ORA Dokument nadzorowany w wersji elektronicznej Z A T W I E R D Z A M

Transkrypt

1 Dokument nadzorowany w wersji elektronicznej D o k u m e n t P O L I T Y K A Z A T W I E R D Z A M Załącznik nr 1 do Zarządzenia Nr 284/2013 Burmistrza Miasta i Gminy Łasin z dnia 8 stycznia 2013 r... Administrator Danych Osobowych ORA POLITYKA BEZPIECZEŃSTWA informacji zawierających dane osobowe Urzędu Miasta i Gminy Łasin OPRACOWAŁ:. Administrator Bezpieczeństwa Informacji Łasin 2013

2 SPIS TREŚCI I. Postanowienia ogólne. 3 II. Zakres 4 III. Dostęp do informacji 5 IV. Zarządzanie danymi osobowymi.5 V. Zakres odpowiedzialności.6 VI. Przetwarzanie danych osobowych VII. System zabezpieczeń danych osobowych..10 VIII. Przeglądy i aktualizacje polityki...12 IX. Postanowienia końcowe..12 Załączniki: Nr 1 - Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe..13 Nr 2 - Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Nr 3 Wykaz zbiorów danych osobowych zarejestrowanych w GIODO 15 Nr 4 - Opis struktury zbiorów danych Nr 5 - Sposób przepływu danych pomiędzy poszczególnymi systemami 34 Nr 6 Określenie środków technicznych i organizacyjnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych..37 Nr 7 Wniosek o wydanie upoważnienia do przetwarzania danych osobowych.38 Nr 8 Oświadczenie.39 Nr 9 Raport o naruszeniu zasad bezpieczeństwa informacji..44 Nr 10 Wykaz pracowników, którzy zapoznali się z PB i IZSI Nr 11 Analiza ryzyka (odrębny dokument) Nr 12 - Procedury Administracyjno-Techniczne.... (odrębny dokument) Nr 13 Procedury awaryjne (odrębny dokument) 2

3 I. Postanowienia ogólne Celem opracowania niniejszego dokumentu jest określenie kierunków działań oraz wsparcia dla zapewnienia bezpieczeństwa przetwarzania danych osobowych gromadzonych i przetwarzanych przez Urząd Miasta i Gminy Łasin, zwany dalej Urzędem. Podstawy prawne opracowania dokumentacji: 1/ Ustawa z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej (Dz. U. Nr 78, poz. 483 z późn.zm.). Art. 47 Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 2/ Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r., Nr 101, poz.926 z późn.zm.) Art. 1.1 Każdy ma prawo do ochrony dotyczących go danych osobowych. Art Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. 3/ 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Powyższe przepisy prawne oznaczają, że ustawodawca miał zamiar wyrazić ideę powszechności ochrony danych osobowych i tak skonstruowane prawo zapewnia każdemu możliwość decydowania o swoich dobrach osobistych, do których należą m.in. jego dane osobowe 1. Urząd zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnego i zgodnego z przepisami prawa, wykonywania swoich zadań oraz zadań podjętych w związku z zawartymi umowami lub powierzonych do wykonania na podstawie porozumień. Utrzymanie bezpieczeństwa przetwarzanych przez Urząd informacji, rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji: 1. Poufność danych właściwość polegająca na tym, że dane nie są udostępniane nieupoważnionym osobom, podmiotom. 2. Rozliczalność rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. 3. Integralność informacji rozumie się przez to, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. 4. Zarządzanie ryzykiem rozumiane, jako skoordynowane działania kierowania i zarządzania organizacją w procesie identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów. 1 J.Barta, P.Fajgielski, R.Markiewicz, Ochrona danych osobowych komentarz, Warszawa 2007, s

4 Dodatkowo zarządzanie bezpieczeństwem danych osobowych wiąże się z zapewnieniem: 1. Niezaprzeczalności odbioru rozumianej, jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie. 2. Niezaprzeczalności nadania rozumianej, jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie. 3. Rozliczalności działań rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał. Określenia użyte w Polityce Bezpieczeństwa oznaczają: 1. Komórka organizacyjna referaty lub samodzielne stanowiska Urzędu M i G Łasin. 2. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ponadto przyjmuje się zasady: a) nie istnieje ustalone minimum ilości informacji, poniżej którego informacje te nie są już danymi osobowymi; b) każda informacja o osobie fizycznej może w określonych sytuacjach zostać uznana za dane osobowe i tym samym może zostać objęta ustawą; c) nie są danymi osobowymi informacje o przedsiębiorstwach, organizacjach, partiach politycznych i innych jednostkach organizacyjnych ; d) informacji nie uważa się za dane osobowe, jeśli uniemożliwia ona określenie tożsamości osoby lub jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 3. Przetwarzanie danych osobowych gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych. 4. Użytkownik osoba upoważniona do przetwarzania danych osobowych. 5. Administrator systemu informatycznego osoba upoważniona do zarządzania systemem informatycznym. 6. System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 7. Zabezpieczenie systemu informatycznego należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą. II. Zakres Zakres przedmiotowy stosowania niniejszej Polityki obejmuje wszystkie zbiory danych osobowych przetwarzane w Urzędzie, zarówno w formie elektronicznej, jak i tradycyjnej. W zakresie podmiotowym Polityka obowiązuje wszystkich pracowników Urzędu oraz inne osoby mające dostęp do danych osobowych, w tym stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło itp. 4

