POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Urzędzie Miasta Kętrzyn. Rozdział 1 Postanowienia ogólne. 1. Podstawa prawna

Transkrypt

1 Załącznik Nr 1 do Zarządzenia Nr 270/12 Burmistrza Miasta Kętrzyn z dnia 17 grudnia 2012 r. POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Urzędzie Miasta Kętrzyn Rozdział 1 Postanowienia ogólne 1. Podstawa prawna Podstawę prawną dla polityki bezpieczeństwa danych osobowych w Urzędzie Miasta Kętrzyn, zwaną dalej jako Polityka, stanowią: 1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity:dz. U.2002 r. Nr 101 poz. 926, ze zm.), 2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz.U. Nr. 100, poz. 1024). 2. Definicje Definicje stosowanych pojęć: 1) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub moŝliwej do zidentyfikowania osoby, 2) osoba moŝliwa do zidentyfikowania - kaŝda osoba, której toŝsamość moŝna określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, 3) zbiór danych kaŝdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezaleŝnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 4) komputerowy zbiór danych- zbiór danych osobowych w formie elektronicznej, 5) tradycyjny zbiór danych- zbiór danych osobowych w formie papierowej (np. księgi, wykazy, ewidencje), 6) przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 7) Urząd Urząd Miasta Kętrzyn z siedzibą: -400 Kętrzyn, ul.wojska Polskiego, 8) Administrator Danych Osobowych Burmistrz Miasta Kętrzyn reprezentujący Urząd, który decyduje o celach i środkach przetwarzania danych osobowych oraz monitoruje wdroŝone zabezpieczenia systemu informatycznego, 9) Administrator Bezpieczeństwa Informacji osoba nadzorująca przestrzeganie zasad przetwarzania i ochrony danych osobowych, 10) Administrator Systemu Informatycznego - osoba odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych w Urzędzie, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz podnajmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach, ) osoba upowaŝniona osoba posiadająca upowaŝnienie do przetwarzania danych osobowych w określonym zakresie wydane przez Administratora Danych Osobowych, 12) osoba uprawniona osoba upowaŝniana lub inna osoba uprawniona do przetwarzania danych osobowych na podstawie szczególnych przepisów prawa (lex specialis), 13) osoba trzecia- kaŝda osoba nieupowaŝniona do przetwarzania danych osobowych będących w posiadaniu Administratora Danych Osobowych, a takŝe osoba posiadająca upowaŝnienie wydane przez Administratora Danych Osobowych, ale podejmująca czynności w zakresie, przekraczającym zakres jej upowaŝnienia, 14) uŝytkownik- osoba upowaŝniona do przetwarzania danych osobowych w określonych zakresie w systemie informatycznym, 15) stacja robocza- stacjonarny lub przenośny komputer, umoŝliwiający uŝytkownikowi dostęp do danych przetwarzanych w formie elektronicznej, 2

2 16) zewnętrzne nośniki danych przedmiot fizyczny słuŝący do zapisywania, przechowywania, przetwarzania i transmisji danych ( np. pendrive, CD, DVD), 17) system informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 18) zakres czynności zakres czynności, upowaŝnień, odpowiedzialności i zastępstwa wynikającego ze stanowiska słuŝbowego i pełnionego stanowiska, 19) zabezpieczenie systemu informatycznego- wdroŝone przez Administratora Bezpieczeństwa Informacji oraz Informatyka odpowiednie środki organizacyjne i techniczne w celu zabezpieczenia zasobów oraz ochrony danych przed dostępem, modyfikacją ujawnieniem, pozyskiwaniem lub zniszczeniem przez uŝytkownika lub osoba trzecią. Zapewnienie bezpieczeństwa systemów informatycznych oznacza utrzymanie takich atrybutów informacji jak : a) poufność- rozumie się przez to ograniczony i ściśle zdefiniowany krąg osób mających dostęp do informacji, b) integralność- rozumie się przez to właściwość zapewniającą, Ŝe dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, c) rozliczalność- rozumie się przez to, Ŝe działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, d) uwierzytelnienie- rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej toŝsamości podmiotu za pomocą: - identyfikatora uŝytkownika przypisanego jednej osobie identyfikatora jednoznacznie określającego uŝytkownika w systemie informatycznym, - hasła w ciągu znaków (stanowiącego tajemnicę uŝytkownika), który w połączeniu z identyfikatorem uŝytkownika umoŝliwia uwierzytelnienie go w systemie informatycznym. 20) pomieszczenia rozumie się przez to budynek, pomieszczenie lub części pomieszczeń określone przez Administratora danych, tworzące obszar, w którym przetwarzane są dane osobowe z uŝyciem stacjonarnego sprzętu komputerowego oraz gromadzone w kartotekach. Rozdział 2 Cel i zakres polityki bezpieczeństwa danych osobowych 3. Cel polityki bezpieczeństwa 1. Celem niniejszej Polityki jest określenie kierunków działań oraz wsparcia dla zapewnienia wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miasta Kętrzyn. 2. Przez bezpieczeństwo danych osobowych rozumie się zapewnienie ich poufności, integralności i dostępności oraz zapewnienie rozliczalności działań podejmowanych zgodnie z niniejszą Polityką. 3. Urząd zarządza bezpieczeństwem danych osobowych w celu: 1) zapewnienia sprawnego i zgodnego z przepisami prawa wykonywania swoich zadań oraz zadań realizowanych na podstawie umów lub porozumień, 2) minimalizacji ryzyk w obszarze przetwarzania i ochrony danych osobowych. 4. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia róŝnych zabezpieczeń w sposób umoŝliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenie fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez uŝytkowników. 4. Zakres polityki bezpieczeństwa 1. Zakres przedmiotowy niniejszej Polityki obejmuje dane osobowe przetwarzane w Urzędzie, zarówno w formie elektronicznej, jak i tradycyjnej. 2. Procedury i zasady określone w niniejszej Polityce stosuje się do wszystkich pracowników Urzędu, jak i innych osób mających dostęp do danych osobowych przetwarzanych w Urzędzie (np. osób realizujących zadania na podstawie umów zlecenia lub o dzieło, wolontariuszy, staŝystów, praktykantów, serwisantów). Rozdział 3 Organizacja przetwarzania danych osobowych 3

