ZARZĄDZENIE Nr 62/ 07 BURMISTRZA MIASTA I GMINY PIEŃSK z

ZARZĄDZENIE Nr 62/ 07
BURMISTRZA MIASTA I GMINY PIEŃSK
z dnia 5 czerwca 2007 r.
W sprawie wprowadzenia regulaminu dotyczącego zasad przetwarzania danych osobowych oraz
stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych w Urzędzie Miasta i Gminy w Pieńsku.
Na podstawie § 13 pkt. 8 Regulaminu Organizacyjnego Urzędu Miasta i Gminy w Pieńsku
(zarządzenia Burmistrza Miasta i Gminy Pieńsk Nr 124/06 z dnia 19 grudnia 2006 r. w sprawie
wprowadzenia regulaminu organizacyjnego - Urzędu Miasta i Gminy w Pieńsku) w związku z art. 36
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. z 2002 Dz.U. nr 101 poz. 926 z późn.
zm.)
Zarządzam co następuje:
§1
Ustalam zasady realizacji przetwarzania danych osobowych oraz stosowanych środków technicznych i
organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w Urzędzie Miasta i
Gminy w Pieńsku.
I.
Postanowienia ogólne
1. Zasady przetwarzania danych osobowych została opracowana w wykonaniu obowiązków określonych w:
1) art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz.
926 z późn. zm.),
2) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. Nr 100, poz. 1024).
2. Na dokumentację przetwarzania danych osobowych w Urzędzie Miasta i Gminy Pieńsk zwaną dalej
„dokumentacją” składają się następujące dokumenty:
1) polityka bezpieczeństwa – załącznik nr 1 do zarządzenia,
2) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych –
załącznik nr 2 do zrządzenia,
3) wzór upoważnienia do przetwarzania danych osobowych – załącznik nr 3 do zarządzenia,
4) wzór ewidencji osób upoważnionych do przetwarzania danych osobowych – załącznik nr 4 do
zarządzenia.
5) wzór wniosku o zarejestrowanie / wyrejestrowanie pracownika – załącznik nr 5 do zarządzenia
II.
Sposób prowadzenie dokumentacji
Dokumentacja przetwarzania danych osobowych prowadzona jest w formie pisemnej. Dokumentacja jest
wdrażana do stosowania na podstawie zarządzenia Burmistrza. Wprowadzanie zmian w dokumentacji
następuje w tej samej formie.
III.
Osoby i podmioty odpowiedzialne
1. Administrator Danych Osobowych (ADO) – Burmistrz Miasta i Gminy Pieńsk jest podmiotem prawnie
zobowiązanym do:
1) opracowywania i wdrażania dokumentacji,
2) monitorowania przestrzegania zasad i procedur określonych w dokumentacji.
2. W Urzędzie Miasta i Gminy w Pieńsku wyznaczam następujące osoby odpowiedzialne za
opracowywanie dokumentacji i monitorowanie przestrzegania zasad w niej określonych:
1) Panią Małgorzatę Wicha – Sekretarza Miasta i Gminy Pieńsk jako Pełnomocnika ds.
ochrony danych osobowych (Pełnomocnik ODO) za nadzorowanie opracowywania
dokumentacji oraz zmian w dokumentacji, a także przedstawienie dokumentacji (zmian)
oraz protokołów zaniedbań wraz z proponowanymi działaniami korygującymi Burmistrzowi
do zatwierdzenia,
2) Pana Andrzeja Żbikowskiego - Informatyka (Administratora Bezpieczeństwa Informacji ABI) za administrowanie programami w zakresie aktualizacji oprogramowania oraz
konserwacji sprzętu, nadzorowanie przestrzegania zasad i procedur określonych w
dokumentacji, a także przywracanie do stanu prawidłowego w zakresie przyznanych
kompetencji i uprawnień oraz przedkładanie protokołu nieprawidłowości Pełnomocnikowi.
3) Panią Barbarę Kowalczyk – Inspektora wydziału Organizacyjno- Prawnego za
przechowywanie upoważnień do przetwarzania danych osobowych oraz prawidłowe
przechowywanie w archiwum dokumentacji dotyczącej przetwarzania danych,
4) Pracowników poszczególnych wydziałów, samodzielnych stanowisk (administratorzy
aplikacji) w Urzędzie Miasta i Gminy w Pieńsku za opracowywanie dokumentacji oraz
zmian w dokumentacji w zakresie odpowiednim do kompetencji i wykonywanych zadań.
§2
Wykonania Zarządzenia powierza się Sekretarzowi Miasta i Gminy Pieńsk.
