ZARZĄDZENIE Nr 62/ 07 BURMISTRZA MIASTA I GMINY PIEŃSK z
Transkrypt
ZARZĄDZENIE Nr 62/ 07 BURMISTRZA MIASTA I GMINY PIEŃSK z
ZARZĄDZENIE Nr 62/ 07 BURMISTRZA MIASTA I GMINY PIEŃSK z dnia 5 czerwca 2007 r. W sprawie wprowadzenia regulaminu dotyczącego zasad przetwarzania danych osobowych oraz stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w Urzędzie Miasta i Gminy w Pieńsku. Na podstawie § 13 pkt. 8 Regulaminu Organizacyjnego Urzędu Miasta i Gminy w Pieńsku (zarządzenia Burmistrza Miasta i Gminy Pieńsk Nr 124/06 z dnia 19 grudnia 2006 r. w sprawie wprowadzenia regulaminu organizacyjnego - Urzędu Miasta i Gminy w Pieńsku) w związku z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. z 2002 Dz.U. nr 101 poz. 926 z późn. zm.) Zarządzam co następuje: §1 Ustalam zasady realizacji przetwarzania danych osobowych oraz stosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w Urzędzie Miasta i Gminy w Pieńsku. I. Postanowienia ogólne 1. Zasady przetwarzania danych osobowych została opracowana w wykonaniu obowiązków określonych w: 1) art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz. 926 z późn. zm.), 2) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 2. Na dokumentację przetwarzania danych osobowych w Urzędzie Miasta i Gminy Pieńsk zwaną dalej „dokumentacją” składają się następujące dokumenty: 1) polityka bezpieczeństwa – załącznik nr 1 do zarządzenia, 2) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – załącznik nr 2 do zrządzenia, 3) wzór upoważnienia do przetwarzania danych osobowych – załącznik nr 3 do zarządzenia, 4) wzór ewidencji osób upoważnionych do przetwarzania danych osobowych – załącznik nr 4 do zarządzenia. 5) wzór wniosku o zarejestrowanie / wyrejestrowanie pracownika – załącznik nr 5 do zarządzenia II. Sposób prowadzenie dokumentacji Dokumentacja przetwarzania danych osobowych prowadzona jest w formie pisemnej. Dokumentacja jest wdrażana do stosowania na podstawie zarządzenia Burmistrza. Wprowadzanie zmian w dokumentacji następuje w tej samej formie. III. Osoby i podmioty odpowiedzialne 1. Administrator Danych Osobowych (ADO) – Burmistrz Miasta i Gminy Pieńsk jest podmiotem prawnie zobowiązanym do: 1) opracowywania i wdrażania dokumentacji, 2) monitorowania przestrzegania zasad i procedur określonych w dokumentacji. 2. W Urzędzie Miasta i Gminy w Pieńsku wyznaczam następujące osoby odpowiedzialne za opracowywanie dokumentacji i monitorowanie przestrzegania zasad w niej określonych: 1) Panią Małgorzatę Wicha – Sekretarza Miasta i Gminy Pieńsk jako Pełnomocnika ds. ochrony danych osobowych (Pełnomocnik ODO) za nadzorowanie opracowywania dokumentacji oraz zmian w dokumentacji, a także przedstawienie dokumentacji (zmian) oraz protokołów zaniedbań wraz z proponowanymi działaniami korygującymi Burmistrzowi do zatwierdzenia, 2) Pana Andrzeja Żbikowskiego - Informatyka (Administratora Bezpieczeństwa Informacji ABI) za administrowanie programami w zakresie aktualizacji oprogramowania oraz konserwacji sprzętu, nadzorowanie przestrzegania zasad i procedur określonych w dokumentacji, a także przywracanie do stanu prawidłowego w zakresie przyznanych kompetencji i uprawnień oraz przedkładanie protokołu nieprawidłowości Pełnomocnikowi. 3) Panią Barbarę Kowalczyk – Inspektora wydziału Organizacyjno- Prawnego za przechowywanie upoważnień do przetwarzania danych osobowych oraz prawidłowe przechowywanie w archiwum dokumentacji dotyczącej przetwarzania danych, 4) Pracowników poszczególnych wydziałów, samodzielnych stanowisk (administratorzy aplikacji) w Urzędzie Miasta i Gminy w Pieńsku za opracowywanie dokumentacji oraz zmian w dokumentacji w zakresie odpowiednim do kompetencji i wykonywanych zadań. §2 Wykonania Zarządzenia powierza się Sekretarzowi Miasta i Gminy Pieńsk. §3 Zarządzenie wchodzi w życie z dniem podjęcia, termin zakończenia prac wdrożeniowych