3 5. Administrator Danych Osobowych 1. Administrator Danych Osobowych zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupowaŝnionym, pozyskaniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator Danych Osobowych przetwarza dane osobowe zgodnie z prawem oraz realizuje zadania w zakresie ochrony danych osobowych w tym zwłaszcza: 1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem zmian w obowiązującym prawie, organizacji Urzędu oraz technik zabezpieczenia danych osobowych, w szczególności o: a) zbieraniu danych osobowych wyłącznie dla oznaczonych, przewidzianych prawem celów, b) przetwarzaniu danych osobowych w postaci umoŝliwiającej identyfikację osób, których dotyczą, c) informowaniu osoby, której dane zostały umieszczone w zbiorze danych, o przysługujących jej prawach, zgodnie z 12 niniejszej Polityki, d) przetwarzaniu danych osobowych nie dłuŝej niŝ jest to niezbędne do osiągnięcia celu przetwarzania, e) zapewnieniu kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane, f) udostępnianiu danych osobowych innym podmiotom wyłącznie w sposób zgody z prawem. 2) nadaje upowaŝnienia do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi czynności, oraz prowadzi ich ewidencję, 3) zgłasza zbiory danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem zbiorów ustawowo zwolnionych, 4) wyznacza Administratora Bezpieczeństwa Informacji oraz określa jego zakres czynności, 5) zaleca Administratorowi Bezpieczeństwa Informacji, by we współpracy z Naczelnikiem Wydziału Spraw Organizacyjnych zapewnił uŝytkownikom odpowiednie stanowiska pracy umoŝliwiające bezpieczne przetwarzanie danych, 6) w razie stwierdzenia lub podejrzenia naruszenia zasad przetwarzania i ochrony danych osobowych, a w szczególności zabezpieczeń systemu informatycznego, na wniosek Administratora Bezpieczeństwa Informacji podejmuje odpowiednie działania w celu usunięcia zagroŝenia lub minimalizacji jego skutków, 7) udostępnia dane osobowe ze zbioru na Ŝądanie uprawnionych podmiotów w przypadkach wskazanych prawem. 6. Administrator Bezpieczeństwa Informacji 1. Administrator Bezpieczeństwa Informacji sprawuje nadzór nad przestrzeganiem zasad przetwarzania i ochrony danych osobowych w imieniu i na rzecz Administratora Danych Osobowych. 2. W szczególności Administrator Bezpieczeństwa Informacji jest odpowiedzialny za: 1) prowadzenie oraz aktualizację dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, tj: a) Polityki bezpieczeństwa danych osobowych, zawierającej m.in.: wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Załącznik nr 1, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania Załącznik nr 2, opis struktury przetwarzanych zbiorów danych osobowych Załącznik 3, b) Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, 2) nadzorowanie przestrzegania zasad określonych w Polityce bezpieczeństwa danych osobowych i Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, 3) szkolenie osób dopuszczonych do przetwarzania danych osobowych lub przebywania w obszarze przetwarzania danych osobowych z zakresu zasad przetwarzania i ochrony tych danych oraz zasad bezpieczeństwa informatycznego w oparciu o przygotowanie 4