§3
Zarządzenie wchodzi w życie z dniem podjęcia, termin zakończenia prac wdrożeniowych określa się na 30
sierpnia 2007 r.
Tadeusz Łowicki
Burmistrz Miasta i Gminy Pieńsk
2
Załącznik nr 1
do Zarządzenia nr 62/07
Burmistrza Miasta i Gminy Pieńsk
z dnia 5 czerwca 2007 r.
Polityka bezpieczeństwa
I. Zakres stosowania
Polityka dotyczy przetwarzania danych osobowych przez Urząd Miasta i Gminy w Pieńsku i zawiera
następujące dokumenty dotyczące rozpoznania procesów dotyczących danych osobowych oraz określające
wprowadzone zabezpieczenia techniczne i organizacyjne zapewniające ochronę przetwarzanych danych
osobowych:
1) wykaz pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar
przetwarzania danych osobowych),
2) wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych,
3) opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy
nimi,
4) sposób przepływu danych pomiędzy poszczególnymi systemami,
5) środki techniczne i organizacyjne niezbędne w celu zapewnienia poufności, integralności i
rozliczalności przetwarzanych danych.
II. Obszar przetwarzania danych osobowych
Obszarem przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Pieńsku są pomieszczenia w
budynku przy ul. Bolesławieckiej 29.
III. Wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych
Wykaz zbiorów danych przetwarzanych w Urzędzie Miasta i Gminy w Pieńsku i programów zastosowanych
do przetwarzania danych winny zawierać następujące pola:
1. Wykaz przetwarzanych zbiorów danych opracowuje Administrator Bezpieczeństwa Informacji w którym
ujmuje się:
a) nazwa zbioru danych,
b) opis formy prowadzenia zbioru danych (baza danych BD – kartoteka papierowa KP),
c) środowisko pracy (Wydział),
d) zawartość pól informacyjnych (zakres danych jakimi objęto dany zbiór ),
e) jednostki organizacyjne wykorzystujące zbiór danych,
f) lokalizacja zbioru danych (oznaczenie budynków, pomieszczeń lub części pomieszczeń),
g) inne aplikacje, którymi komunikuje się i wymienia dane,
h) nazwa i adres IP serwera,
i) administrator aplikacji.
Administrator
aplikacji
Nazwa i adres
serwera
Wydziały lub
stanowiska
komunikujące się
Lokalizacja
zbioru danych
Jednostki
korzystające ze
zbioru
Zawartość pól
informacyjnych
Środowisko pracy
(wydział)
Rodzaj zbioru
Nazwa zbioru
Lp.
Wydział Organizacyjno Prawny – Sekretarz
3
BD
Wszystkie
wydziały
3.
System Informacji
Oświatowej
BD
OP - SE
4.
Rejestr osób
ubiegających się o
awans zawodowy
nauczycieli
KP
OP - SE
KP
Rejestr
pracodawców
otrzymujących
zwrot kosztów
kształcenia
młodocianych
pracowników
Wydział Spraw Obywatelskich
OP – SE
6.
ARAM – System
Ewidencji
Ludności i
Wyborców
BD
SO
7.
Rejestr osób
objętych
przymusowym
leczeniem
uzależnień
KP
SO
BD
USC
5.
Wydział
OP, pokój
nr
Wszystkie
wydziały
OP – II
OP- IV
USTAWA z dnia 19
lutego 2004 r. o
systemie informacji
oświatowe ( Dz.U.
nr49 poz.463)
Ustawą Karta
nauczyciela (tj z
2006 r. Dz.U. nr 97
poz.674 oraz
rozporządzeniem
(Dz.U. z 2004 r. nr
260 poz.2593)
Ustawa o systemie
oświaty rozdział V
(tj. z 2004 Dz.U. nr
256 poz 2572
OP – SE
OP – SE
pokój nr
25
OP - SE
FB - VI
Administrator
aplikacji
PROTON –
System
Elektronicznego
Obiegu
Dokumentów
OP – I
Nazwa i adres
serwera
2.
Rozp.
Zakres prowadzenia
przez pracodawców
dokumentacji
(DZ.U. nr 62 poz
286 z 1996 r. z
póżn. zm.)
USTAWA z dnia 17
lutego 2005 r. o
informatyzacji
działalności
podmiotów
realizujących
zadania publiczne
(Dz.U. nr 65 poz
565)
Wydziały lub
stanowiska
komunikujące się
OP
Lokalizacja
zbioru danych
BD
KP
Jednostki
korzystające ze
zbioru
Kadry
Zawartość pól
informacyjnych
Środowisko pracy
(wydział)
Rodzaj zbioru
Nazwa zbioru
Lp.