5 Zakres merytoryczny opracowanej dokumentacji wynika z 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Informacje niejawne określone ustawą o ochronie informacji niejawnych 2 zakresem niniejszej Polityki. III. Dostęp do informacji nie są objęte Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Urzędzie zasad ochrony tych danych. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Burmistrza. Zakres czynności przypisany osobie dopuszczonej do przetwarzania danych osobowych powinien określać jaka będzie jej odpowiedzialność za ochronę danych osobowych w stopniu odpowiednim jej zadań realizowanych przy przetwarzaniu tych danych. Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur postępowania 3 oraz za opłatą 4. IV. Zarządzanie danymi osobowymi Za bezpieczeństwo danych osobowych Urzędu, odpowiadają: 1. Administrator Danych Osobowych Burmistrz Miasta i Gminy, 2. Administrator Bezpieczeństwa Informacji Inspektor UMiG (osoba wyznaczona przez Burmistrza), 3. Administrator Systemu Informatycznego Informatyk UMiG, 4. Opiekunowie zbiorów upoważnieni pracownicy Urzędu Miasta i Gminy Łasin (zgodnie z wykazem zał. nr 2 do niniejszej PB. Administrator Bezpieczeństwa Informacji Urzędu realizując Politykę Bezpieczeństwa informacji ma prawo określać procedury i wydawać instrukcje regulujące kwestie ochrony danych osobowych w Urzędzie. W umowach zawieranych przez Urząd winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych udostępnianych przez Urząd. Obowiązki wynikające z ustawy o ochronie danych osobowych w Urzędzie Miasta i Gminy Łasin powierza się opiekunom zbiorów w zakresie podległych im spraw, którzy odpowiadają za przestrzeganie obowiązujących przepisów prawa, z obowiązkiem współdziałania z Administratorem Bezpieczeństwa Informacji w zakresie swoich właściwości. 2 Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz.1228 z późn. zm.) 3 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 19 listopada 2008 r. w sprawie określenia wzorów wniosków o udostępnienie danych z ewidencji ludności, zbioru PESEL oraz ewidencji wydanych i unieważnionych dowodów osobistych (Dz. U. Nr 214, poz. 1353, zm. Dz. U. z 2010, Nr 105, poz. 667). 4 Rozporządzenie Rady Ministrów z dnia 19 listopada 2008 r. w sprawie wysokości opłat za udostępnianie danych ze zbiorów meldunkowych, ewidencji wydanych i unieważnionych dowodów osobistych, zbioru PESEL, ogólnokrajowej ewidencji wydanych i unieważnionych dowodów osobistych oraz sposobu wnoszenia tych opłat (Dz. U. Nr 207, poz. 1298). 5

6 Kierownicy komórek organizacyjnych Urzędu zobowiązani są do zapoznania podległych pracowników z treścią ustawy o ochronie danych osobowych 5, Polityką Bezpieczeństwa w zakresie przetwarzania danych osobowych, Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wraz załącznikami. Zapoznanie się z dokumentami określonymi powyżej pracownicy Urzędu potwierdzają podpisem na Oświadczeniu, którego wzór stanowi załącznik nr 8 do Polityki Bezpieczeństwa. Ochrona zasobów danych osobowych Urzędu jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników. V. Zakresy odpowiedzialności Obowiązki Administratora Danych Osobowych. 1. Dochowanie zasad legalności zasada merytorycznej poprawności: - dane musza być zgodne z prawdą, pełne (kompletne) i aktualne, - każdorazowo należy dokonywać oceny wiarygodność źródła pozyskania danych, - powinien być wypracowany tryb weryfikowania prawdziwości danych, - ustalenie zasad postępowania w przypadku stwierdzenia ich nieprawdziwości, - o sprostowaniu danych ADO jest obowiązany poinformować administratorów, którym udostępnił zbiór. 2. Dochowanie zasad adekwatności: - zgodnie z zasadą adekwatności 6 administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych; 3. Czuwanie nad bezpieczeństwem przetwarzania danych osobowych w jednostce organizacyjnej: - zabezpieczenie danych przed ich nieuprawnionym udostępnieniem, zmianą, utratą, uszkodzeniem lub zniszczeniem, przetwarzaniem z naruszeniem ustawy. - dopuszczanie do komputerowego przetwarzania danych tylko osób do tego upoważnionych. - zapewnienie kontroli nad tym, kto, kiedy i jakie dane osobowe przetwarza w zbiorach; - prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. 4. Rejestracja zbiorów danych osobowych; - zgłoszenie w celu zarejestrowania u Generalnego Inspektora Danych Osobowych (GIODO) - zgłoszenie zbioru danych musi nastąpić przed rozpoczęciem ich przetwarzania - zgłoszenie wyłącznie na formularzu ustalonym przez GIODO 7. Z rejestracji zwolnione są zbiory danych osobowych: a) objęte tajemnicą państwową i służbową lub przetwarzane na potrzeby postępowań sprawdzających (ustawa o ochronie informacji niejawnych), b) osób zatrudnionych (w tym byłych pracowników i kandydatów), świadczących usługi na podstawie umów cywilno-prawnych lub uczących się u danego administratora, 5 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn.zm.) oraz komentarz do tej ustawy określony w przypisie nr 1. 6 Zakres danych osobowych adekwatnych do celu przetwarzania oceniać trzeba każdorazowo z uwzględnieniem określonego stosunku prawnego, w związku z którym administrator przetwarza dane osobowe. Dane osobowe nie mogą być zbierane na zapas, na wszelki wypadek, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych. 7 Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz.1536). 6