4 przez siebie materiały szkoleniowe oraz prowadzenie adekwatnej dokumentacji w tym zakresie (np. potwierdzenie przeszkolenia), 4) nadzorowanie prawidłowości udostępniania danych osobowych odbiorcom danych, 5) nadzorowanie zamieszczania w umowach z uŝytkownikami upowaŝnionymi do przetwarzania danych osobowych, firmami, którym powierzono przetwarzanie danych osobowych lub konserwację urządzeń słuŝących do przetwarzania danych oraz pracownikami tych firm, a takŝe w innych dokumentach odpowiednich zapisów dotyczących ochrony danych osobowych, 6) nadzorowanie wdroŝenia adekwatnych do zagroŝeń środków fizycznych, a takŝe organizacyjnych i technicznych słuŝących zapewnieniu bezpieczeństwa, 7) nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe w zakresie związanych z bezpieczeństwem tych danych osobowych, 8) koordynowanie kontroli wewnętrznych z zakresu przestrzegania przepisów o ochronie danych osobowych, w tym prowadzenie szczegółowej dokumentacji z kontroli dot.: a) zakresu przestrzegania przepisów o ochronie danych osobowych, b) stwierdzonych naruszeń bezpieczeństwa danych osobowych, obejmującej m.in. analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych (jeśli takie wystąpiło). 9) podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu informatycznego oraz prowadzenie adekwatnej dokumentacji w tym zakresie (np. opis incydentu, osoby biorące udział, dokumentacja dot. reakcji na incydent). 7. Administrator Systemu Informatycznego Administrator Systemu Informatycznego realizuje zadania w zakresie zarządzania i bieŝącego nadzoru nad systemem informatycznym Administratora Danych Osobowych, w szczególności: 1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z poziomu administratora, 2) zarządza systemem komunikacji w sieci komputerowej oraz przesyłania danych za pośrednictwem urządzeń teletransmisji, 3) nadzoruje funkcjonowanie mechanizmów uwierzytelniania uŝytkowników w systemie informatycznym słuŝącym do przetwarzania danych osobowych oraz kontroli dostępu do danych osobowych, 4) wykonuje kopie bezpieczeństwa komputerowych zbiorów danych zgodnie z zasadami określonymi w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, oraz okresowo sprawdza je pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego, 5) przydziela kaŝdemu uŝytkownikowi indywidualny identyfikator oraz hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a takŝe w porozumieniu z Naczelnikiem Wydziału Organizacyjnego usuwa konta uŝytkowników zgodnie z zasadami określonymi w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, 6) zmienia okresowo hasła dostępu uŝytkowników do systemu informatycznego w przypadkach, gdy system informatyczny nie wymusza okresowej zmiany haseł uŝytkowników określonej w Instytucji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, 7) osobiście wykonuje lub sprawuje nadzór nad wykonywaniem: napraw, konserwacji oraz likwidacji urządzeń komputerowych, które mogą zawierać dane osobowe. 8. Naczelnik Wydziału Organizacyjnego i Spraw Obywatelskich Naczelnik Wydziału Organizacyjnego i Spraw Obywatelskich realizuje następujące zadania w zakresie ochrony danych osobowych: 1) występuje z wnioskiem do Administratora Danych Osobowych o nadanie, modyfikację lub odwołanie upowaŝnienia do przetwarzania danych osobowych, 2) prowadzi ewidencję upowaŝnień do przetwarzania danych osobowych, 3) przechowuje upowaŝnienia do przetwarzania danych osobowych w aktach osobowych, 4) informuje Administratora Bezpieczeństwa Informacji o nadaniu, modyfikacji lub odwołaniu przez Administratora Danych Osobowych upowaŝnienia do przetwarzania danych osobowych. 5) nadzoruje wykonywanie kopii bezpieczeństwa komputerowych zbiorów danych, ich przechowywanie oraz okresowe sprawdzanie pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu, 5

