ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY. z dnia 1 czerwca 2016 r.

Transkrypt

1 ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY z dnia 1 czerwca 2016 r. w sprawie wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędu Gminy Kęty Na podstawie art. 33 ust. 1 w związku z art. 11a ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2016 r. poz. 446), art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz z późn. zm.), art. 14 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. Nr 182, poz z późn. zm.), zarządzam, co następuje: Wprowadzam w Urzędzie Gminy Kęty System Zarządzania Bezpieczeństwem informacji zawierający: 1. 1) Politykę Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty stanowiącą załącznik nr 1 do zarządzenia, 2) Instrukcję Zarządzania Systemem Informatycznym stanowiącą załącznik nr 2 do zarządzenia, 3) Metodykę szacowania i zarządzania ryzykiem w Urzędzie Gminy Kęty stanowiącą załącznik nr 3 do zarządzenia, 4) Zarządzanie incydentami stanowiący załącznik nr 4 do zarządzenia, 5) Politykę Bezpieczeństwa Teleinformatycznego stanowiącą załącznik nr 5 do zarządzenia, 6) Politykę Bezpieczeństwa Fizycznego stanowiącą załącznik nr 6 do zarządzenia, 7) Politykę Systemu Zarządzania Bezpieczeństwem Informacji stanowiącą załącznik nr 7 do zarządzenia, 8) Plan ciągłości działania na wypadek dysfunkcji systemu informatycznego stanowiący załącznik nr 8 do zarządzenia, 9) Procedury Systemu Zarządzania Bezpieczeństwem Informacji stanowiące załącznik nr 9 do zarządzenia, 10) Procedury zarządzania Systemem Informatycznym stanowiące załącznik nr 10 do zarządzenia, 11) Raporty i wskaźniki stanu bezpieczeństwa aktywów i zasobów informacyjnych stanowiące załącznik nr 11 do zarządzenia, 12) Ustanowienie celów i pomiary ich realizacji stanowiące załącznik nr 12 do zarządzenia. 2. Wykonanie zarządzenia powierzam Dyrektorom jednostek organizacyjnych Urzędu Gminy Kęty, bądź jednostek organizacyjnych lub innych organizacji mających siedzibę w budynkach Urzędu. Nadzór nad wykonaniem niniejszego zarządzenia powierzam Sekretarzowi Gminy Kęty. Tracą moc: ) Zarządzenie Burmistrza Gminy Kęty nr 171/2012/K z dnia 29 czerwca 2012 r. w sprawie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty. 2) Zarządzenie Burmistrza Gminy Kęty nr 191/2012/K z dnia 16 lipca 2012 r. w sprawie uruchomienia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty. 3) Zarządzenie Burmistrza Gminy Kęty nr 280/2012/K z dnia 17 października 2012 r. w sprawie wprowadzenia instrukcji dotyczacej gospodarki kluczami i ochrony fizycznej w budynkach Urzedzu Gminy Kęty. Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 1

2 4) Zarządzenie Burmistrza Gminy Kęty nr 228/2012/K z dnia 21 sierpnia 2012 r. w sprawie wprowadzenia Polityki bezpieczeństwa informacji i ochrony danych osobowych w Urzędzie Gminy Kęty oraz Instrukcji zarzadzania systemem informatycznym. 5) Zarządzenie Burmistrza Gminy Kęty nr 194/2013/K z dnia 16 lipca 2013 r. w sprawie rozszerzenia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty. 6) Zarządzenie Burmistrza Gminy Kęty nr 255/2013/K z dnia 19 września 2013 r. o zmianie zarządzenia w sprawie wprowadzenia Polityki bezpieczeństwa informacji i ochrony danych osobowych w Urzędzie Gminy Kęty oraz Instrukcji zarządzania systemem informatycznym. 7) Zarządzenie Burmistrza Gminy Kęty nr 286/2013/K z dnia 18 października 2013 r. w sprawie zmiany zarządzeń w sprawie wdrożenia i uruchomienia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty. Zarządzenie wchodzi w życie z dniem wydania. 5. Burmistrz Gminy Kęty dr inż. Krzysztof Jan Klęczar Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 2