1.
g007/192.168.0
.2
Barbara
Kowalczyk
g007/192.168.0
.2
wszystkie
stanowiska
Brak
g007/192.168.0
.2
Małgorzata
Wicha
OP – SE
pokój nr
25
brak
g007/192.168.0
.2
Małgorzata
Wicha
OP – SE
OP – SE
pokój 25
Brak
Brak
Małgorzata
Wicha
Dane zgodnie z
ustawą ewidencji
ludności i
dowodach
osobistych
(tj. z 2006 r. DZ.U.
Nr 139 poz.993)
Zgodnie z ustawą z
dnia 26
października 1982 r.
o wychowaniu w
trzeźwości i
przeciwdziałaniu
alkoholizmowi (tj. z
2007 Dz. U. nr 70
poz 473
SO – I
SO – II
SO – III
SO – IV
Wydział
SO
Pokój nr
21
USC
brak
Cecylia Brandys
Anna Marendziak
GKRPA
Wydział
SO pokój
16
SSM
SO - IV
Brak
Małgorzata Rohr
MIłuch
Zgodnie z ustawą
USC
USC
SO
g007/192.168.0
Emilia
Urząd Stanu Cywilnego
8.
ESO-USC
4
Administrator
aplikacji
pokój nr
17
Nazwa i adres
serwera
Wydziały lub
stanowiska
komunikujące się
Lokalizacja
zbioru danych
Jednostki
korzystające ze
zbioru
Zawartość pól
informacyjnych
Środowisko pracy
(wydział)
Rodzaj zbioru
Nazwa zbioru
Lp.
prawo o aktach
stanu cywilnego (tj.
z 2004 Dz.U nr 161
poz. 1688)
.2
Sielańczyk
Samodzielne stanowisko ds. obsługi Rady Miejskiej
9.
System Ewidencji
Radnych Rady
Miejskiej w
Pieńsku
KP
RM
Ustawa o podatku
dochodowym od
osób fizycznych (tj.
z 2000 r. Dz.U. nr
14 poz. 176)
RM
RM pokój
18
FB
Brak
Izabela Ochman
u zgodnie z ustawą
o finansach
publicznych (tj. z
2005 r. Dz.U. nr
249 poz.2104) oraz
ustawie o
rachunkowości (tj z
2002 Dz.U nr76 poz
694)
Imię nazwisko adres
NIP
FB – I
FB - II
FB – VII
Wydział
FB pokój
4i5
Brak
g007/192.168.0
.2
Weronika
Majszczyk
Krystyna Hinc
FB – V
FB – VI
Wydział
FB pokój
8
Wydział
FB pokój
4
Brak
g007/192.168.0
.2
GNR
g007/192.168.0
.2
Kamila Socha
Danuta
Janukowicz
Alicja Bywalska
Krystyna Hinc
Wydział
FB pokój
4
GNR
g007/192.168.0
.2
Wydział
FB pokój
4
GNR
g007/192.168.0
.2
Wydział Finansowo Budżetowy
10.
Księgowość
budżetowa
SIGID
BD
FB
11.
Program obsługi
kasy
BD
FB
12.
Podatek od
nieruchomości od
osób fizycznych
SIGID
Podatek od
nieruchomości od
osób prawnych
SIGID
Podatek rolny,
leśny,
nieruchomości dla
osób fizycznych
SIGID
HOME
BANKING –
System obsługi
konta bankowego
Płatnik – System
obsługi ZUS
BD
FB
Z Uchwałą Rady
Miejskiej w Pieńsku
nr II/9/06
BD
FB
Z Uchwałą Rady
Miejskiej w Pieńsku
nr II/9/06
BD
FB
Z Uchwałą Rady
Miejskiej w Pieńsku
nr II/11/06 i
II/10/06
BD
FB
Imię nazwisko adres
NIP nr rachunku
bankowego
FB – V
FB – VI
Wydział
FB pokój
8
Brak
fb005/192.168.
0.22
Kamila Socha
Danuta
Janukowicz
BD
FB
Zgodnie z ustawą o
systemie
ubezpieczeń
społecznych (tj. z
2007 r. Dz.U. nr 11
poz. 74)
FB – V
FB – VI
Wydział
FB pokój
10
OP - I
fb005/192.168.
0.22
Danuta
Janukowicz
Kamila Socha
Imię nazwisko adres
NIP PESEL
SSM – I
Wydział
SSM
pokój 23
FB
g007/192.168.0
.2
Mariola Linka
Zgodnie z
rozporządzeniem
Ministra
Infrastruktury (
SSM – II
Wydział
SSM
pokój 22
FB
g007/192.168.0
.2
Adriana
Pieczykolano
13.