5 6) nadzoruje przeprowadzanie przeglądów, konserwacji oraz uaktualniania systemów słuŝących do przetwarzania danych osobowych oraz wszystkich innych czynności wykonywanych przez informatyków na komputerowych zbiorach danych. 9. Naczelnicy wydziałów - samodzielne stanowiska Naczelnicy wydziałów samodzielne stanowiska są odpowiedzialni za: 1) nadzorowanie przestrzegania zasad przetwarzania i ochrony danych osobowych przyjętych w Urzędzie przez podległy personel, w szczególności: a) przetwarzania danych osobowych w celu i zakresie określonym w imiennym upowaŝnieniu do przetwarzania danych osobowych, b) stosowania przydzielonych im indywidualnych identyfikatorów dostępu do systemu informatycznego przez podległych pracowników, c) przeciwdziałania dostępowi osób nieuprawnionych do danych osobowych i systemu informatycznego, w którym są przetwarzane, d) prawidłowego zabezpieczania danych osobowych oraz miejsc ich przechowywania w trakcie i po zakończeniu pracy. 2) niedopuszczenie do uŝywania zewnętrznych nośników danych do celów innych niŝ niezbędne do realizacji zadań wydziału lub tworzenia kopii bezpieczeństwa, z wyjątkiem sytuacji gdy jest to niezbędne ze względu na specyfikę zadania, 3) współdziałanie z Administratorem Bezpieczeństwa Informacji w zakresie przestrzegania zasad przetwarzania i ochrony danych osobowych w Urzędzie oraz identyfikacji i analizy ryzyk z tym związanych, 4) niezwłoczne informowanie Administratora Bezpieczeństwa Informacji, o kaŝdym stwierdzeniu lub podejrzeniu naruszenia bezpieczeństwa danych osobowych lub systemu informatycznego, w którym są przetwarzane oraz współdziałanie przy usuwaniu skutków takiego naruszenia, 5) w przypadku utworzenia nowego zbioru danych osobowych, wynikającego z obowiązków nałoŝonych przepisami Ustawy lub nowymi zadaniami, kierownik komórki organizacyjnej lub pracownik na samodzielnym stanowisku pracy jest zobowiązany do przedłoŝenia Administratorowi Bezpieczeństwa Informacji projektu wniosku o zgłoszeniu zbioru danych Generalnemu Inspektorowi Danych Osobowych. 6) W przypadku wprowadzenia zmian w istniejących zbiorach danych osobowych, osoby o których mowa w punkcie 5 niniejszego paragrafu zobowiązane są przygotować projekt wniosku o zgłoszeniu zmian w zbiorze danych, nie później niŝ w ciągu 10 dni od daty dokonania modyfikacji w zbiorze danych. 7) Wnioski o utworzenie nowego zbioru danych osobowych oraz wniosek o zgłoszeniu zmian w zbiorach juŝ istniejących przesyła się Generalnemu Inspektorowi Danych Osobowych w formie elektronicznej i papierowej w terminie do 30 dni od dnia dokonania zmiany w zbiorze danych. 10. Polityka bezpieczeństwa realizowana przy przetwarzaniu danych osobowych w StraŜy Miejskiej w ramach Centralnej Ewidencji Pojazdów i Kierowców 1. Ochrona fizyczna sprzętu i pomieszczeń: a) w którym zlokalizowany jest sprzęt roboczy przeznaczony do współpracy wyposaŝony m.in. w czytniki mikroprocesorowych kart kryptograficznych i drukarki oraz gdzie przetwarzane i przechowywane są dane pobrane z bazy danych. b) sprzęt zabezpieczony jest poprzez automatyczne i manualne systemy kontroli dostępu (alarm. nadzór dyŝurnego monitoringu 24 godz./h). Jedynie pracownicy upowaŝnieni do przetwarzania danych mogą przebywać w tym pomieszczeniu. Inne osoby mogą przebywać w obecności osób upowaŝnionych, za ich wiedzą i zgodą, c) pomieszczenie jest w miejscu uniemoŝliwiającym jego zatopienie lub zalanie, d) drzwi wyposaŝone są w dwa zamki, zgodnie z wymaganiami zawartymi w Polskiej Normie PN-90/B-92270, e) pomieszczenie posiadające okna zabudowane kratą, f) karty kryptograficzne słuŝące do nawiązywania szyfrowanego połączenia TLS, dokumenty i nośniki informacji zawierające dane osobowe przechowywane będą w metalowej szafie w pomieszczeniu wyznaczonym do przetwarzania danych osobowych, g) uŝycie mikroprocesorowych kart kryptograficznych za kaŝdym razem będzie odnotowywane w ksiąŝce ewidencji uŝycia kart kryptograficznych. 2. Ochrona danych: a) do ochrony danych oraz do ochrony dostępu do jednostki komunikującej się poprzez sieć Internet z systemem wykorzystywane jest Firewall. b) dane przesłane przez sieć internetową z SI-CEPIK zostaną przygotowane w formie wydruku komputerowego, 6

