany korespondencji w czasie korzystania z systemu informatycznego Urzędu wykorzystywać jedynie służbową pocztę elektroniczną; 3) szczególne rygory należy stosować wobec ściągania z Internetu plików wykonywalnych, użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie ściągnięte z Internetu i przez niego używane; 4) do korzystania z Internetu użytkownicy mogą wykorzystywać jedynie zaakceptowane przez Administratora Systemów Informatycznych formy dostępu (dotyczy prób obchodzenia poustawianych obostrzeń oraz podłączania dodatkowych urządzeń komunikacyjnych); 5) przesyłanie informacji za pośrednictwem poczty elektronicznej winno odbywać się zgodnie z uprawnieniami adresatów do korzystania z określonego typu danych. W przypadku wątpliwości nadawca powinien sprawdzić, czy dana osoba ma uprawnienia do korzystania z dokumentów danego typu lub o określonej klauzuli poprzez skonsultowanie się z Administratorem Bezpieczeństwa Informacji; 6) jeśli adresatem wiadomości zawierającej dane osobowe jest pracownik Urzędu zaleca się doręczenia danych w formie elektronicznej w sposób wykorzystujący wewnętrzne mechanizmy przekazywania danych (dyski sieciowe, udostępniony folder użytkownika docelowego); 7) przesyłanie informacji poza obręb Urzędu może odbywać się tylko przez osoby do tego upoważnione do adresatów upoważnionych do odbierania tego typu danych; 8) w razie konieczności przesyłania danych osobowych dane te należy uprzednio odpowiednio zabezpieczyć wykorzystując mechanizmy kompresji z szyfrowaniem z tym zastrzeżeniem, że hasło musi zostać dostarczone do adresata drogą inną niż same dane (np. przez telefon); 9) użytkownicy powinni zwrócić szczególną uwagę na poprawność adresu odbiorcy dokumentu; 10) jeżeli istotne jest potwierdzenie otrzymania przez adresata przesyłki, użytkownik winien skorzystać, o ile jest to technicznie możliwe, z opcji systemu poczty elektronicznej informującej o dostarczeniu i otwarciu dokumentu. Dodatkowo zaleca się, aby użytkownik zawarł w treści dokumentu prośbę o potwierdzenie otrzymania i zapoznania się z informacją. Adresat zobowiązany jest w takiej sytuacji przesłać nadawcy potwierdzenie; 11) informacje przesyłane za pośrednictwem poczty elektronicznej muszą być zgodne z prawem i z zasadami zawartymi w Polityce Bezpieczeństwa Danych Osobowych obowiązującej w Urzędzie; 12) użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie sugeruje związku z wypełnianymi przez nich obowiązkami służbowymi. W przypadku otrzymania takiej przesyłki, użytkownik powinien ją zniszczyć lub skontaktować się z Administratorem Systemów Informatycznych; 13) użytkownicy nie powinni uruchamiać wykonywalnych załączników (pliki.exe) dołączonych do wiadomości przesyłanych pocztą elektroniczną. W takim przypadku użytkownik powinien poinformować o zdarzeniu ASI, który winien sprawdzić, czy załącznik stanowi zagrożenie dla przetwarzanych w systemie informatycznym informacji; 14) użytkownicy nie powinni rozsyłać za pośrednictwem poczty elektronicznej informacji o zagrożeniach dla systemu informatycznego, "łańcuszków szczęścia" itp; 15) użytkownicy nie powinni rozsyłać, wiadomości zawierających załączniki o dużym rozmiarze (powyżej 20 MB) do większej liczby adresatów. W razie konieczności przesłania większych załączników winni skontaktować się z ASI; 16) użytkownicy powinni okresowo kasować niepotrzebne wiadomości pocztowe. Rozdział 2 Procedura nadawania uprawnień do przetwarzania danych osobowych. § 4. 1. Do przetwarzania danych osobowych w systemie informatycznym Urzędu mogą być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych nadane przez Administratora Danych Osobowych (ADO). 