14.
15.
16.
Wydział Spraw Socjalnych i Mieszkaniowych
17.
Ewidencja umów
BD
SSM
i opłat
dzierżawnych
SIGID
18.
Ewidencja i
BD
SSM
naliczanie
dodatków
mieszkaniowych
FB – I
FB - II
FB - III
FB - IV
FB – I
FB - II
FB - III
FB - IV
FB – I
FB II
FB III
FB IV
Alicja Bywalska
Krystyna Hinc
Magdalena
Matoszko
Alicja Bywalska
Krystyna Hinc
5
Administrator
aplikacji
Nazwa i adres
serwera
Wydziały lub
stanowiska
komunikujące się
Ewidencja i
KP
SSM
naliczanie
stypendiów i
zasiłków
szkolnych
20.
Windykacja
KP
SSM
Uchwała Rady
należności
Miejskiej w Pieńsku
czynszowych
Nr XLII/256/06
Wydział Gospodarki Nieruchomościami i Rolnictwa
21.
Ewidencja umów
BD
GNR
Zgodnie z ustawą o
i opłat za
gospodarce
wieczyste
nieruchomościami
użytkowanie
(tj. z 2004 r. Dz.U.
nr 261 poz.2603
KP
GNR
Zgodnie z ustawą o
22.
Ewidencja
gospodarce
właścicieli
nieruchomościami
nieruchomości
(tj. z 2004 r. Dz.U.
nr 261 poz.2603
Wydział Inwestycji Infrastruktury i Rozwoju
KP
IIR
Imię i Nazwisko
23.
Ewidencja osób
właściciela adres
ubiegających się o
określenie położenia
wycinkę lub
nieruchomości
podcięcie drzew
Samodzielne stanowisko ds Zarządzania Kryzysowego
24.
Rejestr
KP
ZK
Dane osobowe i
przedpobor.
adresowe
25.
Rejestr
KP
ZK
Dane osobowe i
poborowych
adresowe
ZK
Dane osobowe i
26
Rejestr świadczeń KP
adresowe
osobistych i
rzeczowych
Lokalizacja
zbioru danych
2001 r. Dz.U nr 156
poz 1828)
Zgodnie z uchwałą
Rady Miejskiej w
Pieńsku Nr
XXVIII/188/05
Jednostki
korzystające ze
zbioru
Zawartość pól
informacyjnych
Środowisko pracy
(wydział)
19.
Rodzaj zbioru
Nazwa zbioru
Lp.
SIGID
SSM – II
Wydział
SSM
pokój 22
FB
brak
Adriana
Pieczykolano
SSM - IV
Wydział
SSM
pokój 24
FB
Radca
prawny
Brak
Stanisława
Pyszko
GNR III
Wydział
GNR
pokój nr
12
FB
g007/192.168.0
.2
Artur Gradecki
GNR III
Wydział
GNR
pokój nr
12
FB
Brak
Artur Gradecki
IIR – III
Wydział
IIR pokój
28
FB
Brak
Karolina Lula
ZK
ZK
SO –i
Brak
Rękas
ZK
ZK
SO –
Brak
Rękas
ZK
ZK
SO –
brak
Rękas
2. Wykaz zastosowanych zabezpieczeń:
a) możliwość przyznawania indywidualnych identyfikatorów,
b) możliwość stopniowania uprawnień,
c) możliwość wymuszania zmiany haseł,
d) odnotowanie daty pierwszego wprowadzenia danych w systemie,
e) odnotowanie identyfikatora użytkownika wprowadzającego dane,
f) odnotowanie sprzeciwu określonego w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych,
g) odnotowanie źródła danych, w przypadku zbierania danych nie od osoby, której dane dotycz ą,
h) odnotowanie informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego
udostępnienia,
i) możliwość sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o
historii przetwarzania danych.
IV. Opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy
nimi.
W ramach systemu informatycznego w Urzędzie Miasta i Gminy w Pieńsku występują następujące
połączenia (funkcjonalne) powiązania pomiędzy zbiorami danych. Oznaczenie aplikacji, z którymi się
komunikuje i wymienia dane, znajduje się w dokumencie „Wykaz przetwarzanych zbiorów danych”.
6
V. Sposób przepływu danych pomiędzy poszczególnymi systemami
W ramach procesów przetwarzania danych dochodzi do przepływu danych pomiędzy:
1. systemem kadrowo płacowym i programem Płatnika. Dane z systemu płacowego są eksportowane
do określonego katalogu na dysku lokalnym i importowane w systemie Płatnik.