3 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P00 Data wydania: rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym Ustawa z dnia o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. 100 poz. 1024), Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526). PN/ISO 27001: , A , A5.1.2 Kontroli Zarządczej P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 1 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 3

4 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 2 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 4

5 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 Spis treści 1. Wstęp Cele Polityki Bezpieczeństwa Postanowienia ogólne Podstawowe definicje Organizacja przetwarzania danych osobowych Konsekwencje przetwarzania danych osobowych niezgodnego z regulacjami Ewidencje i rejestry wymaganych przez ustawodawcę Historia dokumentu P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 3 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 5

6 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec Wstęp Realizując postanowienia ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.) oraz wydane w oparciu o delegacje ustawą przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. (Dz.U. z 2004 r. nr 100, poz z zm.) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informacyjne służące do przetwarzania danych osobowych wprowadza się zestaw reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej pozwalający na zapewnienie ochrony danych osobowych. Przetwarzanie danych osobowych w Urzędzie Gminy Kęty jest dopuszczalne tylko pod warunkiem przestrzegania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.) oraz wydanych na jej podstawie przepisów wykonawczych oraz zarządzeń Burmistrza. Dokumentacja regulująca prawidłowość, zgodność z prawem obowiązuje wszystkich pracowników Urzędu Gminy Kęty. 2. Cele Polityki Bezpieczeństwa przetwarzania danych osobowych Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi, jak i zewnętrznymi, świadomymi lub nieświadomymi. Określa zasady postępowania w związku z przetwarzaniem danych osobowych w Urzędzie Gminy Kęty. Odnosi się zarówno do przetwarzania danych osobowych w formie papierowej (tradycyjnej), jak i w systemach informatycznych. Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych jest elementem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) opartego o wymogi normy PN-ISO/IEC 27001: Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez samych użytkowników. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić: A. poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, B. integralność danych rozumianą jako właściwość polegającą na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany), C. rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne. P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 4 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 6

7 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec Postanowienia ogólne 3.1 Dokumentacja przetwarzania danych osobowych obejmuje: 00 - Politykę Bezpieczeństwa Informacji Ochrony Danych Osobowych, niniejszy dokument regulujący zasady przetwarzania danych osobowych w Urzędzie Gminy Kęty Instrukcję Zarządzania Systemem Informatycznym, dokument opisujący sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa Analizę ryzyka, metodologia opisująca sposób szacowania ryzyka w Urzędzie Gminy Kęty wynikająca z obowiązku spoczywającym na Administratorze danych a polegającym na zapewnieniu ochrony danych osobowych odpowiednią do zagrożeń. Dokument wykorzystywany również w innych obszarach objętych SZBI. 03 Zarządzanie incydentami niezgodnościami, zespół procedur opisujących działania jakie należy podejmować w przypadku incydentów bądź niezgodności wynikłych w trakcie przetwarzania danych osobowych. Niniejsze procedury również wykorzystywane są w ramach funkcjonującego SZBI. 3.2 Funkcje związane z realizacją postanowień Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Administratorem Danych Osobowych (ADO) przetwarzanych w Urzędzie Gminy Kęty jest Burmistrz. Asystent Administratora Danych Osobowych (AsADO) - osoba powołana w celu sprawnego nadzorowania prawidłowego przetwarzania danych osobowych w Urzędzie Gminy Kęty. Administrator Systemów Informatycznych (ASI) - osoba odpowiedzialna za bezpieczeństwo i utrzymanie ciągłości działania sieci teleinformatycznych oraz systemów i oprogramowania używanego w Urzędzie Gminy Kęty. 4. Podstawowe definicje Ilekroć w dokumencie jest mowa o: Ustawie rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.); Administratorze Danych Osobowych (ADO) oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty; Asystent Administratora Danych Osobowych (AsADO) rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków; Administratorze Systemów Informatycznych (ASI) rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych; Urzędzie rozumie się Urząd Gminy Kęty; P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 5 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 7

8 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 danych osobowych w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; danych wrażliwych rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; dokumentacji bezpieczeństwa informacji rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji; haśle rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; identyfikatorze użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego; incydencie bezpieczeństwa rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową; przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie; rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; służbach informatycznych rozumie się przez to informatyków zatrudnionych w Urzędzie; systemie informatycznym rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną; użytkowniku rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych; P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 6 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 8

