ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 24 maja 2018 r.

Transkrypt

1 ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU z dnia 24 maja 2018 r. w sprawie wdrożenia polityki bezpieczeństwa ochrony danych osobowych 1). Na podstawie art. 4 pkt 7 i 17 oraz art. 24 ust.1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z , str. 1) oraz art. 33 ust. 3, 4 i 5 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2018 r. poz. 994 z późn. zm. 2) ) zarządza się, co następuje: Rozdział 1 Ogólne założenia polityki przetwarzania i ochrony danych osobowych 1. Polityka bezpieczeństwa ochrony danych osobowych Urzędu Miasta Zielona Góra, zwana dalej polityką bezpieczeństwa, jest zbiorem praw i obowiązków dotyczących sposobu zarządzania, przetwarzania, ochrony i dystrybucji danych osobowych w Urzędzie Miasta Zielona Góra ( urzędzie ), które należy stosować, aby właściwie zabezpieczyć dane osobowe podczas ich przetwarzania w formie papierowej, głosowej, wizyjnej oraz elektronicznej w systemach informatycznych urzędu. 2. Użyte w dokumencie definicje oznaczają: 1) osoba upoważniona osobę posiadającą upoważnienie i dopuszczoną, jako użytkownik, do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu; 2) podmiot zewnętrzny współpracującą z urzędem bądź świadczącą na jego rzecz usługi osobę fizyczną, prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej; 3) RODO rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; 4) użytkownik osoba dopuszczona do pracy w systemach informatycznych, której nadano stosowne uprawnienia, identyfikowana w systemie poprzez identyfikator użytkownika oraz posługująca się hasłem lub innym atrybutem w celu potwierdzenia swojej autentyczności; 5) incydent pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem danych osobowych lub seria takich zdarzeń, które zagrażają bezpieczeństwu danych osobowych; 6) incydent dużej wagi incydent, którego skutki spowodowały odpowiedzialność prawną lub materialną instytucji; 7) IOD inspektora danych osobowych; 8) kierownik komórki organizacyjnej kierownika komórki organizacyjnej w rozumieniu regulaminu organizacyjnego urzędu 3). 3. Obowiązki administratora oraz inspektora danych osobowych, zasady i cele przetwarzania danych, prawa osób, których dotyczą oraz inne kwestie dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych określa RODO oraz przepisy krajowe służące wykonaniu RODO. 4. Prezydent Miasta Zielona Góra administrator danych osobowych urzędu wyznacza II zastępcę prezydenta jako swojego przedstawiciela do reprezentowania oraz realizacji zadań administratora wynikających z RODO. 1) Niniejszym zarządzeniem uchyla się zarządzenie w sprawie Instrukcji użytkowania i zarządzania systemem informatycznym oraz zarządzenie w sprawie powołania zastępcy Administratora Bezpieczeństwa Informacji oraz zmienia się zarządzenie w sprawie powierzenia prowadzenia spraw oraz udzielenia upoważnień i pełnomocnictw Panu Dariuszowi Lesickiemu II Zastępcy Prezydenta Miasta. 2) Zmiana tekstu jednolitego wymienionej ustawy została ogłoszona w Dz. U. z 2018 r. poz ) W dniu podpisania zarządzenia regulamin organizacyjny jest nadany zarządzeniem nr K z dnia 5 stycznia 2015 r. z późn. zm. 1

2 Rozdział 2 Udostępnianie danych osobowych 5.1. Dane osobowe mogą być udostępnione osobom, których dane te dotyczą lub podmiotom uprawnionym na mocy obowiązujących przepisów prawa do ich otrzymania, jeżeli w sposób wiarygodny, uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których te dane dotyczą. 2. Dane osobowe udostępnia się na podstawie pisemnego bądź elektronicznego wniosku z zastrzeżeniem odrębnych przepisów Każda czynność związana z udostępnieniem danych zostaje zaewidencjonowana w rejestrze. 2. Rejestr udostępnienia danych osobowych prowadzony jest w formie papierowej lub elektronicznej w każdej komórce organizacyjnej urzędu, w której są przetwarzane dane. Wzór rejestru zostanie określony w trybie zarządzenia o systemie zarządzania jakością urzędu. 