7 c) osób korzystających z usług medycznych, notarialnych, adwokackich, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, d) zawierające dane powszechnie dostępne, lub przetwarzane w zakresie drobnych spraw dot. życia codziennego (np. katalogi wizytówek, listy adresowe poczty ), e) danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Obowiązki Administratora Bezpieczeństwa Informacji. Zadaniem ABI jest realizacja przedsięwzięć określonych w art. 36 ust. 3 UODO, a w szczególności nadzorowanie i kontrolowanie: 1. Stosowania środków technicznych i przedsięwzięć organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednich do występujących zagrożeń oraz kategorii danych, 2. Zabezpieczenia danych osobowych przed udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem. 3. Przetwarzania danych osobowych zgodnie z przepisami prawa. Do szczegółowych czynności ABI zaliczyć można: 1. Nadzorowanie i kontrolowanie przestrzegania zasad: a) przetwarzania danych osobowych przez użytkowników zgodnie z zakresem nadanego im upoważnienia, b) prowadzenia dokumentacji przetwarzania danych osobowych, c) stosowania przez użytkowników zasad przetwarzania danych osobowych a w szczególności ich zbierania, utrwalania, opracowywania, zmieniania, udostępniania i ich usuwania. d) ochrony obszarów przetwarzania danych w zakresie adekwatności stosowanych zabezpieczeń i możliwości wystąpienia w nich zagrożeń, e) wyposażenia oraz zabezpieczenia pomieszczeń, w których przechowuje się dane sensytywne i kopie zapasowe zbiorów, f) rejestracji zbiorów w Biurze GIODO lub zmian w tych zbiorach. 2. Realizowanie zadań w zakresie: a) rozpatrywania skarg i wniosków dotyczących przetwarzania i ochrony danych, b) tworzenia projektów zarządzeń, instrukcji i wytycznych ADO, c) przygotowywania informacji w zakresie rejestracji zbiorów w GIODO lub zmian w przetwarzaniu danych, d) wyjaśniania i dokumentowania przypadków naruszania zasad przetwarzania i ochrony danych osobowych, e) organizowania szkoleń z zakresu przetwarzania i ochrony danych osobowych, f) odnotowywania i dokumentowania zmian w lokalizacjach obszarów przetwarzania danych, g) wykonywania okresowych analiz zagrożeń bezpieczeństwa i ocen stanu ochrony danych osobowych. 7

8 Poza tym do zadań ABI należy: 1. Sprawowanie nadzoru nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób, 2. Identyfikacja i analiza zagrożeń oraz ryzyk, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych, 3. Określanie potrzeb w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe, 4. Sprawowanie nadzoru nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe, 5. Sprawowanie nadzoru nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych, 6. Prowadzenie ewidencji osób upoważnionych do przetwarzania informacji zawierających dane osobowe w UMiG Łasin, 7. Prowadzenie ewidencji miejsc przetwarzania danych osobowych w UMiG Łasin, 8. Prowadzenie wykazu zbiorów danych osobowych w UMiG Łasin (przetwarzanych metodą tradycyjną lub w systemach informatycznych). 9. Nadzorowanie pracy opiekunów zbiorów w zakresie przetwarzania danych osobowych. Uprawnienia Administratora Bezpieczeństwa Informacji. Wykonując swoje czynności ABI działa w imieniu ADO i posiada uprawnienia do: 1. Wskazywania zastosowania odpowiednich zabezpieczeń technicznych i wykonywania czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych, 2. Parafowania umów dot. udostępniania lub powierzania danych do przetwarzania osobom lub podmiotom zewnętrznym w zakresie stosowania w nich zapisów bezpieczeństwa przetwarzania i ochrony danych osobowych, 3. Wnioskowania o ograniczenie zakresu przetwarzania danych osobowych użytkownikom, którzy powodują zagrożenia bezpieczeństwa i ochrony danych osobowych, 4. Udzielania wytycznych dot. usuwania nieprawidłowości stwierdzonych w czasie kontroli i dostosowania ochrony danych do stanu zgodnego z przepisami prawa, 5. Zbierania od użytkowników, ich przełożonych oraz innych osób pisemnych wyjaśnień dotyczących spowodowania zagrożenia bezpieczeństwa danych. Opiekunowie zbiorów. 1. Przetwarzają dane osobowe zgodnie z przepisami oraz nadzorują pracę osób podległych, zatrudnionych przy przetwarzaniu danych osobowych, 2. Zapoznają osoby zatrudnione przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie, 3. Wykonują zalecenia Administratora Bezpieczeństwa Informacji Urzędu w zakresie ochrony danych osobowych, 4. Przestrzegają zasad określonych w dokumencie Polityka Bezpieczeństwa, 5. Przestrzegają Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych, 8

9 6. Działają zgodnie z Procedurami Administracyjno Technicznymi zał. nr 13 do PB, 7. Stwarzają warunki organizacyjno-techniczne umożliwiające spełnienie wymogów wynikających z obowiązywania UODO, 8. Odpowiadają za poprawność merytoryczną danych gromadzonych w systemach, 9. Wnioskują do ADO, które osoby i w jakim zakresie mają uzyskać dostęp w podległym referacie (samodzielnym stanowisku), do informacji zawierających dane osobowe (wzór wniosku określa załącznik nr 7 do PB). Administrator Systemu Informatycznego. 1. Administrator Systemu Informatycznego zwany dalej ASI, wykonuje zadania w zakresie zarządzenia wydanego przez Burmistrza Miasta i Gminy Łasin nr 158/2012 z dnia 9 lutego 2012 r., a w szczególności: 1) nadawanie identyfikatorów użytkownikom danych osobowych, 2) zabezpieczenie i kontrolowanie prawidłowości przebiegu czynności serwisowych sprzętu komputerowego oraz systemów informatycznych, 3) pozbawianie zapisu danych osobowych lub uszkadzanie w sposób uniemożliwiający odczytanie urządzeń lub nośników, które przeznaczone są do likwidacji, 4) instalowanie zabezpieczeń w systemach informatycznych, 5) wyrejestrowywanie i rejestrowanie z systemu użytkowników w czasie instalowania oraz modyfikacji systemu, 6) przydzielanie uprawnień do poszczególnych systemów, 7) wykonywanie kopii awaryjnych danych z serwera, właściwe przechowywanie nośników, sprawdzanie poprawności zapisu oraz ich likwidowanie, 8) dokonywanie wyboru lub migracji do technologii minimalizującej zagrożenia uzyskania dostępu do sieci osobom nieupoważnionym, 9) nadzorowanie procesu monitorowania sieci pod kątem zabezpieczenia przed dostępem osób nieupoważnionych, 10) wykonywanie poleceń Administratora Bezpieczeństwa Informacji w zakresie zarządzania podległymi systemami informatycznymi, 11) czuwanie nad właściwym eksploatowaniem podległych mu systemów informatycznych, 12) stwarzanie właściwych warunków organizacyjno-technicznych gwarantujących bezpieczeństwo podległych mu systemów informatycznych, 13) nadzorowanie właściwej lokalizacji sprzętu komputerowego, tj. ustawiania monitorów i drukarek, uniemożliwiającego wgląd w dane osobowe, osobom nieupoważnionym lub kradzież wymiennych nośników danych, 14) występowanie do Administratora Danych Osobowych z wnioskiem o upoważnienie pracowników do przetwarzania danych osobowych, 15) nadawanie haseł dostępu użytkownikom oraz ustawianie uprawnień w podległych im systemach, 16) pozbawianie zapisu danych osobowych z nośników, które przeznaczane są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych, 9