9 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 zbiorze danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 5. Organizacja przetwarzania danych osobowych 5.1 Administrator Danych Osobowych Administrator Danych Osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 5.2 Asystent Administratora Danych Osobowych Do zadań Asystenta Administratora Danych Osobowych należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy; 3) prowadzenie rejestru osób upoważnionych do przetwarzania danych osobowych. P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 7 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 9

10 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec W Urzędzie Gminy Kęty dopuszcza się przetwarzanie danych osobowych gdy: 1) jest to niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a wyrażenie zgody jest niemożliwe, można je przetwarzać do czasu, gdy uzyskanie zgody stanie się możliwe; 2) jest to konieczne w realizacji przepisów prawa; 3) wykonywane są zadania dla dobra publicznego, usprawiedliwione celami realizowanymi przez administratorów danych osobowych; 4) osoba, której dotyczą dane wyrazi na to zgodę. Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby, które posiadają ważne upoważnienie do przetwarzania danych osobowych. Z wnioskiem o upoważnienie pracownika do przetwarzania danych osobowych występuje jego bezpośredni przełożony. Wzory wniosku oraz upoważnienia określone są w Instrukcji Zarządzania Systemem Informatycznym. 5.4 Postępowanie ze zbiorami danych osobowych a) Rejestracja zbiorów danych osobowych Dyrektorzy wydziałów oraz pracownicy samodzielnych jednostek organizacyjnych Urzędu mają obowiązek poinformować ADO/AsADO o: planowanym utworzeniu nowego zbioru danych osobowych; zmianie w obrębie zbioru już zgłoszonego; zaprzestaniu przetwarzania zbioru danych osobowych. Asystent Administratora Danych Osobowych wpisuje zbiór do ewidencji oraz dokonuje zgłoszenia zbioru do GIODO, jeśli to konieczne. Gromadzenie danych można rozpocząć po uzyskaniu zgody od AsADO. b) Gromadzenie danych osobowych Pracownicy zatrudnieni przy przetwarzaniu danych osobowych są zobowiązani do przechowywania danych osobowych we właściwych zbiorach. Dane osobowe przetwarzane w Urzędzie mogą być uzyskiwane w granicach dozwolonych przepisami prawa. Zbierane dane osobowe mogą być wykorzystywane tylko do celów, w jakich są lub będą przetwarzane. Po ustaniu celu przetwarzania powinny być one usunięte lub przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą. P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 8 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 10

11 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 c) Zakaz przetwarzania danych osobowych W Urzędzie zabrania się przetwarzania danych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, przynależność polityczną lub związkową, stan zdrowia, kod genetyczny, nałogi lub fakty życia seksualnego, chyba że pozwalają na to obowiązujące przepisy prawa lub osoba, której powyższe dane dotyczą, wraziła na to pisemną zgodę. d) Udzielanie informacji o przetwarzaniu danych osobowych Osobom, których dane przetwarzane są w zbiorze danych w Urzędzie, przysługuje prawo do kontroli treści ich danych osobowych, a w szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych. Każda osobowa, która wystąpi z wnioskiem o otrzymanie informacji o jej danych, musi ją otrzymać w nieprzekraczalnym terminie 30 dni od daty wpłynięcia wniosku. W przypadku gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, kierujący komórką organizacyjną jest zobowiązana do ich uzupełnienia, uaktualnienia lub sprostowania. O każdym wniosku o udzielenie informacji oraz ewentualnej konieczności sprostowania danych należy powiadomić Asystenta Administratora Danych Osobowych. e) Zasady udostępniania danych osobowych Urząd udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymywania na mocy przepisów prawa. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. Decyzje w sprawie udostępnienia danych podejmuje ADO oraz AsADO. f) Powierzenie przetwarzania danych osobowych innemu podmiotowi Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej. Podmiot, któremu w drodze umowy powierza się przetwarzania danych osobowych, jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych. g) Obowiązki pracowników przetwarzających dane osobowe Pracownicy, którzy przetwarzają dane osobowe w systemach informatycznych, zobowiązani są do postępowania zgodnie z Instrukcją zarządzania systemem informatycznym. Pracownicy zatrudnieni przy przetwarzaniu danych osobowych są zobowiązani powiadomić ADO/AsADO o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych, tryb postępowania określa procedura 03 Zarządzanie incydentami niezgodnościami P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 9 z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 11

