Instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostrówek

Transkrypt

1 Załącznik Nr 2 do Zarządzenia Nr 7/2013 Wójta Gminy Ostrówek 24 stycznia 2013 r. Instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostrówek 1. Ilekroć w Instrukcji Zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostrówek zwanej dalej Instrukcją jest mowa o: 1) Urzędzie należy przez to rozumieć Urząd Gminy Ostrówek; 2) administratorze danych należy rozumieć Wójta Gminy Ostrówek; 3) administratorze bezpieczeństwa informacji (ABI) rozumie się pracownika Urzędu lub inną osoba wyznaczoną przez administratora danych do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych; 4) administratorze systemu informatycznego (ASI) należy przez to rozumieć osobę odpowiedzialną za nadzorowanie i utrzymanie systemu informatycznego urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony; 5) użytkowniku systemu rozumie się osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym Urzędu, w szczególności pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno prawnej, osoba odbywająca staż w Urzędzie, wolontariusz; 6) identyfikatorze użytkownika rozumie się jako ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; 7) haśle rozumie się jako ciąg znaków literowych, cyfrowych lub innych, znanych jedynie osobie uprawnionej do pracy w systemie informatycznym; 8) uwierzytelnianiu należy rozumieć działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu; 9) rozliczalności należy rozumieć jako właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; 10) integralności danych rozumie się jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; 11) poufności danych należy rozumieć jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom; 12) sieci lokalnej należy rozumieć połączenie komputerów pracujących w Urzędzie w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych; 13) sieci publicznej rozumie się jako sieć telekomunikacyjną, niebędącą siecią wewnętrzną, służącą do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z poźn. zm.);

2 14) sieci telekomunikacyjnej rozumianej jako urządzenia telekomunikacyjne zestawione i połączone w sposób umożliwiający przekaz sygnałów pomiędzy określonymi zakończeniami sieci za pomocą przewodów, fal radiowych, bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną w rozumieniu ustawy Prawo telekomunikacyjne; 15) systemie informatycznym rozumianym jako zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych; 16) przetwarzaniu danych rozumie się jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie; 17) zabezpieczeniu danych w systemie informatycznym należy rozumieć wdrożenie i wykorzystywanie stosownych środków technicznych i organizacyjnych, zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 18) teletransmisji rozumianej jako przesyłanie informacji za pomocą sieci telekomunikacyjnej; 19) poufności danych przez co należy rozumieć właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; 20) aplikacji rozumianej jako program komputerowy wykonujący konkretne zadania; 21) komórce organizacyjnej rozumie się przez to referat oraz samodzielne stanowisko pracy, określone struktura organizacyjną Urzędu. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności Uprawnienia w zakresie dostępu do systemu informatycznego służącego do przetwarzania danych osobowych przyznaje Administrator Systemu Informatycznego na podstawie pisemnego upoważnienia administratora danych, określającego zakres uprawnień pracownika. (wniosek o nadanie uprawnień) 2. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika identyfikatora i hasła oraz zakresu dostępnych danych i operacji. 3. Hasło ustanowione podczas przyznawania uprawnień przez ASI jest przekazywane użytkownikowi ustnie. 4. Hasło, o którym mowa w ust. 3 należy zmienić na indywidualne, podczas pierwszego logowania się w systemie informatycznym. 5. Pracownik ma prawo do wykonywania tylko tych czynności, do jakich został upoważniony. 6. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła. 7. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą, jako naruszenie podstawowych obowiązków pracowniczych. 8. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich w tajemnicy, która obowiązuje go również po ustaniu zatrudnienia.