określa się na 30 sierpnia 2007 r. Tadeusz Łowicki Burmistrz Miasta i Gminy Pieńsk 2 Załącznik nr 1 do Zarządzenia nr 62/07 Burmistrza Miasta i Gminy Pieńsk z dnia 5 czerwca 2007 r. Polityka bezpieczeństwa I. Zakres stosowania Polityka dotyczy przetwarzania danych osobowych przez Urząd Miasta i Gminy w Pieńsku i zawiera następujące dokumenty dotyczące rozpoznania procesów dotyczących danych osobowych oraz określające wprowadzone zabezpieczenia techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych: 1) wykaz pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), 2) wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych, 3) opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy nimi, 4) sposób przepływu danych pomiędzy poszczególnymi systemami, 5) środki techniczne i organizacyjne niezbędne w celu zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. II. Obszar przetwarzania danych osobowych Obszarem przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Pieńsku są pomieszczenia w budynku przy ul. Bolesławieckiej 29. III. Wykaz zbiorów danych osobowych i programów zastosowanych do przetwarzania danych Wykaz zbiorów danych przetwarzanych w Urzędzie Miasta i Gminy w Pieńsku i programów zastosowanych do przetwarzania danych winny zawierać następujące pola: 1. Wykaz przetwarzanych zbiorów danych opracowuje Administrator Bezpieczeństwa Informacji w którym ujmuje się: a) nazwa zbioru danych, b) opis formy prowadzenia zbioru danych (baza danych BD – kartoteka papierowa KP), c) środowisko pracy (Wydział), d) zawartość pól informacyjnych (zakres danych jakimi objęto dany zbiór ), e) jednostki organizacyjne wykorzystujące zbiór danych, f) lokalizacja zbioru danych (oznaczenie budynków, pomieszczeń lub części pomieszczeń), g) inne aplikacje, którymi komunikuje się i wymienia dane, h) nazwa i adres IP serwera, i) administrator aplikacji. Administrator aplikacji Nazwa i adres serwera Wydziały lub stanowiska komunikujące się Lokalizacja zbioru danych Jednostki korzystające ze zbioru Zawartość pól informacyjnych Środowisko pracy (wydział) Rodzaj zbioru Nazwa zbioru Lp. Wydział Organizacyjno Prawny – Sekretarz 3 BD Wszystkie wydziały 3. System Informacji Oświatowej BD OP - SE 4. Rejestr osób ubiegających się o awans zawodowy nauczycieli KP OP - SE KP Rejestr pracodawców otrzymujących zwrot kosztów kształcenia młodocianych pracowników Wydział Spraw Obywatelskich OP – SE 6. ARAM – System Ewidencji Ludności i Wyborców BD SO 7. Rejestr osób objętych przymusowym leczeniem uzależnień KP SO BD USC 5. Wydział OP, pokój nr Wszystkie wydziały OP – II OP- IV USTAWA z dnia 19 lutego 2004 r. o systemie informacji oświatowe ( Dz.U. nr49 poz.463) Ustawą Karta nauczyciela (tj z 2006 r. Dz.U. nr 97 poz.674 oraz rozporządzeniem (Dz.U. z 2004 r. nr 260 poz.2593) Ustawa o systemie oświaty rozdział V (tj. z 2004 Dz.U. nr 256 poz 2572 OP – SE OP – SE pokój nr 25 OP - SE FB - VI Administrator aplikacji PROTON – System Elektronicznego Obiegu Dokumentów OP – I Nazwa i adres serwera 2. Rozp. Zakres prowadzenia przez pracodawców dokumentacji (DZ.U. nr 62 poz 286 z 1996 r. z póżn. zm.) USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. nr 65 poz 565) Wydziały lub stanowiska komunikujące się OP Lokalizacja zbioru danych BD KP Jednostki korzystające ze zbioru Kadry Zawartość pól informacyjnych Środowisko pracy (wydział) Rodzaj zbioru Nazwa zbioru Lp. 1. g007/192.168.0 .2 Barbara Kowalczyk g007/192.168.0 .2 wszystkie stanowiska Brak g007/192.168.0 .2 Małgorzata Wicha OP – SE pokój nr 25 brak g007/192.168.0 .2 Małgorzata Wicha OP – SE OP – SE pokój 25 Brak Brak Małgorzata Wicha Dane zgodnie z ustawą ewidencji ludności i dowodach osobistych (tj. z 2006 r. DZ.U. Nr 139 poz.993) Zgodnie z ustawą z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (tj. z 2007 Dz. U. nr 70 poz 473 SO – I SO – II SO – III SO – IV Wydział SO Pokój nr 21 USC brak Cecylia Brandys Anna Marendziak GKRPA Wydział SO pokój 16 SSM SO - IV Brak Małgorzata Rohr MIłuch Zgodnie z ustawą USC USC SO g007/192.168.0 Emilia Urząd Stanu Cywilnego 8. ESO-USC 4 Administrator aplikacji pokój nr 17 Nazwa i adres serwera Wydziały lub stanowiska komunikujące się Lokalizacja zbioru danych Jednostki korzystające ze zbioru Zawartość pól informacyjnych Środowisko pracy (wydział) Rodzaj zbioru Nazwa zbioru Lp. prawo o aktach stanu cywilnego (tj. z 2004 Dz.U nr 161 poz. 1688) .2 Sielańczyk Samodzielne stanowisko ds. obsługi Rady Miejskiej 9. System Ewidencji Radnych Rady Miejskiej w Pieńsku KP RM Ustawa o podatku dochodowym od osób fizycznych (tj. z 2000 r. Dz.U. nr 14 poz. 176) RM RM pokój 18 FB Brak Izabela Ochman u zgodnie z ustawą o finansach publicznych (tj. z 2005 r. Dz.U. nr 249 poz.2104) oraz ustawie o rachunkowości (tj z 2002 Dz.U nr76 poz 694) Imię nazwisko adres NIP FB – I FB - II FB – VII Wydział FB pokój 4i5 Brak g007/192.168.0 .2 Weronika Majszczyk Krystyna Hinc FB – V FB – VI Wydział FB pokój 8 Wydział FB pokój 4 Brak g007/192.168.0 .2 GNR g007/192.168.0 .2 Kamila Socha Danuta Janukowicz Alicja Bywalska Krystyna Hinc Wydział FB pokój 4 GNR g007/192.168.0 .2 Wydział FB pokój 4 GNR g007/192.168.0 .2 Wydział Finansowo Budżetowy 10. Księgowość budżetowa SIGID BD FB 11. Program obsługi kasy BD FB 12. Podatek od nieruchomości od osób fizycznych SIGID Podatek od nieruchomości od osób prawnych SIGID Podatek rolny, leśny, nieruchomości dla osób fizycznych SIGID HOME BANKING – System obsługi konta bankowego Płatnik – System obsługi ZUS BD FB Z Uchwałą Rady Miejskiej w Pieńsku nr II/9/06 BD FB Z Uchwałą Rady Miejskiej w Pieńsku nr II/9/06 BD FB Z Uchwałą Rady Miejskiej w Pieńsku nr II/11/06 i II/10/06 BD FB Imię nazwisko adres NIP nr rachunku bankowego FB – V FB – VI Wydział FB pokój 8 Brak fb005/192.168. 0.22 Kamila Socha Danuta Janukowicz BD FB Zgodnie z ustawą o systemie ubezpieczeń społecznych (tj. z 2007 r. Dz.U. nr 11 poz. 74) FB – V FB – VI Wydział FB pokój 10 OP - I fb005/192.168. 0.22 Danuta Janukowicz Kamila Socha Imię nazwisko adres NIP PESEL SSM – I Wydział SSM pokój 23 FB g007/192.168.0 .2 Mariola Linka Zgodnie z rozporządzeniem Ministra Infrastruktury ( SSM – II Wydział SSM pokój 22 FB g007/192.168.0 .2 Adriana Pieczykolano 13. 14. 15. 16. Wydział Spraw Socjalnych i Mieszkaniowych 17. Ewidencja umów BD SSM i opłat dzierżawnych SIGID 18. Ewidencja i BD SSM naliczanie dodatków mieszkaniowych FB – I FB - II FB - III FB - IV FB – I FB - II FB - III FB - IV FB – I FB II FB III FB IV Alicja Bywalska Krystyna Hinc Magdalena Matoszko Alicja Bywalska Krystyna Hinc 5 Administrator aplikacji Nazwa i adres serwera Wydziały lub stanowiska komunikujące się Ewidencja i KP SSM naliczanie stypendiów i zasiłków szkolnych 20. Windykacja KP SSM Uchwała Rady należności Miejskiej w Pieńsku czynszowych Nr XLII/256/06 Wydział Gospodarki Nieruchomościami i Rolnictwa 21. Ewidencja umów BD GNR Zgodnie z ustawą o i opłat za gospodarce wieczyste nieruchomościami użytkowanie (tj. z 2004 r. Dz.U. nr 261 poz.2603 KP GNR Zgodnie z ustawą o 22. Ewidencja gospodarce właścicieli nieruchomościami nieruchomości (tj. z 2004 r. Dz.U. nr 261 poz.2603 Wydział Inwestycji Infrastruktury i Rozwoju KP IIR Imię i Nazwisko 23. Ewidencja osób właściciela adres ubiegających się o określenie położenia wycinkę lub nieruchomości podcięcie drzew Samodzielne stanowisko ds Zarządzania Kryzysowego 24. Rejestr KP ZK Dane osobowe i przedpobor. adresowe 25. Rejestr KP ZK Dane osobowe i poborowych adresowe ZK Dane osobowe i 26 Rejestr świadczeń KP adresowe osobistych i rzeczowych Lokalizacja zbioru danych 2001 r. Dz.U nr 156 poz 1828) Zgodnie z uchwałą Rady Miejskiej w Pieńsku Nr XXVIII/188/05 Jednostki korzystające ze zbioru Zawartość pól informacyjnych