10 17) prowadzenie, uaktualnianie na bieżąco oraz przesyłanie Administratorowi Bezpieczeństwa Informacji danych dotyczących: a) listy użytkowników danych osobowych wraz z przydzielonymi im uprawnieniami do poszczególnych funkcji systemu, b)lokalizacji pomieszczeń, w których te dane są przetwarzane, w przypadku jakichkolwiek zmian tych danych, c) rodzaju systemów informatycznych funkcjonujących w zakresie ich działania, d) czynności serwisowych wykonywanych w podległych systemach informatycznych, e) zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym m.in. wykrytych wirusów, koni trojańskich itp., oprogramowania nielegalnego lub zainstalowanego bez upoważnienia, awarii systemu informatycznego lub jego nieprawidłowego działania, stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną, awarii zasilania 18) zgłaszanie Administratorowi Bezpieczeństwa Informacji potrzeb w zakresie zabezpieczenia podległych im systemów informatycznych. VI. Przetwarzanie danych osobowych Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych 8 regulujących zasady gromadzenia i przetwarzania danych osobowych. Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą indywidualne systemy archiwizowania dla poszczególnych systemów przetwarzania. Kopie bezpieczeństwa oraz dokumenty papierowe zawierające dane osobowe przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieuprawnionym. VII. System zabezpieczeń danych osobowych Ochrona zbiorów danych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem. W celu ochrony danych przechowywanych w systemach informatycznych należy wykorzystywać wchodzące w ich skład mechanizmy zarówno sprzętowe, jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych. Dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych mają obowiązek zachować w tajemnicy dane, które przetwarzają oraz sposoby ich zabezpieczenia. Fakt modyfikacji zbioru danych: struktury, lokalizacji, a także utworzenia podzbioru opiekun zbioru ma obowiązek niezwłocznie zgłosić Administratorowi Bezpieczeństwa Informacji. Osoby nieupoważnione do przetwarzania danych osobowych mogą przebywać w obszarach przetwarzania danych osobowych jedynie za zgodą Administratora Bezpieczeństwa Informacji lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 8 Rozporządzenie Ministra Spraw Wewnętrznych z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024). 10

11 Wszystkie pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych także w godzinach pracy. Dane osobowe przechowywane w wersji tradycyjnej (papierowej) są przechowywane po zakończeniu pracy w zamykanych na klucz meblach biurowych a tam, gdzie jest to możliwe w szafach metalowych lub pancernych. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych. Dane osobowe w wersji papierowej, a także wydruki i kopie, należy niszczyć w niszczarkach lub przekazywać do zniszczenia wynajętej do tego celu firmie. Zabronione jest usuwanie danych przez wyrzucenie ich do kosza na odpadki. W przypadku otrzymania żądania udostępnienia danych osobowych pracownicy Urzędu postępują zgodnie z przepisami ustawy o ochronie danych osobowych i rozporządzeń wykonawczych 9. Decyzję o udostępnieniu danych osobowych podejmuje opiekun zbioru. Udostępnianie danych osobowych z systemu informatycznego jest dopuszczalne tylko w formie tradycyjnej, również odnotowanie takiej czynności ma formę papierową. Odnotowanie informacji o udostępnianiu przechowuje opiekun zbioru w dokumentacji sprawy, zgodnie z postanowieniami instrukcji kancelaryjnej. Procedurę zarządzania uprawnieniami do systemów informatycznych reguluje Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych. Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady: a) kontrola dostępu do zbiorów danych osobowych, b) indywidualne identyfikatory użytkowników (pracowników przetwarzających dane osobowe), c) uwierzytelnianie użytkowników (potwierdzanie ich tożsamości-podwójna autoryzacja). W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem: a) dla wszystkich systemów wdrożono procedury tworzenia kopii zapasowych, b) wszystkie systemy informatyczne wyposażono w awaryjne zasilanie (UPS), c) wdrożono oprogramowanie antywirusowe, d) dostęp do systemów z sieci publicznej jest kontrolowany za pomocą zapory sieciowej oraz oprogramowania antywirusowego, Użytkowników systemów przetwarzających dane osobowe obowiązuje następująca polityka haseł: a) minimalna długość hasła wynosi 8 (osiem) znaków, b) zmiana hasła następuje nie rzadziej niż co 30 dni, c) hasło może się powtórzyć dopiero po 6 zmianie, d) hasło zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Jeżeli system informatyczny środkami technicznymi nie wymusza zasad ujętych powyżej, użytkownik zobowiązany jest do przestrzegania powyższych zasad, a tym samym do okresowej zmiany hasła i dobrania odpowiedniej jego długości. Użytkownik, który utracił hasło, zobowiązany jest zgłosić ten fakt bezzwłocznie Administratorowi Systemu Informatycznego, który ustali nowe hasło. 9 Patrz przypisy nr 3 i 4, s