2. następuje przepływ informacji wewnątrz systemów SIGID, pomiędzy systemami ewidencji
podatków, systemami ewidencjującymi opłaty z tytułu dzierżaw i czynszów a systemem kasowym,
do którego przekazywane są dane niezbędne do dokonania wpłaty przez klientów Urzędu. Dane z
wymienionych systemów zapisywane są w określonym katalogu na dysku sieciowym, skąd są
pobierane przez program kasowy.
VI. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych
1. Do elementów zabezpieczenia danych osobowych w Urzędzie Miasta i Gminy w Pieńsku zalicza się:
a) stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia
fizyczne),
b) zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności dokumentów
papierowych i informatycznych),
c) nadzór Administratora Bezpieczeństwa Informacji nad realizacją wprowadzonych zasad i procedur
zabezpieczenia danych (zabezpieczenia organizacyjne),
d) kompleksowe i całościowe traktowanie zabezpieczenia danych przez wszystkie podmioty i osoby
biorące udział w przetwarzaniu danych.
2. W Urzędzie Miasta i Gminy w Pieńsku rozróżnia się następujące kategorie środków zabezpieczeń danych
osobowych:
a) zabezpieczenia fizyczne:
− zainstalowany system alarmowy,
− pomieszczenia zamykane na klucz,
− szafy z zamkami,
b) zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:
− przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach,
− przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby.
c) zabezpieczenia organizacyjne:
− osobą odpowiedzialną za bezpieczeństwo danych jest Administrator Bezpieczeństwa
Informacji (ABI),
− ABI i wszyscy powołani przez niego administratorzy na bieżąco kontrolują pracę systemu
informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie
wiedzą i z obowiązującymi procedurami,
− nie rzadziej, niż raz na miesiąc są prowadzone przez ABI kontrole stanu bezpieczeństwa
systemów informatycznych i przestrzegania zasad ochrony informacji i w przypadkach
wykrycia rażących zaniedbań ABI sporządza ich opis w formie protokołu i niezwłocznie
przedkłada je Pełnomocnikowi ODO który opracowuje działania korygujące i wraz z
protokołem przedkłada ADO (Burmistrzowi) do zatwierdzenia.
d) organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:
− wykaz pracowników Urzędu Miasta i Gminy w Pieńsku uprawnionych do przetwarzania
danych osobowych, znajduje się u ABI.
− przetwarzać dane osobowe mogą jedynie pracownicy, którzy posiadają stosowne
upoważnienie przyznane przez ADO, które umieszczone są w aktach osobowych
pracowników,
− w trakcie przetwarzania danych osobowych, pracownik jest osobiście odpowiedzialny za
bezpieczeństwo powierzonych mu danych,
− przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych,
pracownik winien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone,
oraz czy zabezpieczenia te nie były naruszone,
7
−
−
w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte ich
zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu
nieupoważnione,
po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć dane
osobowe przed możliwością dostępu do nich osób nieupoważnionych,
3. W ramach zabezpieczenia danych osobowych ochronie podlegają:
a) sprzęt komputerowy – serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne,
b) oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia
wspomagające i programy komunikacyjne,
c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie,
d) hasła użytkowników,
e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa,
f) użytkownicy i administratorzy, którzy obsługują i używają system,
g) dokumentacja – zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane
informacje, itp.,
h) wydruki,
i) związana z przetwarzaniem danych dokumentacja papierowa, z których zawarte w nich dane
są wprowadzane do systemu informatycznego lub też funkcjonują autonomicznie od niego.
VII. Postanowienia końcowe
1. ABI okresowo nie rzadziej niż raz na miesiąc będzie analizował zagrożenia i ryzyko w celu weryfikacji
środków zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów
danych w celu zapewnienia aktualności opisowi zawartemu w punktach II-V polityki bezpieczeństwa.
2. W systemie informatycznym obowiązują zabezpieczenia na poziomie wysokim.
3. Najważniejszymi zastosowanymi środkami zabezpieczenia danych w systemach informatycznych
Urzędu Miasta i Gminy w Pieńsku są :
a) hasła dostępu do systemu,
b) hasła dostępu do aplikacji,
c) wygaszacze ekranu.
4. Dokumentem, który normuje procedury zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych jest instrukcja, która określa między innymi:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te
czynności,
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych,
c) sposób
zabezpieczenia
systemu
informatycznego
przed
działalnością
oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego,
d) sposób realizacji wymogów odnotowywania przez system informatyczny informacji o
odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego
udostępnienia,
e) procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.