Środowisko pracy (wydział) 19. Rodzaj zbioru Nazwa zbioru Lp. SIGID SSM – II Wydział SSM pokój 22 FB brak Adriana Pieczykolano SSM - IV Wydział SSM pokój 24 FB Radca prawny Brak Stanisława Pyszko GNR III Wydział GNR pokój nr 12 FB g007/192.168.0 .2 Artur Gradecki GNR III Wydział GNR pokój nr 12 FB Brak Artur Gradecki IIR – III Wydział IIR pokój 28 FB Brak Karolina Lula ZK ZK SO –i Brak Rękas ZK ZK SO – Brak Rękas ZK ZK SO – brak Rękas 2. Wykaz zastosowanych zabezpieczeń: a) możliwość przyznawania indywidualnych identyfikatorów, b) możliwość stopniowania uprawnień, c) możliwość wymuszania zmiany haseł, d) odnotowanie daty pierwszego wprowadzenia danych w systemie, e) odnotowanie identyfikatora użytkownika wprowadzającego dane, f) odnotowanie sprzeciwu określonego w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych, g) odnotowanie źródła danych, w przypadku zbierania danych nie od osoby, której dane dotycz ą, h) odnotowanie informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia, i) możliwość sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o historii przetwarzania danych. IV. Opis struktury zbiorów, zawartości poszczególnych pól informacyjnych i powiązania pomiędzy nimi. W ramach systemu informatycznego w Urzędzie Miasta i Gminy w Pieńsku występują następujące połączenia (funkcjonalne) powiązania pomiędzy zbiorami danych. Oznaczenie aplikacji, z którymi się komunikuje i wymienia dane, znajduje się w dokumencie „Wykaz przetwarzanych zbiorów danych”. 6 V. Sposób przepływu danych pomiędzy poszczególnymi systemami W ramach procesów przetwarzania danych dochodzi do przepływu danych pomiędzy: 1. systemem kadrowo płacowym i programem Płatnika. Dane z systemu płacowego są eksportowane do określonego katalogu na dysku lokalnym i importowane w systemie Płatnik. 2. następuje przepływ informacji wewnątrz systemów SIGID, pomiędzy systemami ewidencji podatków, systemami ewidencjującymi opłaty z tytułu dzierżaw i czynszów a systemem kasowym, do którego przekazywane są dane niezbędne do dokonania wpłaty przez klientów Urzędu. Dane z wymienionych systemów zapisywane są w określonym katalogu na dysku sieciowym, skąd są pobierane przez program kasowy. VI. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Do elementów zabezpieczenia danych osobowych w Urzędzie Miasta i Gminy w Pieńsku zalicza się: a) stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne), b) zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności dokumentów papierowych i informatycznych), c) nadzór Administratora Bezpieczeństwa Informacji nad realizacją wprowadzonych zasad i procedur zabezpieczenia danych (zabezpieczenia organizacyjne), d) kompleksowe i całościowe traktowanie zabezpieczenia danych przez wszystkie podmioty i osoby biorące udział w przetwarzaniu danych. 2. W Urzędzie Miasta i Gminy w Pieńsku rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych: a) zabezpieczenia fizyczne: − zainstalowany system alarmowy, − pomieszczenia zamykane na klucz, − szafy z zamkami, b) zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej: − przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach, − przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby. c) zabezpieczenia organizacyjne: − osobą odpowiedzialną za bezpieczeństwo danych jest Administrator Bezpieczeństwa Informacji (ABI), − ABI i wszyscy powołani przez niego administratorzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami, − nie rzadziej, niż raz na miesiąc są prowadzone przez ABI kontrole stanu bezpieczeństwa systemów informatycznych i przestrzegania zasad ochrony informacji i w przypadkach wykrycia rażących zaniedbań ABI sporządza ich opis w formie protokołu i niezwłocznie przedkłada je Pełnomocnikowi ODO który opracowuje działania korygujące i wraz z protokołem przedkłada ADO (Burmistrzowi) do