6 c) archiwum danych będzie przechowywane na dysku twardym jednostki, wykorzystywanej do komunikowania się z SI-CEPIK, oraz dodatkowo na nośnikach magnetycznych, d) nośniki magnetyczne ze zarchiwizowanymi danymi będą przechowywane w metalowej szafie w pomieszczeniu wyznaczonym do przetwarzania danych osobowych. 3. Do obsługi systemu CEPiK zostaną wyznaczone osoby spośród pracowników StraŜy Miejskiej oraz Wydziału Finansowego wraz ze wskazaniem administratora systemu, który będzie upowaŝniony do kontaktu z departamentem CEPiK oraz będzie odpowiedzialny za nadawanie oraz cofanie uprawnień do korzystania z systemu, przydzielanie upowaŝnionym pracownikom karty kryptograficznych wraz z kodami PIN.. Osoby przetwarzające dane osobowe 1. KaŜda osoba przetwarzająca dane osobowe posiada odpowiednie upowaŝnienie do przetwarzania danych osobowych zawierające: imię i nazwisko, datę nadania i okres jego obowiązywania, zakres danych, które osoba moŝe przetwarzać (zbiory danych) oraz identyfikator w przypadku gdy dane osobowe są przetwarzane w systemie informatycznym, (wzór upowaŝnienia stanowi Załącznik nr 4 do niniejszej Polityki), 2. KaŜda osoba upowaŝniona do przetwarzania danych osobowych jest zobowiązana do: 1) przetwarzania danych osobowych wyłącznie w zakresie ustalonym indywidualnie przez Administratora Danych Osobowych w upowaŝnieniu i tylko w celu wykonywania nałoŝonych na nią obowiązków, 2) poznania i bezwzględnego przestrzegania obowiązujących u Administratora Danych Osobowych zasad przetwarzania i ochrony danych osobowych oraz bezpieczeństwa systemu informatycznego, 3) zachowania w tajemnicy danych, które przetwarza oraz sposobów ich zabezpieczenia przez cały okres zatrudnienia u Administratora Danych Osobowych, a takŝe po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji, 4) korzystania z systemu informatycznego Administratora Danych Osobowych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników oraz zasadami przyjętymi w Urzędzie, 5) zabezpieczenia danych osobowych oraz informacji o zabezpieczeniach systemu informatycznego przed ich udostępnieniem osobom nieuprawnionym, nieuprawnioną modyfikacją, utratą lub zniszczeniem. 12. Osoby, których dane dotyczą 1. KaŜdej osobie, której dotyczą dane osobowe przetwarzane u Administratora Danych Osobowych, przysługuje prawo do: 1) dostępu do treści przetwarzanych danych osobowych tej osoby, 2) poprawiania treści przetwarzanych danych osobowych tej osoby (bez zbędnej zwłoki), tj. do uzupełnienia, uaktualnienia, sprostowania danych osobowych, a takŝe Ŝądania czasowego lub trwałego wstrzymania ich przetwarzania bądź usunięcia ze zbioru, jeŝeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są juŝ zbędne dla realizacji celu, dla którego zostały zebrane, 3) kontroli przetwarzanych danych osobowych tej osoby, w szczególności uzyskania informacji o: a) istnieniu zbioru danych osobowych i jego administratorze (wraz z siedzibą), b) celu, zakresie i sposobie przetwarzania danych osobowych, c) terminie rozpoczęcia przetwarzania danych osobowych w zbiorze, d) treści jej danych osobowych (przedstawionej w powszechnie zrozumiałej formie), e) źródle, z jakiego pochodzą te dane (chyba Ŝe Administrator Danych Osobowych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, słuŝbowej lub zawodowej), f) sposobie udostępniania jej danych osobowych (w szczególności o odbiorcach lub kategoriach odbiorców, którym dane są udostępniane), g) przesłankach podjęcia rozstrzygnięcia indywidualnej sprawy uwzględniającej wniosek osoby, której dane dotyczą, podjętego podczas zawierania lub wykonywania umowy wyłącznie na podstawie operacji na danych osobowych prowadzonych w systemie informatycznym, h) obowiązku dostępu do treści swoich danych, a takŝe jeśli taki obowiązek istnieje - o jego podstawie prawnej, 7

7 i) prawie dostępu do treści swoich danych oraz prawie ich poprawiania, o których mowa w pkt. 1 i 2, j) prawie wniesienia sprzeciwu wobec ich wykorzystania w celach marketingowych lub przekazania innemu administratorowi danych (z uwzględnieniem wyjątków ustawowych), k) prawie udzielenia informacji o przysługujących prawach osobie, której one dotyczą, na jej wniosek w terminie 30 dni. 2. W przypadku zbierania danych osobowych bezpośrednio od osoby, której one dotyczą na jej Ŝądanie udziela się informacji wskazanych w ust. 1 pkt. 3 lit. a-f, ale nie częściej niŝ raz na 6 miesięcy. 3. Informacja, o której mowa w ust. 1 pkt. 3, powinna być udzielana w zrozumiałej formie oraz na piśmie, jeśli osoba o to wnioskuje. 4. W przypadku, gdy w nieduŝym odstępie czasowym dochodzi do ponownego lub kolejnego zbierania danych tej samej osoby do tych samych celów, moŝna powołać się na fakt wcześniejszego udzielenia informacji, o których mowa w ust. 1 pkt Obowiązek informacyjny nie występuje w przypadku gdy: 1) ze względu na okoliczności przekazania danych osobowych do przetwarzania w zbiorze zachodzi pewność (tj. obiektywna świadomość), Ŝe osoba, której dane dotyczą, posiada wszystkie informacje, o których mowa w ust. 1 pkt 3, 2) dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, a udzielenie informacji pociągałoby za sobą nakłady niewspółmiernie z zamierzonym celem, 3) przekazanie informacji spowodowałoby: a) ujawnienie wiadomości zawierających informacje niejawne, b) zagroŝenie dla obronności lub bezpieczeństwa państwa, Ŝycia lub zdrowia ludzi lub bezpieczeństwa publicznego, c) zagroŝenie dla podstawowego interesu gospodarczego lub finansowego państwa, d) istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób. Rozdział 4 OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH, NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH 13. Zachowanie poufności 1. W przypadku naboru na wolne stanowiska naleŝy zwracać uwagę między innymi na takie cechy kandydata, jak uczciwość, odpowiedzialność, przewidywalność zachowań. 2. Ryzyko utraty bezpieczeństwa danych przetwarzanych przez Administratora Danych Osobowych, pojawiające się ze strony osób trzecich, które mają dostęp do danych osobowych (np. serwisanci, usługodawcy), jest minimalizowane przez wprowadzane do podpisanych umów zapisów o powierzeniu przetwarzania danych osobowych. 3. Ryzyko ze strony osób, które potencjalnie mogą w łatwiejszy sposób uzyskać dostęp do danych osobowych jest minimalizowanie przez zobowiązywanie ich do zachowania tajemnicy na podstawie odrębnych zakresów czynności w formie pisemnych oświadczeń wg wzoru stanowiącego Załącznik nr 5 do niniejszej Polityki. 14. Środki techniczne Opis środków technicznych znajduje się w Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych. 15. Szkolenia w zakresie ochrony danych osobowych 1. Administrator Bezpieczeństwa Informacji jest odpowiedzialny za szkolenie: 1) kaŝdej osoby, która ma zostać dopuszczona do przetwarzania danych osobowych, 2) wszystkich osób upowaŝnionych do przetwarzania danych osobowych w przypadku: a) zmiany zasad przetwarzania i ochrony danych osobowych, b) stwierdzenia istotnych lub powtarzalnych naruszeń zasad przetwarzania i ochrony danych osobowych lub naruszenia bezpieczeństwa systemu informatycznego, 3) osób dopuszczonych do przebywania w obszarze przetwarzania danych osobowych, 4) osób innych niŝ upowaŝnione do przetwarzania danych osobowych, jeśli pełnione przez nie funkcje wiąŝą się z przetwarzaniem i ochroną danych osobowych. 2. Tematyka szkoleń jest dostosowana do stanowiska i funkcji danej osoby i obejmuje: 8