2. Rejestracji osób (użytkowników), o których mowa w ust. 1, w poszczególnych systemach informatycznych przetwarzających dane osobowe dokonuje Administrator Systemów Informatycznych (ASI) na polecenie Administratora Bezpieczeństwa Informacji (ABI). 3. Rejestracja użytkownika, o którym mowa w ust. 2, polega na nadaniu jemu identyfikatora i hasła oraz wprowadzenia tych danych do systemu informatycznego. 4. Użytkownik po otrzymaniu hasła od Administratora Systemów Informatycznych dokonuje jego natychmiastowej zmiany i zachowuje je wyłącznie do swojej wiadomości. 5. Użytkownik ma prawo do wykonywania tylko tych czynności, do których został upoważniony. 6. Użytkownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła dostępu. 7. Odebranie uprawnień użytkownikowi następuje na pisemny wniosek przełożonego, któremu użytkownik podlega z podaniem daty oraz przyczyny odebrania uprawnień. 8. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło. 9. Administrator Systemu Informatycznego zobowiązany jest do prowadzenia rejestru użytkowników i ich uprawnień w systemie informatycznym. Rozdział 3 Metody i środki uwierzytelnienia. § 5. Celem procedury uwierzytelniania jest zapewnienie, że do systemów informatycznych przetwarzających dane osobowe mają dostęp jedynie osoby do tego upoważnione. §6. 1. Identyfikator i hasło umożliwia użytkownikowi dostęp do określonego obszaru systemu informatycznego niezbędnego do realizacji jej obowiązków służbowych. 2. Hasło dostępu powinno składać się z co najmniej 8 znaków, zawierać małe i duże litery oraz cyfry lub znaki specjalne i zabezpieczać dostęp do systemu informatycznego na poziomie systemu operacyjnego oraz programu przetwarzającego dane osobowe. 3. Użytkownik dokonuje zmiany hasła nie rzadziej niż co 30 dni. 4. Użytkownik systemu informatycznego jest obowiązany do zachowania w ścisłej tajemnicy hasła dostępu do_systemów. 5. Identyfikatory nadane dla poszczególnych osób upoważnionych do przetwarzania danych osobowych w określonym obrzarze systemu informatycznego są rejestrowane w ewidencji, o której mowa w § 5 ust. 3 polityki bezpieczeństwa. 6. Hasła administratora do poszczególnych programów i systemów są ustalane przez ASI i przechowywane są przez niego i ABI. Skorzystanie z hasła administratora odbywa się po wyznaczeniu przez niego osoby upoważnionej. 7. Zarejestrowane hasła administratora, oprócz treści hasła winny posiadać adnotację o dacie ich wprowadzenia do systemu. 8. W przypadku utraty uprawnień przez osobę administrującą systemem należy niezwłocznie zmienić hasła, do których miała dostęp. Rozdział 4 Procedura rozpoczęcia, zawieszenia i zakończenia pracy § 7. W wypadku utraty upoważnienia do przetwarzania danych osobowych przez daną osobę Administrator Systemu Informatycznego w trybie natychmiastowym pozbawia ją uprawnień dostępu do systemu informatycznego przetwarzającego dane osobowe. § 8. Użytkownik w trakcie prowadzenia czynności uwierzytelniania w systemie informatycznym nie dopuszcza do ujawnienia danych uwierzytelniających użytkownika (hasła osobistego) poprzez uniemożliwienie podejrzenia lub zarejestrowania w inny sposób wprowadzanego z klawiatury hasła przez osobę trzecią. W przypadku, gdy poufne wprowadzenie hasła nie jest możliwe z przyczyn wynikających ze strony osoby trzeciej, użytkownik ma obowiązek zaprzestania dalszych działań lub nie rozpoczynania tej operacji oraz powiadamia o tym bezpośredniego przełożonego. § 9. 1. Sytem informatyczny przetwarzający dane osobowe może pracować jedynie pod bezpośrednim nadzorem upoważnionej osoby. 