zatwierdzenia. d) organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania: − wykaz pracowników Urzędu Miasta i Gminy w Pieńsku uprawnionych do przetwarzania danych osobowych, znajduje się u ABI. − przetwarzać dane osobowe mogą jedynie pracownicy, którzy posiadają stosowne upoważnienie przyznane przez ADO, które umieszczone są w aktach osobowych pracowników, − w trakcie przetwarzania danych osobowych, pracownik jest osobiście odpowiedzialny za bezpieczeństwo powierzonych mu danych, − przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, pracownik winien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone, oraz czy zabezpieczenia te nie były naruszone, 7 − − w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione, po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych, 3. W ramach zabezpieczenia danych osobowych ochronie podlegają: a) sprzęt komputerowy – serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne, b) oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne, c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie, d) hasła użytkowników, e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa, f) użytkownicy i administratorzy, którzy obsługują i używają system, g) dokumentacja – zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje, itp., h) wydruki, i) związana z przetwarzaniem danych dokumentacja papierowa, z których zawarte w nich dane są wprowadzane do systemu informatycznego lub też funkcjonują autonomicznie od niego. VII. Postanowienia końcowe 1. ABI okresowo nie rzadziej niż raz na miesiąc będzie analizował zagrożenia i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności opisowi zawartemu w punktach II-V polityki bezpieczeństwa. 2. W systemie informatycznym obowiązują zabezpieczenia na poziomie wysokim. 3. Najważniejszymi zastosowanymi środkami zabezpieczenia danych w systemach informatycznych Urzędu Miasta i Gminy w Pieńsku są : a) hasła dostępu do systemu, b) hasła dostępu do aplikacji, c) wygaszacze ekranu. 4. Dokumentem, który normuje procedury zarządzania systemem informatycznym służącym do przetwarzania danych osobowych jest instrukcja, która określa między innymi: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, c) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, d) sposób realizacji wymogów odnotowywania przez system informatyczny informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, e) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 8 Załącznik nr 2 do Zarządzenia nr 62/07 Burmistrza Miasta i Gminy Pieńsk z dnia 5 czerwca 2007 r. Instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Pieńsku Instrukcja określa sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. I. Zakres zastosowania Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenie pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu. II. Obszar przetwarzania danych: 1. Obszar przetwarzania danych osobowych z użyciem sprzętu komputerowego stanowią: pomieszczenia biurowe w budynku przy ul. Bolesławieckiej 29 w Pieńsku, 2. Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych, wyposażone są w zamknięcia. W czasie, gdy nie znajdują się w nich osoby upoważnione, pomieszczenia są zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym. Osoby nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą Administratora Danych Osobowych lub w obecności osób upoważnionych. III. Rejestrowania i wyrejestrowania użytkownika 1. Użytkownikiem systemu informatycznego (osobą upoważnioną) może być: a) osoba zatrudniona przy przetwarzaniu danych osobowych w Urzędzie Miasta i Gminy w Pieńsku, która posiada upoważnienie do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, b) pracownik innego podmiotu lub przedsiębiorca będący osobą fizyczną prowadzi działalność na podstawie wpisu do ewidencji działalności gospodarczej, którzy świadczą na podstawie stosowanych umów usługi związane z ich pracą w systemie informatycznym (serwis, zlecenie przetwarzania danych osobowych itp.). 