12 W przypadku konieczności zlecenia naprawy, przekazania, likwidacji nośnika (papier, dysk twardy, płyta kompaktowa, pamięć przenośna, dyskietka, taśma magnetyczna), który zawiera dane osobowe podmiotowi nieupoważnionemu do przetwarzania danych, należy zapewnić trwałe wymazanie informacji stanowiących dane osobowe. W przypadku korzystania z komputerów przenośnych zawierających dane osobowe należy zachować szczególną ostrożność podczas używania komputera poza obszarem przetwarzania danych, wyszczególnionym w załączniku nr 1 do niniejszej Polityki. W szczególności należy stosować mechanizmy szyfrowania plików lub baz danych, wbudowanych w system operacyjny. Po ustaniu konieczności przetwarzania danych na komputerze przenośnym, należy je trwale usunąć z nośnika danych. Ekrany komputerów, na których przetwarzane są dane osobowe, są chronione wygaszaczami zabezpieczonymi hasłem. Monitory należy ustawić tak, aby ograniczyć dostęp do danych osobom nieupoważnionym do przetwarzania danych. VIII. Przeglądy i aktualizacje polityki Polityka Bezpieczeństwa podlega regularnemu przeglądowi pod kątem przydatności, adekwatności i skuteczności, nie rzadziej niż raz do roku. Przeglądu dokonuje Administrator Bezpieczeństwa Informacji. Polityka Bezpieczeństwa podlega aktualizacji każdorazowo w przypadku: a) likwidacji, utworzenia lub zmiany zawartości informacyjnej zbioru, b) zmiany lokalizacji zbioru, c) zmiany opiekuna zbioru, d) zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji Polityki, e) innych znaczących zmian dotyczących danych osobowych w funkcjonowaniu Urzędu. Aktualizacji Polityki Bezpieczeństwa dokonuje Administrator Bezpieczeństwa Informacji, wpisując ten fakt w karcie aktualizacyjnej. IX. Postanowienia końcowe Administrator Bezpieczeństwa Informacji przeprowadzi szkolenie pracowników dotychczas zatrudnionych w Urzędzie w zakresie przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa danych osobowych w ciągu 2 miesięcy od dnia wejścia w życie niniejszej Polityki, oraz dla nowozatrudnionych pracowników, którzy mają być dopuszczeni do przetwarzania zbiorów danych osobowych. Ze szkolenia Administrator Bezpieczeństwa Informacji sporządzi protokół, jak również dołączy listę obecności pracowników biorących udział w szkoleniu. Po zakończeniu szkolenia pracownik podpisuje stosowne oświadczenie. W sprawach nieuregulowanych Polityką Bezpieczeństwa mają zastosowanie przepisy ustawy o ochronie danych osobowych, rozporządzeń wykonawczych, Kodeksu pracy, ustawy o pracownikach samorządowych, instrukcji kancelaryjnej oraz regulaminu organizacyjnego Urzędu Miasta i Gminy Łasin. 12

13 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (stan na dzień 8 stycznia 2013 r.) Załącznik nr 1 do PB UMiG Łasin Lp. Lokalizacja Nr biura Nazwa biura (nazwa zbioru danych osobowych) Funkcja lokalizacji 1. Budynek główny Parter 10 Urząd Stanu Cywilnego, (księgi stanu cywilnego WD,PD,KB,PK UMiG Łasin, Łasin, 10 dowody osobiste) Ref. Organizacyjno-Prawny (OSP, OC) WD,PD,KB ul.radzyńska 2 14 Ref. Organizacyjno-Prawny (dodatki mieszkaniowe) WD,PD,KB 16 Referat IBG (budownictwo) WD,PD,KB 17 Referat IBG (gospodarka odpadami, gosp. gruntami i nieruchomościami) WD,PD,KB Piętro 1 20 Sekretariat (poczta, podpisywanie, delegacje) PD 21 Sekretarz (oświadczenia majątkowe) WD, PD 23 Serwer S 24 Stan. ds. ewid. ludn. (ewid. ludności) WD,PD,KB 25 Kasa WD,PD,KB 26 Ref. FP (podatki i opłaty lokalne, WD,PD,KB windykacja podatkowa, WD,PD,KB ewid. śr. transportowych) WD,PD,KB 27 Biuro Rady Miejskiej WD,PD,KB 28, 28a,28b Ref. FP (księgowość, ZFŚS, KZP) PD 29 Ref. Organizacyjno-Prawny (kadry i płace) WD,PD,KB Piętro 2 34 Stan ds. rolnictwa WD,PD,KB 35 Kancelaria dokumentów niejawnych (obrona WD,PD,KB cywilna, obronność) 36 Stan ds. problemów alkoholowych WD,PD,KB 37 Archiwum PA 39 Kier. Oświaty, Kultury i Sportu (nauczyciele) WD,PD,KB (WD) pomieszczenie, w którym pracownicy wprowadzają dane osobowe, (PD) pomieszczenie, w którym pracownicy przetwarzają dane osobowe, (KB) pomieszczenie, w którym wykonywane są kopie bezpieczeństwa, (PK) pomieszczenie, w którym przechowywane są kopie bezpieczeństwa, (S) pomieszczenie techniczne (serwerownia), (PA) pomieszczenia archiwum 13