12 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 h) Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Pracownik, który: przetwarza w zbiorze dane osobowe, do których przetwarzania nie jest upoważniony, których przetwarzanie jest zabronione, niezgodne z celem stworzenia zbioru danych; udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym; nie zgłasza zmian w zakresie przetwarzanych zbiorów danych osobowych; nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach; uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw; nie stosuje się do dokumentacji opisującej zasady przetwarzania danych osobowych w Urzędzie podlega odpowiedzialności służbowej oraz karnej zgodnie z przepisami Kodeksu Karnego, Ustawy o Ochronie Danych Osobowych oraz przepisami Kodeksu Pracy. i) Wprowadzanie zmian do organizacji zabezpieczeń Wprowadzanie zabezpieczeń mających na celu ochronę danych osobowych musi uwzględniać normy prawne, normy zarządzania bezpieczeństwem informacji oraz pozostałe polityki przyjęte w Urzędzie. 5.5 Organizacyjne i techniczne środki ochrony przetwarzanych danych a) Ochrona fizyczna pomieszczeń w których są przetwarzane dane osobowe Dane osobowe przetwarzane są w pomieszczeniach Urzędu Gminy Kęty w budynkach: Budynek 1 Kęty ulica Rynek 7, Budynek 2 Kęty ulica Kilińskiego 1, Budynek 3 Kęty ulica Sobieskiego 19. następujących Wszystkie budynki są zabezpieczone systemem alarmowym, dodatkowo budynek przy ulicy Rynek 7 jest zabezpieczony monitoringiem wizualnym. Pomieszczenia, w których przetwarzane są dane, mają zabezpieczone wejścia za pomocą zamków w sposób uniemożliwiający dostęp do nich osób niepowołanych. b) Zabezpieczenie zbiorów przetwarzanych tradycyjnie Zbiory danych przetwarzane tradycyjnie (ręcznie) po godzinach pracy przechowywane winny być w szafkach zamkniętych (zamki, kłódki). Przetwarzanie danych osobowych w pomieszczeniach publicznie dostępnych musi odbywać się w sposób uniemożliwiający osobom niepowołanym podglądnięcie lub ich kradzież. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 12

13 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 c) Zabezpieczenie zbiorów przetwarzanych cyfrowo (w systemach informatycznych) Stanowiska komputerowe w pomieszczeniach, gdzie przebywać mogą osoby nieupoważnione do przetwarzania danych - w tym danych osobowych (np. interesanci albo inni pracownicy Urzędu) - winny być umieszczone w sposób, który uniemożliwi takim osobom wgląd do tych danych. Każdy użytkownik systemu komputerowego korzysta, w celu dostępu do danych, ze stworzonego według określonych zasad konta, o odpowiednich uprawnieniach dostępu do zasobów tegoż systemu do pełnionych obowiązków. Dostęp do konta możliwy jest po podaniu prawidłowej pary unikalnej nazwy użytkownika i hasła o długości min. 8 znaków i terminie ważności. Wymaga się, by w miejscu styku sieci komputerowej urzędowej z siecią publiczną zastosowane były odpowiednie mechanizmy logiczne lub fizyczne, zapewniające separację zasobów informacyjnych Urzędu, uniemożliwiające dostęp osób niepowołanych z zewnątrz do jej zasobów, a także pozwalające na kontrolę przepływających danych. W systemie, systemach wykonywane winny być kopie zapasowe a ich nośniki zawierające kopie zapasowe powinny być przechowywane w bezpiecznym miejscu. d) Hasła do systemów zawierających dane osobowe Każdy użytkownik, który ma dostęp do systemów informatycznych, posiada unikalną nazwę (login) użytkownika i osobiste hasło. Użytkownik hasła: zobowiązany jest uwierzytelniać się w systemie informatycznym wyłącznie na podstawie własnego loginu i hasła (za wyjątkiem hasła początkowego), odpowiedzialny jest za wykorzystywanie swojego loginu i hasła oraz za wszystkie czynności wykonane przy użyciu swojego loginu i hasła, w żadnym wypadku nie może ujawniać swojego hasła komukolwiek, włącznie ze służbami informatycznymi, przełożonymi czy współpracownikami. Hasło użytkownika nie może być: przechowywane w formie możliwej do odczytania, tj. zapisane w plikach tekstem jawnym, skryptach i makrach, w pamięci przeglądarek internetowych, zapisane na kartkach i w miejscach, do których mają dostęp osoby nieupoważnione. Zasady zabezpieczenia, uzyskania hasła oraz sposób postępowania z hasłem opisane są w Instrukcji Zarządzania Systemami Informatycznymi. e) Wykorzystanie nośników danych w procesie przetwarzania danych osobowych Nośniki danych używane w procesie przetwarzania danych, które przestają pełnić swoją funkcję zostają fizycznie zniszczone, bądź poddane procesowi czyszczenia w sposób uniemożliwiający ich ponowne odczytanie. Za kontrolę procesu usuwania danych odpowiada ASI. Wykorzystywanie jakichkolwiek prywatnych nośników elektronicznych (np.: pendrive, przenośne dyski twarde, itd.) jest zabronione. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 13