3 9. Odebranie uprawnień pracownikowi następuje na pisemny wniosek administratora danych z podaniem daty i przyczyny odebrania uprawnień. 10. W systemie informatycznym stosuje się uwierzytelnianie dwustopniowe: na poziomie dostępu do sieci lokalnej oraz dostępu do aplikacji. 11. Kierownicy komórek organizacyjnych i pracownicy na stanowiskach samodzielnych zobowiązani są pisemnie informować ASI o każdej zmianie, mającej wpływ na zakres posiadanych uprawnień w systemie informatycznym. 12. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło. 13. ASI zobowiązany jest do prowadzenia i ochrony rejestru użytkowników oraz ich uprawnień w systemie informatycznym. 14. Rejestr, którego wzór stanowi Załącznik nr 1 do Instrukcji, powinien odzwierciedlać aktualny stan systemu w zakresie użytkowników i ich uprawnień oraz umożliwiającego przeglądanie historii zmian uprawnień użytkowników. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym, może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła. 2. Hasło użytkownika musi być zmienione przynajmniej raz w miesiącu. 3. Identyfikator użytkownika nie powinien być zmieniany bez wyraźniej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. 4. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł również po upływie ich ważności. 5. Pracownik nie ma prawa udostępniania swojego hasła innym osobom. 6. Hasło należy wprowadzać w sposób, który uniemożliwi innym osobom jego poznanie. 7. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do natychmiastowej zmiany hasła. 8. Zmiany hasła nie można zlecać innym osobom. 9. Hasło użytkownika o prawach administratora powinno znajdować się w zalakowanej kopercie w zamykanej na klucz szafie metalowej, do której dostęp mają: ABI i administrator danych lub osoba przez niego wyznaczona. 10. Przy wyborze hasła obowiązują następujące zasady: 1) minimalna długość hasła zawiera 8 znaków; 2) zakazuje się stosować haseł: a) z których użytkownik korzystał w poprzednim miesiącu, b) tożsamych ze swoją nazwą użytkownika w jakiejkolwiek formie, c) zawierających nazwiska, imiona oraz inne ogólnie dostępne informacje o użytkowniku w jakiejkolwiek formie, d) o przewidywalnych sekwencjach znaków z klawiatury; 3) zaleca się stosować hasła: a) zawierające kombinacje liter i cyfr, b) zawierające znaki specjalne, znaki interpunkcyjne, nawiasy, symbole,

4 c) które można zapamiętać bez zapisywania, d) szybkie do wprowadzenia, aby trudniej je było podejrzeć osobom trzecim. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu Przed rozpoczęciem pracy z komputerem należy zalogować się do systemu informatycznego przy użyciu własnego indywidualnego identyfikatora i hasła. 2. W sytuacji opuszczenia stanowiska pracy na odległość uniemożliwiającą jego obserwację, należy wylogować się z systemu. 3. Przed wyłączeniem komputera należy zakończyć pracę wszystkich używanych programów 4. i wykonać o ile to możliwe, prawidłowe zamknięcie systemu. 5. Niedopuszczalne jest wyłączanie komputera bez prawidłowego zamknięcia wszystkich programów i wylogowania z sieci komputerowej. 6. ABI lub osoba przez niego upoważniona monitoruje logowanie oraz wylogowanie się użytkowników, a także nadzoruje zakres przetwarzanych przez nich zbiorów danych. 7. Przypadki nieprawidłowej pracy systemu informatycznego należy niezwłocznie zgłaszać do ABI. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania Na wszystkich stacja roboczych, na których przetwarzane są dane osobowe wprowadza się wysoki poziom zabezpieczeń. 2. Kopie bezpieczeństwa danych osobowych przygotowywane są przez Administratora Systemu Informatycznego lub osobę upoważnioną przez ABI. 3. Pełne kopie bezpieczeństwa serwerów wykonywane są codziennie i zapisywane na osobnych dyskach USB lub dyskach sieciowych przy pomocy programów służących do wykonywania kopii zapasowych. 4. Zabezpieczenie danych znajdujących się na stacjach roboczych wykonywane jest przez program do kopiowania danych zainstalowany na stacji roboczej, z której dane kopiowane są na dysk sieciowy i kompresowane. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji, kopii zapasowych oraz wydruków Dane osobowe w postaci elektronicznej gromadzone są na dyskach lokalnych oraz dysku serwera i zapisywane na inne dyski służące do backupu. 2. Kopie danych o których mowa w ust. 1 nadpisuje się w przypadku kończącej się wolnej przestrzeni dyskowej na macierzy. 3. W uzasadnionych przypadkach za zgodą ABI, dane osobowe można przetwarzać poza serwerem.