14 14 Załącznik nr 2 do PB UMiG Łasin Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych L.p. Zbiór danych Forma 1 bezpie- Poziom czeństwa System informatyczny Lokalizacja fizyczna 2 1. Ewidencja ludności T/E C ELUD Gospodarka odpadami Ewidencja środków transportowych Urząd Stanu Cywilnego T/E C GOK+ 17 Opiekun zbioru Wirginia Malinowska Halina Błażyńska T/E C WIP+ 26 Emilia Kosior T/E C USC+ 10 Henryk Szulc 5. Dowody osobiste T/E C SWDO 10 Henryk Szulc Ewidencja ratowników OSP i członków formacji OC Podatki i opłaty lokalne Windykacja podatkowa Ewidencja osób objętych rejestracja na potrzeby kwalifikacji wojskowej T/E C Microsoft Word 10 T/E C POGRUN+ 26 T/E C WIP+ 26 T/E C Microsoft Word 10 Wojciech Marchlewski Arleta Przybylska Ewa Radomska Wojciech Marchlewski Kierownik Referatu Paweł Żuchowski Wiesław Piotrowski Edyta Zientarska Paweł Żuchowski Paweł Żuchowski Edyta Zientarska Edyta Zientarska Paweł Żuchowski 10. Oświata T/E C Microsoft Word 39 Maria Ewertowska 11. Kadry T/E C KADRY+ 29 Sylwia Erdmańska 12. Rolnictwo T/E C Microsoft Word 34 Rafał Kobylski 13. Kasa T/E C KASA Oświadczenia majątkowe Jarosław Barański Paweł Żuchowski Edyta Zientarska T/E ND Paweł Żuchowski 15. Budownictwo T/E C Microsoft Word Gospodarka gruntami i nieruchomościami T/E C Microsoft Word Radni T/E C Microsoft Word Ewidencja osób z problemami alkoholowymi Dodatki mieszkaniowe Stan na dzień 8 stycznia 2013 r. T/E C Excel 36 T/E C NDM+ 14 Joachim Grabowski Andrzej Stachnowicz Agnieszka Drzymalska Krzysztof Czepukojć Katarzyna Filbrandt Wiesław Piotrowski Wiesław Piotrowski Paweł Żuchowski Paweł Żuchowski Barbara Heinrich 1 T: Tradycyjna (papierowa), E Elektroniczna (komputerowa) 2 W przypadku zbiorów w formie elektronicznej: nr biura, w którym zbiór jest przechowywany, nazwa komputera. W przypadku zbiorów tradycyjnych: nr biura, w którym zbiór jest przechowywany. 3 ND - nie dotyczy A Środki bezpieczeństwa na poziomie podstawowym. B - Środki bezpieczeństwa na poziomie podwyższonym. C - Środki bezpieczeństwa na poziomie wysokim.

15 Załącznik nr 3 do PB UMiG Łasin Wykaz zbiorów danych osobowych zarejestrowanych w GIODO L.p. Nazwa zbioru danych osobowych Data rejestracji zbioru Nr księgi rejestrowej GIODO Nr zgłoszenia zbioru w GIODO Data ostatniej aktualizacji 1 Ewidencja ludności / Naliczanie dodatków mieszkaniowych / Ewidencja środków transportowych / Księgi stanu cywilnego / Dowody osobiste / Ewidencja ratowników OSP i członków FOC / Podatki i opłaty lokalne / Windykacja podatkowa / Ewidencja osób objętych rejestracją na / potrzeby kwalifikacji wojskowej 10 Zbiór danych o nauczycielach /

16 Załącznik nr 4 do PB UMiG Łasin Opis struktury zbiorów danych i powiązania między nimi 1. Nazwa zbioru danych osobowych: EWIDENCJA LUDNOŚCI Nazwa aplikacji: ELUD+ Opiekun zbioru: Wirginia Malinowska 2. Zakres gromadzonych danych osobowych: L.p. Zawartość poszczególnych pól L.p. Zawartość poszczególnych pól 1 Pesel 30 Nazwisko/nazwiska małżonka 2 Płeć 31 Nazwisko/nazwiska rodowe małżonka 3 Nazwisko/nazwiska 32 Forma zakończenia stanu cywilnego 4 Imię/imiona 33 Pesel małżonka 5 Nazwisko/nazwiska rodowe 34 Rodzaj dokumentu tożsamości 6 Miejsce zamieszkania 35 Nazwa wystawcy dokumentu 7 Ulica 36 Seria i nr dokumentu tożsamości 8 Nr domu 37 Data wystawienia dokumentu 9 Nr lokalu 38 Data ważności dokumentu 10 Data zameldowania 39 Wzrost 11 Data wymeldowania 40 Kolor oczu 12 Rodzaj zameldowania 41 Znaki szczególne 13 Pesel ojca 42 Obowiązek wojskowy 14 Imię/imiona ojca 43 Stopień wojskowy 15 Nazwisko/nazwiska ojca 44 Rodzaj dokumentu wojskowego 16 Nazwisko/nazwiska rodowe ojca 45 Seria i nr dokumentu wojskowego 17 Pesel matki 46 Obywatelstwo 18 Imię/imiona matki 47 Podstawa zmiany obywatelstwa 19 Nazwisko/nazwiska matki 48 Data zmiany obywatelstwa 20 Nazwisko/nazwiska rodowe matki 49 Data zgonu 21 Data urodzenia 50 Nr aktu zgonu 22 Miejsce urodzenia 51 Typ organu rejestrującego zgon 23 Nr aktu urodzenia 52 Uprawnienia wyborcze 24 Data aktu urodzenia 53 Status wyborczy 25 Stan cywilny 54 Poprzednie imiona 26 Typ organu rejestrującego stan cywilny 55 Poprzednie nazwiska 27 Data zmiany stanu cywilnego 56 Poprzednie adresy zamieszkania 28 Typ organu rejestrującego zmianę stanu cywilnego 57 Poprzednie dokumenty tożsamości 29 Imię/imiona małżonka 58 Poprzednie stany cywilne Zbiór nie zawiera danych wrażliwych, o których mowa w art.27 UODO. 3. Struktura zbioru danych osobowych: Nazwa podzbioru 1) Zakres danych 2) Kartoteka aktualnych mieszkańców Poz Kartoteka byłych mieszkańców Poz Wykaz osób posiadających dostęp do danych osobowych w tym zbiorze: L.p. Imię i Nazwisko Funkcja Biuro nr Zakres uprawnień 3) 1. Wirginia Malinowska Inspektor 24 Z 2. Joachim Grabowski Referent 16 E,M,P 3. Bartosz Żmuda Informatyk 36 A, N System przetwarzający dane w powyższym zbiorze jest bezpośrednio połączony z siecią publiczną. 16