14 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec 2016 f) Ochrona przed szkodliwym oprogramowaniem Na wszystkich komputerach wymagana jest ochrona antywirusowa, która nie może być wyłączona przez użytkownika. Dodatkowo komputer winien być zabezpieczony przed możliwością instalowania i uruchamiania oprogramowania, którego celem jest nieuprawniony dostępu do systemu informatycznego. Za realizację wymogu odpowiada ASI. g) Zasady bezpiecznego używania laptopów i przenośnych nośników danych Laptopy podlegają tym samym regułom ochrony jak komputery stacjonarne, ponadto podlegają dodatkowej ochronie prawnej ze względu na traktowanie ich jako przenośną bazę danych, a szczególnie: powinny być zabezpieczone fizycznie podczas użytkowania, transportu oraz przechowywania przed dostępem osób nieuprawnionych i kradzieżą (np. specjalna torba, linki "kensington lock", zabezpieczenie przed kradzieżą, stały nadzór w przestrzeni publicznej), w trakcie pracy poza terenem kontrolowanym przez Urząd (np. w pociągu) należy zadbać, aby informacje chronione, zabezpieczone były odpowiednimi narzędziami kryptograficznymi (zgodne z rozporządzeniem MSWiA, Dz. U r. nr 100 poz. 1024), zabezpieczenie kryptograficzne danych zostało zaakceptowane przez AsADO oraz ASI. h) Przebywanie na terenie Urzędu Pracownikom wolno przebywać na terenie Urzędu tylko w wyznaczonych godzinach pracy a po nich jedynie po zawiadomieniu i uzyskaniu zgody bezpośredniego przełożonego. Przebywanie w budynku Urzędu w dni wolne od pracy możliwe jest jedynie po uzyskaniu zgody Burmistrza lub osoby przez niego upoważnionej. i) Postępowanie w przypadku naruszenia bezpieczeństwa informacji Wszyscy pracownicy mają obowiązek natychmiastowego zgłaszania zauważonych incydentów oraz zdarzeń potencjalnie niebezpiecznych bezpośredniemu przełożonemu ASI lub AsADO. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów, 2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, 3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). Do typowych incydentów bezpieczeństwa danych osobowych należą: 1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności), 2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych), P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 14