5 4. Tworzy się rejestr zewnętrznych nośników informacji, na których przetwarzane są dane osobowe. 5. Rejestr, o którym mowa w ust. 4. Którego wzór stanowi załącznik Nr do Instrukcji prowadzi ABI. 6. Dane osobowe w postaci elektronicznej, za wyjątkiem kopii bezpieczeństwa zapisane na wymiennych nośnikach informacji nie mogą być wynoszone poza siedzibę Urzędu. 7. Wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych osobowych w zamykanych szafach biurowych lub kasetach, do których wyłączny dostęp mają osoby upoważnione. 8. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych, pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie. 9. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych a w przypadku, gdy nie jest to możliwe uszkadza się je w sposób uniemożliwiający ich odczytanie. 10. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej. 11. Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar przetwarzania danych zabezpiecza się w sposób zapewniający poufność i integralność tych danych W przypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu uniemożliwiającym dostęp osobom nieuprawnionym 2. Pomieszczenie, w którym przechowywane są wydruki musi być należycie zabezpieczone po godzinach pracy Urzędu. 3. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć niszczarką dokumentów w stopniu uniemożliwiającym ich odczytanie. Sposób zabezpieczenia systemu przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego System obejmuje się ochroną antywirusową, polegającą na skanowaniu serwerów oraz stacji roboczych programem antywirusowym. 2. Skanowanie serwerów wykonywane jest co najmniej raz w tygodniu przez ABI lub osobę przez niego upoważnioną. 3. Skanowanie stacji roboczych wykonują ich użytkownicy. 4. Użytkownicy systemu mają obowiązek skanowania każdego zewnętrznego elektronicznego nośnika informacji, a także plików danych pobieranych z zasobów sieci Internet oraz otrzymanych w poczcie elektronicznej oprogramowaniem antywirusowym i antyspamowym, o ile zadania te nie są wykonywane automatycznie. 5. Definicje wzorców wirusów muszą być aktualizowane codziennie. 6. W celu zabezpieczenia systemu przed ingerencją z zewnątrz, cały ruch sieciowy z siecią publiczną jest monitorowany na bieżąco przez bramę antywirusową w routerze sieciowym, spełniającym jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną.

6 7. Wykrycie wirusa oraz nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. użytkownik komputera ma obowiązek niezwłocznie zgłosić ASI. 8. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe na którym wirusa wykryto oraz wszystkie wymienne nośniki posiadane przez użytkownika. Sprawdzana jest także cała sieć Urzędu. przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej system jest chroniony zasilaczami awaryjnymi (UPS). 9. Każda jednostka komputerowa jest zabezpieczona hasłem do BIOS-a. 10. ASI lub osoba przez niego upoważniona monitoruje stan systemu, ruch użytkowników w sieci oraz próby ingerencji z zewnątrz w system. Informacje o odbiorcach, w rozumieniu art. 7 pkt. 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie osobom upoważnionym. 2. Udostępnianie danych osobowych może nastąpić wyłącznie po przedstawieniu wniosku, którego wzór stanowi załącznik Nr 3 do Instrukcji. 3. Udostępniane danych osobowych nie może być realizowane droga telefoniczną. 4. Udostępnienie danych osobowych, w jakiejkolwiek postaci, jednostkom nieuprawnionym wymaga pisemnego upoważnienia administratora danych. 5. Pracownicy przetwarzający dane osobowe prowadzą rejestry udostępnionych danych osobowych, według wzoru określonego w załączniku Nr 4 do Instrukcji zawierające co najmniej: datę udostępnienia, podstawę, zakres udostępnionych informacji oraz osobę lub instytucję dla której dane udostępniono których. 6. Aplikacje wykorzystywane do obsługi baz danych osobowych powinny zapewniać odnotowanie informacji o udzielonych odbiorcom danych, w tym co najmniej obejmować: dane odbiorcy, datę wydania, zakres udostępnionych danych. 7. Tworzy się centralną ewidencję udostępniania danych prowadzoną w formie elektronicznej oraz papierowej, która w szczególności powinna zawierać co najmniej następujące pola: nazwa odbiorcy, data udostępnienia, zakres udostępnienia. 8. Ewidencję, o której mowa w ust. 8 prowadzi ABI. 9. Kierownicy komórek organizacyjnych są zobowiązani do informowania o fakcie udostępniania danych ABI, który dokonuje odpowiednich zapisów w ewidencji o której mowa w ust. 8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych Przeglądy i konserwacje systemów oraz nośników informacji powinny być wykonywane w terminach określonych przez producenta sprzętu lub w zależności od potrzeb przez osoby posiadające upoważnienie wydane przez administratora danych. 2. Tworzy się ewidencję osób upoważnionych do wykonywania prac, o których mowa w ust. 1; 3. Ewidencję, o której mowa w ust. 3, zawierającą imię i nazwisko, datę oraz zakres wykonywanej czynności prowadzi w formie elektronicznej i papierowej ABI.