8
Załącznik nr 2
do Zarządzenia nr 62/07
Burmistrza Miasta i Gminy Pieńsk
z dnia 5 czerwca 2007 r.
Instrukcja określająca sposób zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Pieńsku
Instrukcja określa sposób zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych.
I. Zakres zastosowania
Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika,
sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenie pracy,
obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności
wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu.
II. Obszar przetwarzania danych:
1. Obszar przetwarzania danych osobowych z użyciem sprzętu komputerowego stanowią:
pomieszczenia biurowe w budynku przy ul. Bolesławieckiej 29 w Pieńsku,
2. Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych, wyposażone są w
zamknięcia. W czasie, gdy nie znajdują się w nich osoby upoważnione, pomieszczenia są
zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym. Osoby
nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą
Administratora Danych Osobowych lub w obecności osób upoważnionych.
III.
Rejestrowania i wyrejestrowania użytkownika
1. Użytkownikiem systemu informatycznego (osobą upoważnioną) może być:
a) osoba zatrudniona przy przetwarzaniu danych osobowych w Urzędzie Miasta i Gminy w
Pieńsku, która posiada upoważnienie do obsługi systemu informatycznego oraz urządzeń
wchodzących w jego skład,
b) pracownik innego podmiotu lub przedsiębiorca będący osobą fizyczną prowadzi
działalność na podstawie wpisu do ewidencji działalności gospodarczej, którzy świadczą
na podstawie stosowanych umów usługi związane z ich pracą w systemie informatycznym
(serwis, zlecenie przetwarzania danych osobowych itp.).
2. Uzyskanie uprawnień następuje na dwóch poziomach:
a) zarejestrowania w sieci komputerowej (założenie konta),
b) nadanie określonych uprawnień do systemów aplikacyjnych.
3. Pisemny wniosek o zarejestrowanie użytkownika składa bezpośredni przełożony pracownika.
Wniosek zostaje przekazany do Pełnomocnika a w przypadku nieobecności do Administratora
Bezpieczeństwa Informacji, który może zgłosić sprzeciw wobec przyznania uprawnień, ze
względu na zagrożenie naruszenia bezpieczeństwa danych osobowych.
4. Jednocześnie z wnioskiem o zarejestrowanie użytkownika, bezpośredni przełożony określa
zakres uprawnień do systemów aplikacyjnych. Zasady nadawania uprawnień do
poszczególnych systemów mogą określać odrębne instrukcje.
9
5. Postanowienie dział III pkt. 4 stosuje się odpowiednio w przypadku przejścia pracownika do
innej komórki organizacyjnej. Obowiązek złożenia wniosku o nadanie uprawnień spoczywa na
nowym bezpośrednim przełożonym pracownika.
6. W przypadku rozwiązania stosunku pracy w Urzędzie Miasta i Gminy w Pieńsku, stosuje się
następująca procedurę wyrejestrowania użytkownika:
1) Bezpośredni przełożony zwalnianego pracownika informuje na piśmie Pełnomocnika a
także ABI o dacie rozwiązania umowy o pracę,
2) Z datą zakończenia stosunku pracy następuje zablokowanie dostępu do systemów i baz
danych, wykonanie tej operacji jest jednoznaczne z uniemożliwieniem dostępu do
systemu dla pracownika, z którym rozwiązano umowę o pracę w Urzędzie Miasta i Gminy
w Pieńsku. Fakt ten dokumentuje się w ewidencji osób upoważnionych do przetwarzania
danych osobowych.
IV.
Sposób przydziału haseł i zasady korzystania z nich
1. Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu identyfikatora i
hasła.
2. Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego identyfikator w
systemie.
3. W celu uniemożliwienia zapoznania się z hasłami przez osoby do tego celu nieupoważnione
Administrator Bezpieczeństwa Informacji dokonuje zmian haseł w terminach nie dłuższych niż
2 miesiące.
4. W Urzędzie Miasta i Gminy w Pieńsku obowiązują następujące zasady korzystania z haseł:
a) zabrania się ujawniania haseł jakimkolwiek osobom trzecim,
b) zabrania się zapisywania haseł lub takiego z nimi postępowania, które umożliwia lub
ułatwia dostęp do haseł osobom trzecim,
c) zabrania się stosowania jako haseł: imion, nazwisk, dat urodzin itp.
5. Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników z haseł
nadzoruje Administrator Bezpieczeństwa Informacji. Nadzór ten w szczególności polega na
obserwacji (monitorowaniu) funkcjonowania mechanizmu uwierzytelniania i przywracania
stanu prawidłowego w przypadku nieprawidłowości.
V. Rozpoczęcie i zakończenie pracy
1. Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest
sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły
okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia
ochrony danych osobowych użytkownik niezwłocznie powiadamia Administratora
Bezpieczeństwa Informacji.
2. Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności:
a) włączenia komputera,
b) uwierzytelnienia się („zalogowania” w systemie) za pomocą identyfikatora i hasła.
3. Niedopuszczalne jest uwierzytelnianie się na hasło i identyfikator innego użytkownika lub
praca w systemie informatycznym na koncie innego użytkownika.
4. Zakończenie pracy użytkownika w systemie następuje po „wylogowaniu się” z systemu. Po
zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy, w szczególności
dyskietki, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób
nieupoważnionych.
5. W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest
„wylogować się” lub zaktywizować wygaszacz ekranu z opcją ponownego „logowania” się do
systemu.
6. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania („logowaniu
się” w systemie), użytkownik niezwłocznie powiadamia o nich ABI.
10
VI.
Ochrona danych osobowych w poszczególnym wydziałach
W zakresie dotyczącym poszczególnych wydziałów uszczegółowienie zasad ochrony danych
osobowych mogą stanowić wydziałowe instrukcje ochrony danych osobowych. Instrukcje
wydziałowe przygotowywane są przez naczelnika wydziału i wymagają akceptacji Pełnomocnika
oraz Administratora Bezpieczeństwa Informacji. Instrukcje wydziałowe nie mogą być sprzeczne z
postanowieniami „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych”. Administrator Bezpieczeństwa Informacji i naczelnicy wydziałów (według
swojej właściwości) są zobowiązani do przechowywania instrukcji.
VII. Tworzenie,
zapasowych.
przechowywanie,
sprawdzanie
przydatności
i
likwidacji
kopii
1. Kopie zapasowe są tworzone, przechowywane i wykorzystywane z uwzględnieniem
następujących zasad:
a) kopie wykonywane są codziennie,
b) kopie wykonywane są na nośnikach wg. schematu rotacji tygodniowej – tzn na
jednym nośniku zapisany jest stan z jednego dnia tygodnia,
c) kopie są okresowo, raz w miesiącu, sprawdzane pod kątem ich przydatności do
odtworzenia danych, a jeżeli ustanie ich użyteczność są niezwłocznie usuwane
(niszczone).
VIII.
Sprawdzanie obecności wirusów komputerowych:
1. Sprawdzanie obecności wirusów komputerowych dokonywane jest poprzez zainstalowanie
programu, który skanuje automatycznie, bez udziału użytkownika, na obecność wirusów
wszystkie pliki. Program jest zainstalowany na wszystkich serwerach i stacjach roboczych.
2. Po każdej naprawie i konserwacji komputera należy dokonać sprawdzenia pod kątem
występowania wirusów i ponownie zainstalować program antywirusowy.
3. Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu
programem antywirusowym przed rozpoczęciem korzystania z nich. Dane uzyskiwane drogą
teletransmisji należy umieszczać – przed otwarciem – w katalogu przejściowym, który podlega
sprawdzeniu.
IX.
Sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i
wydruków:
1. Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w
odrębnych zamykanych szafach.
2. Osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający
dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w wykonywanej
pracy, a w przypadku jego nieprzydatności – niezwłocznie wydruk zniszczyć.
3. Elektroniczne nośniki informacji z danymi osobowymi są oznaczane i przechowywane w
zamykanych szafach lub sejfach znajdujących się w specjalnym pomieszczeniu, do którego
dostęp mają wyłącznie odrębnie upoważnieni pracownicy.
4. Fizyczna likwidacja zniszczonych lub niepotrzebnych elektronicznych nośników informacji z
danymi osobowymi odbywa się w sposób uniemożliwiający odczyt danych osobowych.
5. Dopuszczalne jest zlecenie/powierzenie niszczenia wszelkich nośników danych osobowych
wyspecjalizowanym podmiotom zewnętrznym. Podstawą przekazania danych do zniszczenia
innemu podmiotowi powinna być w każdym przypadku umowa zawarta na piśmie.
X. Zasady przeglądów i konserwacji systemu:
1. Przegląd i konserwacja zbiorów danych dokonywane są poprzez:
a) badanie spójności bazy danych,
b) uruchamianie zapytań do bazy danych w celu analizy danych,
c) przegląd wydruków po wyznaczonych procesach,
d) sprawdzanie zgodności danych z dokumentami,
e) analiza zgłaszanych uwag użytkowników.