3. Za prawidłowe prowadzenie rejestru udostępnienia danych odpowiedzialny jest IOD Dopuszczona jest forma udostępniania danych osobowych w trybie on-line za pomocą usług sieciowych lub wymiany plików, pod warunkiem zachowania standardów gwarantujących bezpieczeństwo przekazywanych danych, zgodnie z procedurą udostępniania danych. 2. Udostępnianie danych osobowych w trybie on-line możliwe jest dopiero po wcześniejszym uzgodnieniu i potwierdzeniu w formie pisemnej zasad udostępniania danych osobowych z uwzględnieniem takich przesłanek jak zapewnienie legalności, poufności i integralności udostępnianych danych, bez konieczności prowadzenia rejestru ręcznego, pod warunkiem możliwości ustalenia w każdym czasie, jakie dane zostały przekazane i kto tego dokonał. 8. Wszelkie udostępnianie innym instytucjom danych osobowych powinno odbywać się przy zachowaniu szczególnych środków ostrożności, które uniemożliwiają osobom nieupoważnionym wgląd do tych danych. 9. Zabronione jest udostępnianie danych osobowych osobom prawnym, jak i fizycznym, które nie są uprawnione do dostępu do nich na podstawie przepisów prawa Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem. 2. Po identyfikacji wszystkich podmiotów przetwarzających należy zweryfikować, w których przypadkach ma miejsce powierzenie przetwarzania danych osobowych do organizacji międzynarodowych oraz czy w związku z tym są one przetwarzane w państwie trzecim. W takim przypadku niezbędna jest weryfikacja czy Komisja Europejska wydała decyzję na temat danego państwa. Rozdział 3 Prowadzenie rejestru zbiorów danych osobowych Dane osobowe przetwarzane są w komórkach organizacyjnych urzędu w zbiorach danych osobowych określonych w niniejszej polityce bezpieczeństwa. 2. Zbiorczy rejestr zbiorów danych osobowych w urzędzie prowadzi IOD IOD otrzymuje od kierownika komórki organizacyjnej rejestry zbiorów danych przetwarzane w podległej mu komórce. 2. Rejestr zbiorów danych osobowych może być prowadzony w formie elektronicznej lub papierowej. 13. W przypadku konieczności utworzenia nowego zbioru danych osobowych, kierownik komórki organizacyjnej urzędu obowiązkowo przed rozpoczęciem przetwarzania danych osobowych w nowym zbiorze danych, zgłasza go wraz z uzasadnieniem do IOD, który podejmuje decyzję o jego utworzeniu lub o odmowie. 14.W przypadku utworzenia nowego zbioru IOD wpisuje go do prowadzonego rejestru zbiorów danych oraz dokonuje aktualizacji pozostałej dokumentacji Usunięcie zbioru/ów danych osobowych może nastąpić w przypadku, gdy nastąpiła zmiana zakresu, celu i warunków przetwarzania danych osobowych. 2. O potrzebie usunięcia zbioru danych osobowych osoba upoważniona do przetwarzania w nim danych informuje bezpośredniego przełożonego. 2

3 16.1. Decyzję o usunięciu zbioru danych podejmie kierownik komórki organizacyjnej urzędu w uzgodnieniu z IOD. 2. Usuwanie zbioru danych osobowych polega na trwałym i nieodwracalnym usunięciu informacji z nośnika. W przypadku, gdy nie jest to możliwe, nośnik podlega zniszczeniu. 3. Fakt usunięcia zbioru danych osobowych, jak również jego aktualizacji, IOD obowiązkowo odnotowuje w rejestrze zbiorów danych osobowych. Rozdział 4 Sposób zapoznania pracowników z przepisami dotyczącymi ochrony danych osobowych Każda osoba przy przyjęciu do pracy zapoznaje się z przepisami w zakresie ochrony danych osobowych obowiązującymi w urzędzie, w szczególności z RODO, przepisami krajowymi służącymi wykonaniu RODO, jak również zarządzeniami prezydenta. 2. Podpisane przez pracownika oświadczenie dołącza się do jego akt osobowych. Wzór oświadczenia zostanie określony w trybie zarządzenia o systemie zarządzania jakością urzędu. 3. Przepis ust. 2 stosuje się również do pracownika wykonującego pracę w warunkach telepracy Osobę zatrudnioną oraz ubiegającą się o zatrudnienie w urzędzie informuje się w formie pisemnej o przetwarzaniu jej danych w związku z zatrudnieniem lub zawarciem umowy cywilnoprawnej lub zawarciem innej umowy. Wzór informacji zostanie określony w trybie zarządzenia o systemie zarządzania jakością urzędu. 