17 1. Nazwa zbioru danych osobowych: NALICZANIE DODATKÓW MIESZKANIOWYCH Nazwa aplikacji: NDM+ Opiekun zbioru: Katarzyna Filbrandt 2. Zakres gromadzonych danych osobowych: L.p. Zawartość poszczególnych pól L.p. Zawartość poszczególnych pól 1 Nazwisko i imię/ Nazwa 24 Rodzaje osób 2 Adres 25 Rodzaje decyzji 3 Data urodzenia 26 Stawki najniższych emerytur 4 PESEL/ NIP 27 Stopień pokrewieństwa 5 Rodzaj osoby 28 Sposób płatności 6 Nr wniosku 29 Tytuły prawne do lokalu 7 Wnioskodawca/Adres 30 Ulice 8 Data wniosku 31 Źródła dochodów 9 Data rejestracji 32 Zasoby mieszkaniowe 10 Decyzja (pozytywna, negatywna) 33 Rejestracja wypłat 11 Data wypłaty 34 Anulowanie wypłat 12 Nr decyzji 35 Archiwizacja roku 13 Dodatek/ryczałt 36 Przeglądanie baz archiwalnych 14 Nazwisko i imię/nazwa zarządcy 37 Lista wypłat 15 Kwota wypłaty 38 Lista przelewów 16 Banki 39 Lista wyrównań 17 Miejscowości 40 Lista zwrotów 18 Czynności 41 Symulacja naliczeń 19 Dane udziału w wydatkach 42 Wykazy 20 Opłaty pobierane przez podzarządcę 43 Dodatkowe wykazy/zapotrzebowanie środków 21 Powody wstrzymania wypłat 44 Druki/blankiety wniosków i deklaracji 22 Powody zaprzestania wypłat 45 Sprawozdanie SG Powierzchnia normatywna 46 Pomoc/opis zmian/o programie Zbiór nie zawiera danych wrażliwych, o których mowa w art.27 UODO. 3. Struktura zbioru danych osobowych: Nazwa podzbioru 1) Zakres danych 2) Kartoteka osób 1-5 Kartoteka wniosków 6-10 Kartoteka wypłat Słowniki/inne Wydruki Pomoc Wykaz osób posiadających dostęp do danych osobowych w tym zbiorze: L.p. Imię i Nazwisko Funkcja Biuro nr Zakres uprawnień 3) 1. Katarzyna Filbrandt Referent 14 Z 2. Barbara Kowalska Podinspektor ds. księgowości 28b E 3. Monika Piątek Podinspektor 28b E 4. Anita Kulerska Inspektor 28b E 5. Natalia Bonna Mł. referent 28b E 6. Jarosław Barański Kasjer 25 E 7. Bartosz Żmuda Informatyk 36 A System przetwarzający dane w powyższym zbiorze jest bezpośrednio połączony z siecią publiczną. 17

18 1. Nazwa zbioru danych osobowych: EWIDENCJA ŚRODKÓW TRANSPORTOWYCH Nazwa aplikacji: WIP Opiekun zbioru: Emilia Kosior 2. Zakres gromadzonych danych osobowych: L.p. Zawartość poszczególnych pól L.p. Zawartość poszczególnych pól 1 Nazwisko 19 Nr dokumentu 2 Imię 20 Saldo 3 Nr rej. POGRUN 21 Status tytułu 4 Nr konta 22 Rodzaj zobowiązanego 5 Nazwa konta 23 Rodzaj opłaty 6 Nr konta wirtualnego 24 Organ egzekucyjny 7 NIP 25 Data operacji 8 PESEL 26 Kwota 9 REGON 27 Suma operacji 10 Miejscowość 28 Nr decyzji WIP 11 Ulica 29 PKD 12 Nr domu 30 Kategoria podatnika 13 Nr lokalu 31 Typ dowodu 14 Kod pocztowy 32 Nazwa 15 Rejon 33 Grupa 16 Rodzaj opłaty 34 Data dowodu 17 Rodzaj operacji 35 Data księgowania 18 Opis operacji Zbiór nie zawiera danych wrażliwych, o których mowa w art.27 UODO. 3. Struktura zbioru danych osobowych: Nazwa podzbioru 1) Zakres danych 2) Kartoteka podatników 1-24 Kartoteka dowodów księgowych Kartoteka dokumentów źródłowych 18;28;30 Kartoteka tytułów wykonawczych 1-2; 10-15; Wykaz osób posiadających dostęp do danych osobowych w tym zbiorze: L.p. Imię i Nazwisko Funkcja Biuro nr Zakres uprawnień 3) 1. Ewa Radomska Inspektor ds. poboru podatków 26 P 2. Arleta Przybylska Inspektor ds. wymiaru podatków 26 P 3. Emilia Kosior Młodszy referent ds. poboru podatków i opłat 26 Z 4. Bartosz Żmuda Informatyk 36 A, N System przetwarzający dane w powyższym zbiorze jest bezpośrednio połączony z siecią publiczną. 18