15 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec ) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). Wyżej opisane zagrożenia czy incydenty nie wyczerpują wszystkich możliwych przypadków. W sytuacji gdzie pracownik ma wątpliwości czy zdarzenie należy zakwalifikować jako incydent czy zagrożenie należy skontaktować się z ASI lub AsADO. 6. Konsekwencje przetwarzania danych osobowych niezgodnego z regulacjami Pracownik, który: przetwarza w zbiorze dane osobowe: do których przetwarzania nie jest upoważniony których przetwarzanie jest zabronione niezgodne z celem stworzenia zbioru danych; udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym; nie zgłasza AsADO zbiorów danych osobowych podlegających rejestracji; podlega odpowiedzialności karnej zgodnie z ustawą o ochronie danych osobowych oraz przepisami Kodeksu Pracy. 7. Ewidencje i rejestry wymaganych przez ustawodawcę 1) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe w Urzędzie Gminy Kęty stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Aktualizacja wykazu budynków nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. Udokumentowanie zmiany następuje w tabeli zmian dokumentu. 2) Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych w Urzędzie Gminy Kęty stanowi załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Aktualizacja wykazu zbiorów nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. 3) Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi został ujęty w załączniku nr 3 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Na załącznik mogą się składać: dokumentacja techniczna producenta, instrukcje obsługi, zrzuty ekranów, dokumentacja własna itp. Aktualizacja opisu zbiorów nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. 4) Sposób przepływu danych pomiędzy poszczególnymi systemami ujęty został w załączniku nr 4 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Na załącznik mogą się składać: dokumentacja techniczna producenta, instrukcje obsługi, zrzuty ekranów, dokumentacja własna itp. Aktualizacja załącznika nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. 5) Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona na bieżąco i aktualizowana przez AsADO oraz stanowi odrębny dokument. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 15

16 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty czerwiec ) Ewidencja umów powierzenia przetwarzania danych osobowych zawartych przez Urząd Gminy Kęty, które uwzględniają powierzenie przetwarzania danych osobowych, prowadzona jest przez AsADO. Osoby zawierające w/w umowy mają obowiązek poinformować AsADO o fakcie zawarcia umowy oraz przekazać do niego kserokopię umowy. Umowy przewidujące powierzenie danych powinny być zawierane w oparciu o wypracowane w Urzędzie wzorce, które przewidują odpowiednie zabezpieczenie interesów Urzędu. 8. Historia dokumentu Data / wydanie Opis zmiany / wyd. 1 Utworzenie dokumentu. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 16

17 Załącznik numer 1 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są danych osobowe. ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Osobowych Zał.1 PBIODO; wyd. 1 1 z 2 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 17

18 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Załącznik numer 1 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są danych osobowe. Czerwiec 2016 W dyspozycji UG Kęty znajdują się następujące budynki w których są przetwarzane dane osobowe. 1. Budynek zlokalizowany jest w Kętach przy ulicy Rynek 7 W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach: Numery pomieszczeń do wglądu w dokumentacji wewnętrznej. 2. Budynek zlokalizowany jest w Kętach przy ulicy Kilińskiego 1 W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach: Numery pomieszczeń do wglądu w dokumentacji wewnętrznej. 3. Budynek zlokalizowany jest w Kętach przy ulicy Sobieskiego 19 W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach: Numery pomieszczeń do wglądu w dokumentacji wewnętrznej. 4. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika, Zał.1 PBIODO; wyd. 1 2 z 2 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 18

19 Załącznik numer 2 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych Zał.2 PBIODO; wyd. 1 1 z 2 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 19

20 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Załącznik numer 2 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. czerwiec 2016 Nazwa zbioru danych osobowych do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej Program/system stosowany do przetwarzania zbioru danych do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej 1. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika Zał.2 PBIODO; wyd. 1 2 z 2 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 20

21 Załącznik numer 3 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych Zał.3 PBIODO; wyd. 1 1 z 3 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 21

22 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Załącznik numer 3 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. czerwiec 2016 Spis treści Spis treści Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Historia dokumentu... 3 Zał.3 PBIODO; wyd. 1 2 z 3 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 22

23 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Załącznik numer 3 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. czerwiec Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 8. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika Zał.3 PBIODO; wyd. 1 3 z 3 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 23

24 Załącznik numer 4 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych Zał4 PBDO; wyd. 1 1 z 3 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 24

25 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Załącznik numer 4 Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe. czerwiec 2016 Spis treści Spis treści Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Historia dokumentu... 3 Zał4 PBDO; wyd. 1 2 z 3 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 25

26 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty Załącznik numer 4 Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe. czerwiec Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 8. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika Zał4 PBDO; wyd. 1 3 z 3 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 26