2. Informacja po podpisaniu przez pracownika umieszczana jest w jego aktach osobowych. Rozdział 5 Zasady nadawania, zmiany i odwoływania upoważnień do przetwarzania danych osobowych Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora. 2. Zakres upoważnienia do przetwarzania danych osobowych wynika z zajmowanego stanowiska lub pełnionej funkcji danego pracownika i zleconych do realizacji zadań Kierownik komórki organizacyjnej urzędu występuje z wnioskiem do administratora o nadanie, modyfikację lub odwołanie upoważnienia dla podległego pracownika. 2. Wniosek o nadanie, zmianę lub odwołanie upoważnienia do przetwarzania danych osobowych wykonywany jest w jednym egzemplarzu i przechowywany jest przez osobę wydającą upoważnienie. 3. Upoważnienie do przetwarzania danych osobowych wykonuje się w jednym egzemplarzu, który otrzymuje upoważniony pracownik. 4. Potwierdzenie nadania upoważnienia danemu pracownikowi dokumentuje się w prowadzonym rejestrze osób upoważnionych. 21.Upoważnienie do przetwarzania danych osobowych nadawane jest na czas określony, w szczególności na czas umowy o pracę, na czas powołania lub do jego odwołania. 22.Kierownik komórki organizacyjnej zobowiązany jest do przeglądu nie rzadziej niż raz na pół roku, ważności wydanych upoważnień do przetwarzania danych osobowych Osoby, które będą upoważnione do przetwarzania danych osobowych podlegają przeszkoleniu z zakresu ochrony danych osobowych przetwarzanych w wersji papierowej i w wersji elektronicznej z wykorzystaniem systemu informatycznego, w szczególności z przepisów wewnętrznych w tym zakresie obowiązujących w urzędzie. 2. Szkolenia z zakresu ochrony danych osobowych przeprowadza IOD. 24. Pracownikom komórki organizacyjnej urzędu ds. audytu, realizującym zadania związane z audytem wewnętrznym w urzędzie, upoważnienia nadaje administrator lub działający w jego imieniu IOD, na wniosek kierownika tej komórki. 25. W przypadku pracowników komórki organizacyjnej urzędu ds. audytu wykonujących czynności audytowe w innych komórkach organizacyjnych urzędu w czasie, w którym wykonywane są zadania związane z przetwarzaniem danych osobowych, niezbędne jest upoważnienia do przetwarzania danych osobowych na czas realizacji zadań audytowych wydane w trybie 24. 3

4 Rozdział 6 Powierzanie przetwarzania danych osobowych Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu w drodze umowy zawartej na piśmie. 2. Powierzenie przetwarzania danych osobowych nie wyłącza ani nie ogranicza odpowiedzialności administratora za przestrzeganie RODO. 3. Dopuszcza się korzystanie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. 4. W przypadku zgody, podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian Administrator jest zobowiązany informować podmiot, któremu powierzył przetwarzanie danych, o wszelkich zmianach dotyczących tych danych. 2. W przypadku powierzenia przetwarzania danych osobowych innemu podmiotowi w drodze umowy zawartej na piśmie lub innej formie przewidzianej prawem oraz wszelkich zmianach informuje się IOD. Rozdział 7 Kontrola i sprawozdawczość w zakresie przetwarzania danych osobowych IOD dokonuje kontroli zgodności przetwarzania danych osobowych w Urzędzie oraz opracowuje sprawozdania w tym zakresie. 2. Kontrola jest przeprowadzane w trybie: 1) planowym według planu kontroli; 2) kontroli doraźnej w sytuacji powzięcia przez IOD wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia; 3) w przypadku zwrócenia się o dokonanie kontroli przez organ nadzorczy. 29.Po zakończeniu kontroli IOD przygotowuje sprawozdanie, które jest sporządzane w postaci elektronicznej lub papierowej, a następnie przekazuje je do administratora. 