7 4. Konserwacja programów i narzędzi programowych baz danych przeprowadzana jest zgodnie z zaleceniami twórców poszczególnych programów. 5. Prace dotyczące przeglądów i konserwacji powinny uwzględniać wymagany poziom zabezpieczeń tych danych przed dostępem do nich osób nieupoważnionych. 6. Urządzenia przekazywane do naprawy należy pozbawić zapisu danych osobowych lub naprawić w obecności osoby upoważnionej przez administratora danych. 7. Nieprawidłowości ujawnione w trakcie przeglądów i konserwacji powinny być niezwłocznie usunięte, a ich przyczyny poddane ewaluacji Konserwacja baz danych przeprowadzana jest zgodnie z zaleceniami twórców poszczególnych programów. 2. ASI zobowiązany jest uaktywnić mechanizm zliczania nieudanych prób zalogowania się do systemu oraz ustawić blokadę konta użytkownika po wykryciu trzech nieudanych prób, we wszystkich systemach posiadających taką funkcję. 3. Wszystkie logi opisujące pracę systemu, logowanie użytkowników oraz rejestr z systemu śledzenia wykonywanych operacji w programie, należy przed usunięciem zapisać na nośniku wymiennym ASI prowadzi "Dziennik systemu informatycznego Urzędu Miasta i Gminy". Wzór i zakres informacji rejestrowanych w dzienniku określony jest w załączniku Nr Wpisów do dziennika może dokonywać Administrator Danych, Administrator Bezpieczeństwa Informacji lub osoby przez nich wyznaczone. Zasady korzystania ze sprzętu komputerowego i systemów informatycznych Tworzenie kont w systemach, nadawanie, modyfikacja oraz usunięcie uprawnień, instalacja lub deinstalacja oprogramowania, grupowa instalacja lub deinstalacja, wydanie lub przekonfigurowanie sprzętu realizuje ASI na pisemny wniosek osoby zainteresowanej. 2. Sprzęt komputerowy oraz zainstalowane na nim oprogramowanie, jakie zostało oddane użytkownikowi w okresie jego pracy, może być wykorzystywany tylko do celów służbowych. 3. Użytkownik dba o powierzony mu sprzęt oraz chroni go przed szkodliwym wpływem warunków zewnętrznych, zniszczeniem i kradzieżą. 4. Użytkownicy nie mogą udostępniać innym osobom indywidualnych identyfikatorów (nazwa użytkownika, token, karta inteligentna i inne dane umożliwiające uwierzytelnienie). 5. Użytkownikom zabrania się: 1) omijania mechanizmów kontroli (np. używania serwerów proxy); 2) testowania wdrożonych zabezpieczeń; 3) skanowania urządzeń sieciowych, serwerów oraz stacji roboczych pod kątem badania świadczonych usług; 4) wyłączania programów uruchamianych automatycznie przy starcie systemu; 5) przyłączania i użytkowania prywatnego sprzętu, w tym używania prywatnych nośników danych; 6) podejmowania jakichkolwiek prób ingerencji w sprzęt komputerowy, poza czynnościami związanymi z codzienną eksploatacją; 7) przechowywania na sprzęcie służbowym gier oraz plików multimedialnych np. filmów, obrazów, dźwięków nie związanych z zadaniami służbowymi.

8 14. Na sprzęcie komputerowym instaluje się oprogramowanie do ilościowej jak i jakościowej kontroli użytkowników, które stosuje się w celu okresowej kontroli wykorzystania sprzętu służbowego przez użytkowników. 15. Kończąc świadczenie pracy w Urzędzie, użytkownik ma obowiązek przekazać wszystkie dane (dokumenty papierowe, pliki oraz inne posiadane informacje) związane z wykonywanymi zadaniami służbowymi przełożonemu. Zasady korzystania z poczty elektronicznej Nadzór i opiekę techniczną nad systemem poczty elektronicznej sprawuje ASI użytkownik zobowiązany jest do sprawdzania własnej skrzynki poczty elektronicznej. 2. Poczta elektroniczna jest wykorzystywana tylko do celów służbowych. 3. Zabrania się rozsyłania m.in.: 1) ogłoszeń komercyjnych; 2) tzw. łańcuszków szczęścia (listów, które wykorzystując elementy socjotechniki generują niepożądany ruch na serwerach poczty elektronicznej); 3) treści wulgarnych; 4) materiałów erotycznych; 5) treści niezgodnych z obowiązującymi przepisami prawa; 6) treści prawem chronionych bez odpowiedniego zabezpieczenia np. szyfrowanie. 4. Korespondencja, którą przechowuje i dostarcza system pocztowy jest własnością administratora danych. 5. Pracodawca w celach dowodowych oraz bezpieczeństwa systemów ma prawo do kontroli skrzynek pocztowych użytkowników o wynikach kontroli informuje się użytkownika. 6. Nie należy otwierać linków oraz załączników poczty elektronicznej ze źródeł niewiadomego pochodzenia. 7. W przypadku dostępu do poczty elektronicznej z sieci Internet, należy przeczytać uważnie pojawiające się w przeglądarce komunikaty o alertach bezpieczeństwa i nigdy nie ignorować ostrzeżeń. 8. Nie zaleca się logowania do systemów poczty elektronicznej z komputerów dostępnych publicznie (np. kafejki internetowe). 9. Użytkownik zobowiązany jest do okresowej archiwizacji wiadomości lub ich kasowania z uwagi na ograniczenia pojemności skrzynki. Zasady korzystanie z Internetu Użytkownicy korzystają z dostępu do Internetu tylko w celach służbowych. 2. Praca w sieci Internet nie może zagrażać bezpieczeństwu systemów informatycznych. 3. Administrator danych może wprowadzić kategoryzację stron internetowych oraz zablokować dostęp do wybranych kategorii. 4. Odblokowanie witryny internetowej może nastąpić na pisemny wniosek kierownika komórki organizacyjnej.