27 DOKUMENT Systemu Zarządzania Bezpieczeństwem Informacji Urząd Gminy Kęty INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PROCEDURY BEZPIECZEŃSTWA INFORMACJI ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P01 Data wydania: rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. 100 poz. 1024) PN/ISO 27001:2014 A.6.1; A.8.3; A.12.1; A.12.2; A.12.3; A.12.4; A.13.1; A.13.2; A.14.1; A.14.2; A.15.2 Kontroli Zarządczej C.15 P01-Instrukcja_Zarządzania_SI, wyd. 1 1 z 15 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 27

28 P01-Instrukcja_Zarządzania_SI, wyd. 1 2 z 15 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 28

29 Spis treści 1. POSTANOWIENIA OGÓLNE POSTĘPOWANIE ZE ZBIORAMI DANYCH OSOBOWYCH PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONA DLA UŻYTKOWNIKÓW SYSTEMÓW INFORMATYCZNYCH TWORZENIE KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH KOPII ZAPASOWYCH ZABEZPIECZENIE PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO REALIZACJA WYMOGU UWIERZYTELNIENIA UŻYTKOWNIKA I REJESTRACJI ZDARZEŃ PRZEGLĄD I KONSERWACJA SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH HISTORIA DOKUMENTU P01-Instrukcja_Zarządzania_SI, wyd. 1 3 z 15 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 29

30 1. POSTANOWIENIA OGÓLNE 1.1. Podstawa dokumentu Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz z późn. zm.), Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526), PN-ISO/IEC Zakres stosowania Instrukcja zarządzania systemami informatycznymi Urzędu Gminy Kęty, zwana dalej instrukcją, opisuje sposoby nadawania uprawnień i powierzania zasobów użytkownikom, określa sposób pracy w systemie informatycznym, procedury zarządzania oraz czynności mające wpływ na zapewnienie bezpieczeństwa systemu informatycznego Urzędu. Instrukcja obowiązuje wszystkie komórki organizacyjne Urzędu oraz wszystkich pracowników. Instrukcja obejmuje następujące systemy, programy i aplikacje przetwarzające dane, w tym dane osobowe, ujęte w wykazie prowadzonym przez Asystenta Administratora Danych Osobowych. Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Definicje Urząd Urząd Gminy Kęty, GIODO Generalny Inspektor Ochrony Danych Osobowych. Ustawa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm), Rozporządzenie Rozporządzenie Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004r. Nr 100 poz. 1024), Identyfikator ciąg znaków w sposób jednoznaczny przypisany danemu użytkownikowi systemu teleinformatycznego, użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał; Identyfikator składa się minimalnie z siedmiu znaków; znaki identyfikatora nie są rozdzielone spacjami ani znakami interpunkcyjnymi; identyfikator nie zawiera polskich liter; Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielany innej osobie. Użytkownik, użytkownik systemu teleinformatycznego osoba upoważniona do pracy w systemie informatycznym Urzędu, pracownik Urzędu lub pracownik innego podmiotu, który świadczy usługi związane z działalnością statutową Urzędu Gminy Kęty, SZBI System Zarządzania Bezpieczeństwem Informacji system organizacji bezpieczeństwa informacji Urzędu Gminy Kęty, oparty o wymogi normy PN-ISO/IEC 27001, ADO Administrator Danych Osobowych, AsADO Asystent Administratora Danych Osobowych, ASI Administrator Systemu Informatycznego, Kierujący osoba kierująca komórką organizacyjną (kierownik, naczelnik, dyrektor) lub samodzielny pracownik. PBI Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych dokument realizujący wymóg art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.), Sieć lokalna (LAN) Local Area Network; połączenie systemów informatycznych Urzędu wyłącznie dla własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych Zarządzanie systemami dziedzinowymi Zarządzanie systemami dziedzinowymi oraz systemem obiegu dokumentów odbywa się w oparciu o szczegółowe instrukcje dostarczane przez producentów oprogramowania. Administrator Systemów Informatycznych jest odpowiedzialny za przechowywanie aktualnych instrukcji, adekwatnych do stosowanego oprogramowania. P01-Instrukcja_Zarządzania_SI, wyd. 1 4 z 15 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 30