2. Uzyskanie uprawnień następuje na dwóch poziomach: a) zarejestrowania w sieci komputerowej (założenie konta), b) nadanie określonych uprawnień do systemów aplikacyjnych. 3. Pisemny wniosek o zarejestrowanie użytkownika składa bezpośredni przełożony pracownika. Wniosek zostaje przekazany do Pełnomocnika a w przypadku nieobecności do Administratora Bezpieczeństwa Informacji, który może zgłosić sprzeciw wobec przyznania uprawnień, ze względu na zagrożenie naruszenia bezpieczeństwa danych osobowych. 4. Jednocześnie z wnioskiem o zarejestrowanie użytkownika, bezpośredni przełożony określa zakres uprawnień do systemów aplikacyjnych. Zasady nadawania uprawnień do poszczególnych systemów mogą określać odrębne instrukcje. 9 5. Postanowienie dział III pkt. 4 stosuje się odpowiednio w przypadku przejścia pracownika do innej komórki organizacyjnej. Obowiązek złożenia wniosku o nadanie uprawnień spoczywa na nowym bezpośrednim przełożonym pracownika. 6. W przypadku rozwiązania stosunku pracy w Urzędzie Miasta i Gminy w Pieńsku, stosuje się następująca procedurę wyrejestrowania użytkownika: 1) Bezpośredni przełożony zwalnianego pracownika informuje na piśmie Pełnomocnika a także ABI o dacie rozwiązania umowy o pracę, 2) Z datą zakończenia stosunku pracy następuje zablokowanie dostępu do systemów i baz danych, wykonanie tej operacji jest jednoznaczne z uniemożliwieniem dostępu do systemu dla pracownika, z którym rozwiązano umowę o pracę w Urzędzie Miasta i Gminy w Pieńsku. Fakt ten dokumentuje się w ewidencji osób upoważnionych do przetwarzania danych osobowych. IV. Sposób przydziału haseł i zasady korzystania z nich 1. Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu identyfikatora i hasła. 2. Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego identyfikator w systemie. 3. W celu uniemożliwienia zapoznania się z hasłami przez osoby do tego celu nieupoważnione Administrator Bezpieczeństwa Informacji dokonuje zmian haseł w terminach nie dłuższych niż 2 miesiące. 4. W Urzędzie Miasta i Gminy w Pieńsku obowiązują następujące zasady korzystania z haseł: a) zabrania się ujawniania haseł jakimkolwiek osobom trzecim, b) zabrania się zapisywania haseł lub takiego z nimi postępowania, które umożliwia lub ułatwia dostęp do haseł osobom trzecim, c) zabrania się stosowania jako haseł: imion, nazwisk, dat urodzin itp. 5. Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników z haseł nadzoruje Administrator Bezpieczeństwa Informacji. Nadzór ten w szczególności polega na obserwacji (monitorowaniu) funkcjonowania mechanizmu uwierzytelniania i przywracania stanu prawidłowego w przypadku nieprawidłowości. V. Rozpoczęcie i zakończenie pracy 1. Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powiadamia Administratora Bezpieczeństwa Informacji. 2. Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności: a) włączenia komputera, b) uwierzytelnienia się („zalogowania” w systemie) za pomocą identyfikatora i hasła. 3. Niedopuszczalne jest uwierzytelnianie się na hasło i identyfikator innego użytkownika lub praca w systemie informatycznym na koncie innego użytkownika. 4. Zakończenie pracy użytkownika w systemie następuje po „wylogowaniu się” z systemu. Po zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy, w szczególności dyskietki, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób nieupoważnionych. 5. W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest „wylogować się” lub zaktywizować wygaszacz ekranu z opcją ponownego „logowania” się do systemu. 6. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania („logowaniu się” w systemie), użytkownik niezwłocznie powiadamia o nich ABI. 10 VI. Ochrona danych osobowych w poszczególnym wydziałach W zakresie dotyczącym poszczególnych wydziałów uszczegółowienie zasad ochrony danych osobowych mogą stanowić wydziałowe instrukcje ochrony danych osobowych. Instrukcje wydziałowe przygotowywane są przez naczelnika wydziału i wymagają akceptacji Pełnomocnika oraz Administratora Bezpieczeństwa Informacji. Instrukcje wydziałowe nie mogą być sprzeczne z postanowieniami „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”. Administrator Bezpieczeństwa Informacji i naczelnicy wydziałów (według swojej właściwości) są zobowiązani do przechowywania instrukcji. VII. Tworzenie, zapasowych. przechowywanie, sprawdzanie przydatności i likwidacji kopii 1. Kopie zapasowe są tworzone, przechowywane i wykorzystywane z uwzględnieniem następujących zasad: a) kopie wykonywane są codziennie, b) kopie wykonywane są na nośnikach wg. schematu rotacji tygodniowej – tzn na jednym nośniku zapisany jest stan z jednego dnia tygodnia, c) kopie są okresowo, raz w miesiącu, sprawdzane pod kątem ich przydatności do odtworzenia danych, a jeżeli ustanie ich użyteczność są niezwłocznie usuwane (niszczone). VIII. Sprawdzanie obecności wirusów komputerowych: 1. Sprawdzanie obecności wirusów komputerowych dokonywane jest poprzez zainstalowanie programu, który skanuje automatycznie, bez udziału użytkownika, na obecność wirusów wszystkie pliki. Program jest zainstalowany na wszystkich serwerach i stacjach roboczych. 2. Po każdej naprawie i konserwacji komputera należy dokonać sprawdzenia pod kątem występowania wirusów i ponownie zainstalować program antywirusowy. 3. Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu programem antywirusowym przed rozpoczęciem korzystania z nich. Dane uzyskiwane drogą teletransmisji należy umieszczać – przed otwarciem – w katalogu przejściowym, który podlega sprawdzeniu. IX. Sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków: 1. Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w odrębnych zamykanych szafach. 2. Osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w wykonywanej pracy, a w przypadku jego nieprzydatności – niezwłocznie wydruk zniszczyć. 3. Elektroniczne nośniki informacji z danymi osobowymi są oznaczane i przechowywane w zamykanych szafach lub sejfach znajdujących się w specjalnym pomieszczeniu, do którego dostęp mają wyłącznie odrębnie upoważnieni pracownicy. 4. Fizyczna likwidacja zniszczonych lub niepotrzebnych elektronicznych nośników informacji z danymi osobowymi odbywa się w sposób uniemożliwiający odczyt danych osobowych. 5. Dopuszczalne jest zlecenie/powierzenie niszczenia wszelkich nośników danych osobowych wyspecjalizowanym podmiotom zewnętrznym. Podstawą przekazania danych do zniszczenia innemu podmiotowi powinna być w każdym przypadku umowa zawarta na piśmie. X. Zasady przeglądów i konserwacji systemu: 1. Przegląd i konserwacja zbiorów danych dokonywane są poprzez: a) badanie spójności bazy danych, b) uruchamianie zapytań do bazy danych w celu analizy danych, c) przegląd wydruków po wyznaczonych procesach, d) sprawdzanie zgodności danych z dokumentami, e) analiza zgłaszanych uwag użytkowników. 11 2. Przeglądu i konserwacji dokonuje pracownik Wydziału Organizacyjno – Prawnego – Stanowisko ds. sieci informatycznej wg potrzeb nie rzadziej niż raz na 6 miesięcy. 3. W przypadku zlecenia wykonywania czynności, o których mowa wyżej, podmiotowi zewnętrznemu, wszelkie prace powinny odbywać się pod nadzorem Administratora Bezpieczeństwa Informacji. XI. Komunikacja w sieci komputerowej: 1. W zakresie korzystania z sieci komputerowej w Urzędzie Miasta i Gminy w Pieńsk obowiązują następujące zasady: a) pracownicy nie są uprawnieni do instalacji jakiegokolwiek oprogramowania bez odpowiedniej zgody Pełnomocnika i ABI. W przypadku zainstalowania takiego oprogramowania bez odpowiedniej akceptacji pracownik ponosi odpowiedzialność porządkową i prawną, b) oprogramowanie na