30. IOD, na żądanie administratora, jest zobowiązany sporządzić informacje z zakresu ochrony danych osobowych, w szczególności o liczbie i charakterze incydentów związanych z przetwarzaniem danych osobowych. Rozdział 8 Zdarzenia naruszające ochronę danych osobowych W przypadku naruszenia ochrony danych osobowych, należy bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 2. O zgłoszeniu naruszenia organowi nadzorczemu decyduje administrator. 3. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia Komórki organizacyjne w Urzędzie po stwierdzeniu naruszenia ochrony danych osobowych niezwłocznie zgłaszają ten fakt do IOD. 2. Zgłoszenie, o którym mowa w ust. 1, musi zawierać co najmniej: 1) charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 2) imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać więcej informacji na temat naruszenia; 3) możliwe konsekwencje naruszenia ochrony danych osobowych; 4) środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki zminimalizowania jego ewentualnych negatywnych skutków. 33. IOD dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. 4

5 34.1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadamia się osobę, której dane dotyczą, o takim naruszeniu. 2. Zawiadomienie, o którym mowa w ust. 1,nie jest wymagane w następujących przypadkach: 1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające osobom nieuprawnionym dostęp do tych danych; 2) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa art. 9 ust.1 RODO; 3) wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, mogą zostać poinformowane w równie skuteczny sposób. 35. Określa się rodzaje zagrożeń: 1) zagrożenia losowe zewnętrzne _p. klęski żywiołowe, przerwy w zasilaniu, wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana; ich wystąpienie może prowadzić do utraty integralności danych i zniszczenia lub uszkodzenia infrastruktury technicznej systemu; 2) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji _p. opuszczenie stanowiska pracy, pozostawienie danych osobowych w drukarce lub na ksero, nie zamknięcie pomieszczenia, prace na danych osobowych w celach prywatnych, itp.; 3) nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na wydrukach komputerowych, _p. otwarte szafy, biurka, regały, urządzenia archiwizujące. Rozdział 9 Postanowienia końcowe 36. Zasady ochrony danych w ramach zabezpieczenia miejsc pracy reguluje odrębne zarządzenie. 37. Tracą moc zarządzenia: 1) nr 467/05 Prezydenta Miasta Zielona Góra z dnia 15 czerwca 2005 r. w sprawie Instrukcji użytkowania i zarządzania systemem informatycznym; 2) nr K Prezydenta Miasta Zielona Góra z dnia 8 marca 2017 r. w sprawie powołania zastępcy Administratora Bezpieczeństwa Informacji. 38. W zarządzeniu nr K Prezydenta Miasta Zielona Góra kierownika urzędu z dnia 22 maja 2013 r. w sprawie powierzenia prowadzenia spraw oraz udzielenia upoważnień i pełnomocnictw Panu Dariuszowi Lesickiemu II Zastępcy Prezydenta Miasta z późn. zm. 4) 7 otrzymuje brzmienie: 7. Wyznacza się II zastępcę prezydenta jako przedstawiciela prezydenta miasta do reprezentowania prezydenta oraz realizacji zadań administratora określonych w europejskich i krajowych przepisach o ochronie danych osobowych Upoważnienia i oświadczenia wydane na podstawie zarządzenia uchylanego w 37 pkt 1 niniejszego zarządzenia zachowują moc. Ich zmiana lub odwołanie następuje w trybie rozdz. 5 niniejszego zarządzenia. 40. Zobowiązuje się wszystkich pracowników urzędu do: 1) zapoznania z treścią zarządzenia; 2) do przestrzegania postanowień zawartych w zarządzeniu. 41. Wykonanie zarządzenia powierza się II zastępcy prezydenta, inspektorowi ochrony danych, Administratorowi Bezpieczeństwa Informacji, kierownikom komórek organizacyjnych urzędu oraz wszystkim pracownikom urzędu. 42. Zarządzenie wchodzi w życie od dnia 25 maja 2018 r. i podlega publikacji w Biuletynie Informacji Publicznej. PREZYDENT MIASTA (-) mgr inż. Janusz Kubicki 4) Tekst wymienionego zarządzenia został zmieniony zarządzeniem nr K z dnia 25 lipca 2013 r. oraz nr K z dnia 5 września 2017 r. 5