8 1) zasady przetwarzania i ochrony danych osobowych, sporządzania i przechowywania kopii, niszczenia wydruków i/lub zapisów na zewnętrznych nośnikach danych, 2) sposoby ochrony danych osobowych przed osobami nieuprawnionymi i procedury udostępniania danych osobom, których one dotyczą, 3) obowiązki osób upowaŝnionych do przetwarzania danych osobowych, 4) odpowiedzialność za naruszenie zasad przetwarzania i ochrony danych osobowych, 5) zasady powiadomienia i reakcji na stwierdzenie lub podejrzenie naruszenia zasad przetwarzania i ochrony danych osobowych, 6) zasady i procedury określone w Polityce bezpieczeństwa danych osobowych i Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych. 16. Odpowiedzialność osób upowaŝnionych do przetwarzania danych osobowych 1. Niezastosowanie się do obowiązujących u Administratora Danych Osobowych zasad bezpieczeństwa danych osobowych, w szczególności świadome naruszenie procedur ochrony danych przez pracowników upowaŝnionych do przetwarzania danych osobowych, moŝe być potraktowane jako cięŝkie naruszenie podstawowych obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 Kodeksu pracy. 2. NiezaleŜnie od rozwiązania stosunku pracy osoby popełniające przestępstwo będą pociągane do odpowiedzialności karnej zwłaszcza na podstawie art ustawy oraz art. 266 Kodeksu karnego. Przykładowo przestępstwo moŝna popełnić wskutek: 1) stworzenia moŝliwości dostępu do danych osobowych osobom nieupowaŝnionym albo osobie nieupowaŝnionej, 2) niezabezpieczenia nośnika lub komputera przenośnego, 3) zapoznania się z hasłem innego pracownika wskutek wykonania nieuprawnionych operacji w systemie informatycznym Administratora Danych Osobowych. 17. Przeglądy i aktualizacje Polityki bezpieczeństwa danych osobowych 1. Niniejsza Polityka podlega przeglądowi pod kątem aktualności i stosowalności nie rzadziej niŝ raz do roku. Przeglądu dokonuje Administrator Bezpieczeństwa Informacji. 2. Niniejsza Polityka podlega aktualizacji kaŝdorazowo w przypadku: 1) likwidacji, utworzenia lub zmiany zawartości informacyjnej zbioru, 2) zmiany lokalizacji zbioru, 3) zmiany opiekuna zbioru lub administratora informacji, 4) zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji niniejszej Polityki, 5) innych znaczących zmian w funkcjonowaniu Urzędu dotyczących danych osobowych. 3. Aktualizacji niniejszej Polityki dokonuje Administrator Bezpieczeństwa Informacji. Zatwierdzenia zaktualizowanej Polityki dokonuje Administrator Danych Osobowych. 4. Administrator Bezpieczeństwa Informacji po uzgodnieniu z Administrator Danych Osobowych moŝe, stosownie do potrzeb, przeprowadzić wewnętrzną kontrolę zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Zakres, przebieg i rezultaty kontroli są dokumentowane na piśmie w protokole podpisywanym przez Administratora Bezpieczeństwa Informacji i Administratora Danych Osobowych. Rozdział 5 POSTANOWIENIA KOŃCOWE Niniejsza Polityka zostaje wprowadzona zarządzeniem Burmistrza Miasta Kętrzyn. 2. KaŜda osoba upowaŝniona do przetwarzania danych osobowych zobowiązana jest zapoznać się z niniejszym dokumentem przed dopuszczeniem do przetwarzania danych oraz złoŝyć stosowne oświadczenie, potwierdzające znajomość jego treści. 9