11
2. Przeglądu i konserwacji dokonuje pracownik Wydziału Organizacyjno – Prawnego –
Stanowisko ds. sieci informatycznej wg potrzeb nie rzadziej niż raz na 6 miesięcy.
3. W przypadku zlecenia wykonywania czynności, o których mowa wyżej, podmiotowi
zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem Administratora
Bezpieczeństwa Informacji.
XI.
Komunikacja w sieci komputerowej:
1. W zakresie korzystania z sieci komputerowej w Urzędzie Miasta i Gminy w Pieńsk obowiązują
następujące zasady:
a) pracownicy nie są uprawnieni do instalacji jakiegokolwiek oprogramowania bez
odpowiedniej zgody Pełnomocnika i ABI. W przypadku zainstalowania takiego
oprogramowania bez odpowiedniej akceptacji pracownik ponosi odpowiedzialność
porządkową i prawną,
b) oprogramowanie na komputerach może być zainstalowane wyłącznie przez informatyka
zatrudnionego w Urzędzie Miasta i Gminy w Pieńsku,
c) wszelkie dane zainstalowane na komputerach Urzędu stanowią własność Gminy,
d) pracownicy mogą używać połączenia z Internetem jedynie w celach służbowych,
e) pracownicy nie mają prawa przekazywać za pośrednictwem sieci komputerowej do stron
trzecich jakichkolwiek danych stanowiących własność Gminy,
f) pracownicy nie mogą ściągać za pośrednictwem sieci komputerowej żadnego
oprogramowania,
g) pracownicy nie mogą podłączać się do sieci zewnętrznej za pośrednictwem modemów.
XII.
Obowiązki i odpowiedzialność użytkownika związane obowiązywaniem instrukcji
1. Użytkownik systemu jest zobowiązany zapoznać się z treścią niniejszej Instrukcji i potwierdzić
to stosownym oświadczeniem.
2. Naruszenie przez pracownika niniejszej Instrukcji może zostać potraktowane jako naruszenie
obowiązków pracowniczych i powodować określoną przepisami Kodeksu pracy
odpowiedzialność pracownika.
3. Treść niniejszej Instrukcji ma charakter poufny, chroniony tajemnicą pracodawcy na zasadzie
art. 100 § 2 pkt 4 Kodeksu pracy.
12
Załącznik nr 3
do Zarządzenia nr 62/07
Burmistrza Miasta i Gminy Pieńsk
z dnia 5 czerwca 2007 r.
Upoważnienie do przetwarzania danych osobowych
Burmistrz Miasta i Gminy Pieńsk upoważnia Panią/ Pana ..................................................................
Do przetwarzania danych osobowych w zakresie ................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
od dnia...................................................................................................................................................
Jednocześnie zobowiązuję Panią/Pana do zachowania tajemnicy służbowej w zakresie dotyczącym
przetwarzanych danych osobowych jak również sposobu ich zabezpieczania.
...............................................
Data podpis pracownika
.................................................
Data podpis burmistrza
13
Załącznik nr 4
do Zarządzenia nr 62/07
Burmistrza Miasta i Gminy Pieńsk
z dnia 5 czerwca 2007 r.
Ewidencji osób upoważnionych do przetwarzania danych osobowych
Lp
Imię i Nazwisko osoby
upoważnionej
Identyfikator
Data nadania
upoważnienia
Data cofnięcia
upoważnienia
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
14
Załącznik nr 5
do Zarządzenia nr 62/07
Burmistrza Miasta i Gminy Pieńsk
z dnia 5 czerwca 2007 r.
Wniosek o zarejestrowanie / wyrejestrowanie* pracownika
Imię i nazwisko pracownika .....................................................................................................................
Wydział.......................................................................................................................................................
W związku z przyjęciem nowego pracownika, przeniesieniem na inne stanowisko, rozwiązaniem
stosunku pracy* proszę o dokonanie rejestracji / wyrejestrowania w/w. Jednocześnie określam
uprawnienia do aplikacji w następujący sposób.
Administrator
aplikacji
Nazwa i adres
serwera
Wydziały lub
stanowiska
komunikujące się
Lokalizacja
zbioru danych
Jednostki
korzystające ze
zbioru
Zawartość pól
informacyjnych
Środowisko pracy
(wydział)
Rodzaj zbioru
Nazwa zbioru
Lp.
Zakres dostępu do danych (szczegółowy zakres dostępu do systemu lub wymienić określone punkty
menu programu):
...................................................................................................................................................................
* niepotrzebne skreślić
15