31 2. POSTĘPOWANIE ZE ZBIORAMI DANYCH OSOBOWYCH Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 2.1. Przystąpienie do przetwarzania danych w nowym zbiorze danych osobowych Kierujący 2.2. Zaprzestanie przetwarzania danych w zarejestrowanym zbiorze DO / Kierujący 2.3. Zgłoszenia do GIODO, ewidencjonowanie zbiorów zawierających dane osobowe / ADO oraz AsADO 2.4. Powierzenie przetwarzania danych osobowych / Kierujący Dział prawny, ADO oraz AsADO 2.5. Rozwiązanie- umowy powierzenia DO/ / Kierujący ADO oraz AsADO Dokumenty związane Celem procedury jest zapewnienie podstawowych reguł dotyczących zarządzania zbiorami informacji zawierającymi dane osobowe. Procedura określa postępowanie przy rejestracji, ewidencji, zmianie zakresu przetwarzania, aktualizowaniu i wyrejestrowaniu zbiorów informacji zawierających dane osobowe. Zawiera również reguły związane z udostępnianiem danych osobowych. Niniejsza instrukcja obowiązuje wszystkie komórki organizacyjne UG Kęty. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2015 r. poz ze zm.), PN-ISO/IEC 27001: A.8.3 Opis działania Zgłoszenie zbioru danych osobowych do rejestru należy złożyć do AsADO nie później niż 14 dni po rozpoczęciu przetwarzania danych w zbiorze. W przypadku danych wrażliwych (art. 27 ustawy) zgłoszenie należy dokonać przed przystąpieniem do przetwarzania danych. Zgłoszenia dokonuje Kierujący korzystając z formularzy: zal_1 P01 - Wniosek.. Zgłoszenie przetwarzanego zbioru danych osobowych zal_1a P01 - Zgłoszenie do rejestru Zbioru Danych Osobowych Zaprzestanie przetwarzania danych w zarejestrowanym zbiorze danych osobowych należy zgłaszać do AsADO nie później niż 14 dni od momentu wystąpienia przesłanki, na podstawie której zaprzestaje się dane przetwarzać. Zgłoszenia zaprzestania przetwarzania dokonuje Kierujący formularzu: zal_1 P01 - Wniosek.. Usunięcie zbioru danych osobowych z rejestru Zgłoszenia do GIODO przygotowywane są przez AsADO na podstawie zgłoszeń otrzymanych od Kierujących. Aktualny wykaz zbiorów danych osobowych wraz z systemami prowadzony jest przez AsADO. Administrator Danych może powierzyć przetwarzanie danych osobie fizycznej lub prawnej będącej pracownikiem lub realizującej zadania na rzecz UG Kęty. Powierzenie przetwarzania danych osobowych może odbyć się jedynie w oparciu o umowę w formie pisemnej. Umowę przygotowuje dział prawny w oparciu o aktualne wymogi prawa oraz wymogi organizacyjne Urzędu na wniosek Kierującego. Umowę ze strony Urzędu podpisuje ADO. Po podpisaniu umowy powierzenia danych osobowych Kierujący w oparciu o wniosek (zal_1 P01) zgłasza AsADO umowę do wpisania do ewidencji umów powierzenia. AsADO prowadzi ewidencję umów powierzenia danych osobowych (zal 4 P01). Kierujący zgłasza do AsADO fakt ustania podstawy funkcjonowania umowy powierzenia zbioru danych osobowych. Zgłoszenia dokonuje się na formularzu (zal_1 P01) niezwłocznie po zaistnieniu zdarzenia stanowiącego przesłankę do rozwiązania, wygaszenia umowy powierzenia danych osobowych. AsADO usuwa z ewidencji (zal 4 P01) nieobowiązującą umowę powierzenia danych osobowych. zal_1 P01 - Wniosek o wydanie: sprzętu, zgłoszenie zbioru DO, zal_1a P01 - Zgłoszenie do rejestru Zbioru Danych Osobowych, zal_4 P01- Ewidencja umów powierzenia danych osobowych P01-Instrukcja_Zarządzania_SI, wyd. 1 5 z 15 Id: 9CF1F609-E87A-44B0-938D C6. Przyjęty Strona 31