9 Załącznik Nr 1 do Polityki bezpieczeństwa danych osobowych w Urzędzie Miasta Kętrzyn WYKAZ BUDYNKÓW I POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE w Urzędzie Miasta Kętrzyn Dane osobowe przetwarzane są w dwóch budynkach Urzędu Miasta w Kętrzynie: 1) Urząd Miasta Kętrzyn Urząd Stanu Cywilnego Ewidencja Ludności i Dowody Osobiste, Pl.Marsz.Józefa Piłsudskiego 1, -400 Kętrzyn 2) Urząd Miasta Kętrzyn, ul.wojska Polskiego, -400 Kętrzyn Lp. Nazwa Wydziału Opis przetwarzanych danych osobowych 1 Wydział Organizacyjny Spraw Obywatelskich 2 Wydział Infrastruktury Komunalnej Dane osobowe przetwarzane: - w związku z ewidencją ludności i dowodów osobistych, - w związku z prowadzeniem rejestru skarg i wniosków Dane osobowe przetwarzane w związku z najmem lokali komunalnych 3 Wydział Finansowy 4 Wydział Planowania Przestrzennego i Gospodarki Nieruchomościami Dane osobowe przetwarzane: - w związku z wymiarem i księgowością podatków: rolnego, od nieruchomości, od psów, od środków transportowych. Dane osobowe przetwarzane w związku z: - ewidencją gruntów i budynków, - wydawaniem decyzji o warunkach zabudowy i zagospodarowania terenu, - numeracją porządkową nieruchomości, - sporządzaniem lub zmianą planu, - prowadzeniem rejestru właścicieli, uŝytkowników wieczystych i dzierŝawców nieruchomości. 5 Urząd Stanu Cywilnego Dane osobowe przetwarzane w związku z aktami stanu cywilnego. 10

10 Załącznik Nr 2 do Polityki bezpieczeństwa danych osobowych w Urzędzie Miasta Kętrzyn WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO ICH PRZTWARZANIA w Urzędzie Miasta Kętrzyn Lp. Zbiór danych Programy zastosowane do przetwarzania / forma rejestru 1 Zbiór kart osobowych System PUMA (ZETO mieszkańca Olsztyn) 2 Ewidencja spraw lokalowych Ewidencja podatków System PUMA (ZETO 3 od środków transportu Olsztyn) 4 Ewidencja podatków System PUMA (ZETO od psów Olsztyn) 5 Ewidencja podatku rolnego i od nieruchomości Lokalizacja zbioru UM Plac M.J.Piłdsuskiego Rejestr papierowy UM ul.w.polskiego UM ul.w.polskiego UM ul.w.polskiego System PUMA (ZETO UM Olsztyn) ul.w.polskiego Miejsce przetwarzania danych UM Plac M.J.Piłdsuskiego 6 Ewidencja gruntów i budynków Rejestr wniosków o wydanie decyzji o warunkach zabudowy i 7 zagospodarowania terenu System PUMA (ZETO Olsztyn) Rejestr papierowy UM ul.w.polskiego UM ul.w.polskiego 8 Numeracja porządkowa nieruchomości Rejestr papierowy UM ul.w.polskiego 9 Rejestr wniosków w sprawie sporządzenia lub zmiany planu Rejestr papierowy UM ul.w.polskiego 10 Urząd Stanu Cywilnego w Kętrzynie Rejestr właścicieli, uŝytkowników wieczystych i dzierŝawców nieruchomości 12 Rejestr skarg i wniosków BP-USC (Technika IT UM Plac S.A. Gliwice M.J.Piłdsuskiego Rejestr papierowy UM ul.w.polskiego Rejestr papierowy UM ul.w.polskiego UM Plac M.J.Piłdsuskiego