2. Przed opuszczeniem stanowiska pracy użytkownik obowiązany jest zabezpieczyć system informatyczny przetwarzający dane osobowe przed dostępem osób nieupoważnionych lub postronnych poprzez zablokowanie pulpitu, wylogowanie się, ewentualnie wyłączenie stacji roboczej. 3. Użytkownik zabezpiecza stację roboczą ustawiając wygaszacz ekranu w trybie blokady z hasłem, która następuje maksymalnie po 15 minutach nieaktywności komputera. 4. Przed opuszczeniem stanowiska pracy, użytkownik obowiązany jest: 1) wylogować się z systemu informatycznego lub, 2) wywołać blokowany hasłem wygaszacz ekranu. 5. Kończąc pracę należy: 1) wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy, 2) zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki danych, na których znajdują się dane osobowe. 6. W przypadku stwierdzenia problemów z funkcjonowaniem systemu oraz niemożliwością wykonania żadnego z działań określonych w pkt 2, 3, 4 lub 5 użytkownik zobowiązany niezwłocznie wezwać Administratora Systemów Informatycznych oraz pozostać przy stanowisku pracy do czasu jego przybycia lub do przybycia wyznaczonej przez niego osoby. Rozdział 5 Procedura tworzenia kopii zapasowych. § 10. W celu zabezpieczenia się przed utratą przetwarzanych danych osobowych, osoby odpowiedzialne za ich przetwarzanie na swoich stacjach roboczych obowiązane są tworzyć kopie zapasowe przetwarzanych danych na elektronicznych nośnikach informacji co najmniej raz w miesiącu. §11. Za tworzenie kopii bezpieczeństwa zbiorów danych osobowych i programów służących do ich przetwarzania znajdujących się na wybranych stacjach roboczych i serwerze odpowiedzialny jest Administrator Systemów Informatycznych. Rozdział 6 Sposób, miejsce i okres przechowywania elektronicznych nośników zawierających dane osobowe. § 12. W celu zabezpieczenia danych osobowych przed ich utratą w Urzędzie Gminy stosuje się określoną procedurę przechowywania nośników. § 13. 1. Elektroniczne nośniki informacji zawierające zapasowe kopie danych osobowych oraz wszelkie wydruki z danymi osobowymi należy przechowywać w szafach lub biurkach zabezpieczonych zamkami przed dostępem osób nieupoważnionych. 2. Nośniki zawierające zapasowe kopie danych osobowych są przechowywane przez okres 3 miesięcy po czym usuwa się z nich zapisane dane w sposób nieodwracalny, a w przypadku gdy nie jest to możliwe, uszkadza się je lub niszczy w sposób uniemożliwiający ich odczytanie. 3. Za wykonanie czynności, o których mowa w ust. 1 i 2, odpowiedzialne są właściwe merytorycznie osoby przetwarzające poszczególne dane osobowe. 4. Pracownicy nie mogą wynosić na zewnątrz Urzędu wymiennych elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody Administratora Danych Osobowych. § 14. W odniesieniu do kopii zapasowych zbiorów danych oraz oprogramowania postępuje się następująco: 1) kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi programowych zastosowanych do przetwarzania danych są przechowywane w zamykanej szafie na terenie Urzędu; 2) dostęp do kopii zapasowych mają tylko upoważnieni pracownicy, tj. ABI oraz ASI; 3) nośniki, na których znajdują się kopie zawierające dane osobowe, są oznaczone w sposób trwały, jednoznaczny i czytelny; 4) kopie archiwalne należy: a) okresowo sprawdzać pod kątem ich dalszej przydatności do odtwarzania, b) bezzwłocznie usuwać po ustaniu ich użyteczności. Rozdział 7 Procedura zabezpieczenia systemu informatycznego przed działalnością oprogramowania złośliwego. § 15. 1. System informatyczny Urzędu przetwarzający dane osobowe może być wykorzystywany przez upoważnione osoby wyłącznie do realizacji zadań przewidzianych w ich zakresach czynności. 