19 1. Nazwa zbioru danych osobowych: URZĄD STANU CYWILNEGO Nazwa aplikacji: USC+ Opiekun zbioru: Henryk Szulc 2. Zakres gromadzonych danych osobowych: L.p. Zawartość poszczególnych pól L.p. Zawartość poszczególnych pól 1 Nazwisko 31 Miejsce zgonu 2 Imiona 32 Data znalezienia zwłok 3 Płeć 33 Godzina znalezienia zwłok 4 Data urodzenia 34 Miejsce znalezienia zwłok 5 Godzina urodzenia 35 Nazwisko i imiona małżonka osoby zmarłej 6 Miejsce urodzenia 36 Nazwisko rodowe małżonka osoby zmarłej 7 Nazwisko ojca 37 Nazwisko i imię osoby zgłaszającej zgon 8 Imiona ojca 38 Miejsce zamieszkania osoby zgłaszającej zgon 9 Nazwisko rodowe ojca 39 Data wydania zaświadczenia 10 Data urodzenia ojca 40 Data ważności zaświadczenia 11 Miejsce urodzenia ojca 41 Data zgłoszenia oświadczenia 12 Miejsce zamieszkania ojca 42 Numer zaświadczenia 13 Nazwisko matki 43 Typ zapewnienia 14 Imiona matki 44 Wyznanie 15 Nazwisko rodowe matki 45 Numer zapewnienia/rok 16 Data urodzenia matki 46 Planowania data ślubu 17 Miejsce urodzenia matki 47 Numer aktu urodzenia/rok 18 Miejsce zamieszkania matki 48 Nazwa urzędu aktu urodzenia 19 Nazwisko i imię osoby zgłaszającej urodzenie 49 Numer dowodu osobistego/wystawca 20 Miejsce zamieszkania osoby zgłaszającej urodzenie 50 PESEL 21 Nazwisko rodowe 51 Obywatelstwo 22 Stan cywilny 52 Data rozwodu 23 Miejsce zamieszkania 53 Sąd / siedziba 24 Data zawarcia małżeństwa 54 Sygnatura wyroku rozwodu 25 Miejsce zawarcia małżeństwa 55 Data śmierci współmałżonka 26 Nazwiska po zawarciu małżeństwa 56 Miejsce śmierci współmałżonka 27 Nazwiska świadków 57 Numer aktu zgonu współmałżonka/rok 28 Imiona świadków 58 Nazwa USC zgonu współmałżonka 29 Data zgonu 59 Wykształcenie 30 Godzina zgonu 60 Źródło utrzymania Zbiór zawiera dane wrażliwe, o których mowa w art.27 UODO (poz.44) 3. Struktura zbioru danych osobowych: Nazwa podzbioru 1) Zakres danych 2) Akt urodzenia 1-20 Akt małżeństwa 1, 2, 4, 6-9, 13-15, Akt zgonu 1, 2, 4, 6, 21-23, Zapewnienie 1, 2, 4, 6-9, 13-15, 22, Statystyka 3-6, 22-24, 29-31, 50-51, Wykaz osób posiadających dostęp do danych osobowych w tym zbiorze: L.p. Imię i Nazwisko Funkcja Biuro nr Zakres uprawnień 3) 1. Henryk Szulc Kierownik USC 10 Z 2. Wojciech Marchlewski Z-ca kier. USC 10 Z 3. Joachim Grabowski Referent 16 E, M, P 3. Bartosz Żmuda Informatyk 36 A, N System przetwarzający dane w powyższym zbiorze jest bezpośrednio połączony z siecią publiczną. 19

20 1. Nazwa zbioru danych osobowych: DOWODY OSOBISTE Nazwa aplikacji: SWDO Opiekun zbioru: Henryk Szulc 2. Zakres gromadzonych danych osobowych: L.p. Zawartość poszczególnych pól L.p. Zawartość poszczególnych pól 1 Siedziba wystawcy dowodu osobistego 21 Numer domu 2 Status 22 Numer lokalu 3 Numer dowodu osobistego 23 Poczta zameldowania 4 Numer formularza 24 Kolor oczu 5 Organ wystawcy 25 Wzrost w cm 6 Nazwa wystawcy 26 Płeć 7 Przyczyna wystawienia 27 Termin ważności dokumentu 8 Nazwisko własne 1 człon 28 Data ważności dokumentu 9 Nazwisko własne 2 człon 29 Data złożenia wniosku 10 Imię własne 1 człon 30 Data przesłania wniosku 11 Imię własne 2 człon 31 Data wystawienia dokumentu 12 Nazwisko rodowe 1 człon 32 Data przyjęcia dokumentu 13 Nazwisko rodowe 2 człon 33 Data wydania dokumentu 14 Data urodzenia 34 Data pokwitowania 15 Miejsce urodzenia 35 Data drukowania zawiadomienia 16 Rodzaj zameldowania 36 Data przewidywanego unieważnienia 17 Kod pocztowy 37 Data unieważnienia dokumentu 18 Kod terytorialny 38 Fotografia 19 Miejscowość zameldowania 39 Podpis 20 Ulica 40 Podpis i pieczęć gminy Zbiór nie zawiera danych wrażliwych, o których mowa w art.27 UODO. 3. Struktura zbioru danych osobowych: Nazwa podzbioru 1) Zakres danych 2) Ważne dowody osobiste 1-36, Unieważnione dowody osobiste 1-40 Niedopuszczone do produkcji 1-30, Wykaz osób posiadających dostęp do danych osobowych w tym zbiorze: L.p. Imię i Nazwisko Funkcja Biuro nr Zakres uprawnień 3) 1. Henryk Szulc Kierownik USC 10 Z 2. Wirginia Malinowska Inspektor 24 Z 3. Wojciech Marchlewski Inspektor 10 E, P 4. Bartosz Żmuda Informatyk 36 A, N System przetwarzający dane w powyższym zbiorze nie jest połączony z siecią publiczną. 20