11 Załącznik Nr 3 do Polityki bezpieczeństwa danych osobowych w Urzędzie Miasta Kętrzyn OPIS STRUKTURY PRZETWARZANYCH ZBIORÓW DANYCH OSOBOWYCH W Urzędzie Miasta Kętrzyn Lp. Zbiór danych Struktura zbioru 1 Zbiór kart osobowych mieszkańca - imiona rodziców - nazwisko rodowe - nazwisko rodowe matki - data urodzenia - numer ewidencji PESEL - obywatelstwo - płeć - nazwisko: z poprzedniego małŝeństwa - nazwisko rodowe oraz numer ewidencyjny PESEL ojca, matki - miejsce urodzenia - stan cywilny - numer aktu: urodzenia, małŝeństwa, zgonu oraz urząd stanu cywilnego, który go sporządził - imię i nazwisko oraz numer ewidencyjny PESEL współmałŝonka - data zawarcia małŝeństwa - adnotacje o rozwodzie - numer ksiąŝeczki wojskowej - stopień wojskowy - data zgonu - rysopis 2 Ewidencja spraw lokalowych 3 Ewidencja podatków od środków transportu - numer ewidencji PESEL 4 Ewidencja podatków od psów 5 Ewidencja podatku rolnego i od nieruchomości - numer ewidencji PESEL - numer ewidencji PESEL 6 Ewidencja gruntów i budynków 7 Rejestr wniosków o wydanie decyzji o warunkach zabudowy i zagospodarowania terenu 12

12 8 Numeracja porządkowa nieruchomości - imiona rodziców 9 Rejestr wniosków w sprawie sporządzenia lub zmiany planu 10 Urząd Stanu Cywilnego w Kętrzynie Rejestr właścicieli, uŝytkowników wieczystych i dzierŝawców nieruchomości 12 Rejestr skarg i wniosków - imiona rodziców - data urodzenia - numer ewidencji PESEL - zawód, - wykształcenie - seria i numer dowodu osobistego - nazwisko panieńskie z poprzedniego małŝeństwa, rodowe - miejsce i godzina urodzenia, - data i numer aktu: urodzenia, małŝeństwa, zgonu, - nazwisko i imię ojca, matki, współmałŝonka, - stan cywilny - płeć - data i miejsce zawarcia małŝeństwa - miejsce wystawienia i numer aktu urodzenia Ŝony, męŝa - data, godzina, miejsce zgonu, odnalezienia zwłok - nazwisko, imię, adres osoby zgłaszającej zgon, - adnotacje o rozwodzie - nazwisko po zawarciu małŝeństwa: męŝczyzny, kobiety - numery ewidencyjne PESEL ojca, matki, współmałŝonka - data uniewaŝnienia aktu małŝeństwa, urodzenia, zgonu, - imię nadane z urzędu, - data i numer orzeczenia sądu ustalającego ojcostwo, zaprzeczającego ojcostwo, przysposabiającego dziecko, - imię i nazwisko osoby przysposabiającej dziecko, - zmiana nazwiska dziecka, - data zgonu męŝa matki, - nazwisko i imię rodowe małŝonka, - nazwisko rodowe matki i ojca męŝczyzny, - nazwisko rodowe matki i ojca kobiety, - numer dowodu i miejsce wydania dowodu kobiety, męŝczyzny, - data rozwiązania poprzedniego małŝeństwa. 13

13 Załącznik Nr 4 do Polityki bezpieczeństwa danych osobowych w Urzędzie Miasta Kętrzyn Kętrzyn,. U P O W A ś N I E N I E Nr.. Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz.926 z późn. zm.) UpowaŜniam Panią/Pana zatrudnionego na stanowisku... do przetwarzania danych osobowych oraz obsługi systemu informatycznego oraz do urządzeń wchodzących w jego skład, słuŝących do przetwarzania danych osobowych w Urzędzie Miejskim w Kętrzynie UpowaŜnienie wydaje się na czas nieokreślony. Administrator.. 14

14 Załącznik Nr 5 do Polityki bezpieczeństwa danych osobowych w Urzędzie Miasta Kętrzyn. /imię i nazwisko pracownika/ ZAKRES CZYNNOŚCI PRACOWNIKA ZATRUDNIONEGO PRZY PRZETWARZANIU DANYCH OSOBOWYCH I. Obowiązki pracownika : Pracownik dopuszczony do przetwarzania danych osobowych zobowiązany jest do: 1. Zapoznania się i wypełniania obowiązków wynikających z przepisów z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr. 101, poz. 926 z późn. zm. ) oraz przepisów wykonawczych wydanych na jej podstawie. 2. Kontrolowania dostępu do danych osobowych. 3. Zachowania w tajemnicy danych oraz sposobu ich zabezpieczania do których uzyskał dostęp w trakcie zatrudnienia, równieŝ po ustaniu zatrudnienia. 4. Zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. II. Odpowiedzialność pracownika: Za niedopełnienie obowiązków wynikających z niniejszego aneksu pracownik ponosi odpowiedzialność na podstawie przepisów Regulaminu pracy, Kodeksu pracy oraz ustawy o ochronie danych osobowych. Oświadczam, Ŝe treść niniejszego zakresu jest mi znana i zobowiązuję się do jego przestrzegania. Potwierdzam odbiór 1 egz. zakresu czynności dot. przetwarzania danych osobowych.. /podpis pracodawcy/.. /podpis pracownika/ 15