2. Zabronione jest samowolne instalowanie w systemie informatycznym Urzędu jakiegokolwiek oprogramowania bez wiedzy i zgody Administratora Systemu Informatycznego i Administratora Bezpieczeństwa Informacji. § 16. W celu ochrony systemu informatycznego przed oprogramowaniem, którego celem jest uzyskanie nieuprawnionego dostępu do systemu, każdy zestaw komputerowy wchodzący w jego skład musi być wyposażony w oprogramowanie zabezpieczające aktualizowane nie rzadziej niż raz w miesiącu, posiadające jako minimum funkcjonalności możliwość wykywania i eliminowania wirusów komputerowych. § 17. 1. Administrator Systemu Informatycznego jest bezpośrednio odpowiedzialny za sprawowanie ochrony zasobów i systemów informatycznych przed wirusami komputerowymi i podejmowanie w tym celu stosownych czynności. 2. Wprowadzanie danych pochodzących z zewnątrz do systemu informatycznego Urzędu z wykorzystaniem elektronicznych nośników informacji może odbywać się po ich uprzedniej kontroli antywirusowej. Rozdział 8 Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych. § 18. Przy udostępnianiu danych osobowych odbiorcom obowiązują w Urzędzie niżej określone zasady: 1) odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych osobowych w Urzędzie, c) podmiotu, któremu powierzono przetwarzanie danych, d) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem; 2) dane osobowe administrowane przez Urząd Gminy Grajewo mogą być udostępnione osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa; 3) dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba, że przepis innej ustawy stanowi inaczej; 4) dane udostępnione urzędowi przez inny podmiot można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione; 5) poszczególni pracownicy prowadzą ewidencję udostępniania danych, o których mowa w pkt 2; 6) Ewidencja udostępniania danych obejmuje informacje o: a) nazwie jednostki organizacyjnej lub imieniu i nazwisku osoby, której udostępniono dane, b) zakresie udostępnianych danych, c) dacie udostępnienia, 7) odnotowanie informacji w ewidencji powinno nastąpić niezwłocznie po udostępnieniu danych; 8) na żądanie osoby, której dane zostały udostępnione, informacje o udostępnieniu danych są zamieszczane w pisemnym raporcie i przekazywane tej osobie; 9) realizacja wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. spełniona jest poprzez prowadzenie "Ewidencji udostępniania danych". Rozdział 9 Procedura wykonywania przeglądów i konserwacji systemów informatycznych i nośników danych § 19. 1. Okresowych przeglądów i konserwacji systemu informatycznego dokonuje Administrator Systemu Informatycznego. 2. W przypadku konieczności naprawy urządzeń systemu informatycznego przez firmy zewnętrzne, przed ich przekazaniem do naprawy usuwa się z nich nośnik zawierający dane osobowe lub naprawia się je pod nadzorem osoby upoważnionej przez Administratora Danych Osobowych. 3. Wszelkie prace konserwacyjne i naprawcze sprzętu komputerowego oraz uaktualnienia systemu informatycznego, wykonywane przez podmiot zewnętrzny, powinny odbywać się na zasadach określonych w szczegółowej umowie z uwzględnieniem klauzuli dotyczącej ochrony danych. 4. Aplikacje kontrolne programów przetwarzających dane osobowe umożliwiające sprawdzenie poprawności pracy systemu i prawidłowości zapisu danych powinny być okresowo uruchamiane przez Administratora Systemu Informatycznego. § 20. Aktualizacja oprogramowania powinna być przeprowadzana zgodnie z zaleceniami producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji. § 21. Administrator Systemu Informatycznego jest zoobwiązany do dokonywania okresowej analizy zagrożeń i podatności na zagrożenia funkcjonującego systemu informatycznego Urzędu.