komputerach może być zainstalowane wyłącznie przez informatyka zatrudnionego w Urzędzie Miasta i Gminy w Pieńsku, c) wszelkie dane zainstalowane na komputerach Urzędu stanowią własność Gminy, d) pracownicy mogą używać połączenia z Internetem jedynie w celach służbowych, e) pracownicy nie mają prawa przekazywać za pośrednictwem sieci komputerowej do stron trzecich jakichkolwiek danych stanowiących własność Gminy, f) pracownicy nie mogą ściągać za pośrednictwem sieci komputerowej żadnego oprogramowania, g) pracownicy nie mogą podłączać się do sieci zewnętrznej za pośrednictwem modemów. XII. Obowiązki i odpowiedzialność użytkownika związane obowiązywaniem instrukcji 1. Użytkownik systemu jest zobowiązany zapoznać się z treścią niniejszej Instrukcji i potwierdzić to stosownym oświadczeniem. 2. Naruszenie przez pracownika niniejszej Instrukcji może zostać potraktowane jako naruszenie obowiązków pracowniczych i powodować określoną przepisami Kodeksu pracy odpowiedzialność pracownika. 3. Treść niniejszej Instrukcji ma charakter poufny, chroniony tajemnicą pracodawcy na zasadzie art. 100 § 2 pkt 4 Kodeksu pracy. 12 Załącznik nr 3 do Zarządzenia nr 62/07 Burmistrza Miasta i Gminy Pieńsk z dnia 5 czerwca 2007 r. Upoważnienie do przetwarzania danych osobowych Burmistrz Miasta i Gminy Pieńsk upoważnia Panią/ Pana .................................................................. Do przetwarzania danych osobowych w zakresie ................................................................................ ............................................................................................................................................................... ............................................................................................................................................................... od dnia................................................................................................................................................... Jednocześnie zobowiązuję Panią/Pana do zachowania tajemnicy służbowej w zakresie dotyczącym przetwarzanych danych osobowych jak również sposobu ich zabezpieczania. ............................................... Data podpis pracownika ................................................. Data podpis burmistrza 13 Załącznik nr 4 do Zarządzenia nr 62/07 Burmistrza Miasta i Gminy Pieńsk z dnia 5 czerwca 2007 r. Ewidencji osób upoważnionych do przetwarzania danych osobowych Lp Imię i Nazwisko osoby upoważnionej Identyfikator Data nadania upoważnienia Data cofnięcia upoważnienia 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 14 Załącznik nr 5 do Zarządzenia nr 62/07 Burmistrza Miasta i Gminy Pieńsk z dnia 5 czerwca 2007 r. Wniosek o zarejestrowanie / wyrejestrowanie* pracownika Imię i nazwisko pracownika ..................................................................................................................... Wydział....................................................................................................................................................... W związku z przyjęciem nowego pracownika, przeniesieniem na inne stanowisko, rozwiązaniem stosunku pracy* proszę o dokonanie rejestracji / wyrejestrowania w/w. Jednocześnie określam uprawnienia do aplikacji w następujący sposób. Administrator aplikacji Nazwa i adres serwera Wydziały lub stanowiska komunikujące się Lokalizacja zbioru danych Jednostki korzystające ze zbioru Zawartość pól informacyjnych Środowisko pracy (wydział) Rodzaj zbioru Nazwa zbioru Lp. Zakres dostępu do danych (szczegółowy zakres dostępu do systemu lub wymienić określone punkty menu programu): ................................................................................................................................................................... * niepotrzebne skreślić 15