9 5. Zabrania się: 1) wykorzystywania sieci Internet w sposób, który mógłby narazić administratora danych na utratę dobrego imienia; 2) pobierania oprogramowania, nie związanego z wykonywanymi obowiązkami służbowymi; 3) podłączania sieci Internet do fizycznie odseparowanych sieci; 4) udostępniania łącza internetowego dostarczonego przez Pracodawcę innym osobom bez zgody kierownika komórki organizacyjnej oraz ASI; 5) instalowania urządzeń udostępniających przez Internet na sprzęcie Pracodawcy bez zgody kierownika komórki organizacyjnej oraz ASI.... (imię i nazwisko pracownika)... (stanowisko)... (wydział) Wniosek o rejestrację w systemie informatycznym Proszę o rejestrację w/w pracownika w następującym systemie (systemach) informatycznym: Zakres uprawnień w systemie: Data uruchomienia konta w systemie:..... (podpis pracownika) (podpis przełożonego) Wyrażam zgodę / Nie wyrażam zgody... (podpis Administratora Danych ) Nadano identyfikator:..... (podpis ABI) (podpis administratora systemu)

10 Rejestr użytkowników systemu informatycznego Urzędu Gminy Ostrówek Lp. Imię i Nazwisko Identyfikator Data nadania uprawnień Data odebrania uprawnień Przyczyna odebrania uprawnień

11 WNIOSEK O UDOSTĘPNIENIE DANYCH ZE ZBIORU DANYCH OSOBOWYCH 1. Wniosek do (dokładne oznaczenie administratora danych) 2.Wnioskodawca (nazwa firmy i jej siedziba albo nazwisko, imię i adres zamieszkania wnioskodawcy, ew. NIP oraz nr REGON) 3. Podstawa prawna upoważniająca do pozyskania danych albo wskazanie wiarygodnie uzasadnionej potrzeby posiadania danych w przypadku osób innych niż wymienione w art. 29 ust. 1 ustawy o ochronie danych osobowych: *? ew. cd. w załączniku nr Wskazanie przeznaczenia dla udostępnionych danych: *? ew. cd. w załączniku nr Oznaczenie lub nazwa zbioru, z którego mają być udostępnione dane: Zakres żądanych informacji ze zbioru: *? ew. cd. w załączniku nr Informacje umożliwiające wyszukanie w zbiorze żądanych danych: *? ew. cd. w załączniku nr... Jeżeli TAK, to zakreśl kwadrat literą "x". (miejsce na znaczki opłaty skarbowej)... (data, podpis i ew. pieczęć wnioskodawcy)

12 DZIENNIK SYSTEMU INFORMATYCZNEGO URZĘDU GMINY Ostrówek Wpisu dokonał Lp. Data wpisu Opis zdarzenia (Imię, Nazwisko, Stanowisko) Podpis (imię i nazwisko)... (stanowisko, jednostka organizacyjna) OŚWIADCZENIE (wzór) Ja niżej podpisany oświadczam, że znana mi jest treść przepisów: 1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; 2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3. Zarządzenia Nr 7/2013 Wójta Gminy Ostrówek z dnia 24 stycznia 2013 r. w sprawie polityki bezpieczeństwa informacji w Urzędzie Gminy Ostrówek i wydanych na jej podstawie: a) polityki bezpieczeństwa danych osobowych, b) instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych i zobowiązuję się nie ujawniać nikomu w żaden sposób i nie wykorzystywać informacji związanych z przetwarzanymi danymi osobowymi, z którymi się zapoznałam(em) w związku z wykonywaną pracą, oraz zachować w tajemnicy sposoby ich zabezpieczenia.... (potwierdzenie ważności podpisu)... (podpis pracownika)

13 Rejestr użytkowników oraz ich uprawnień do przetwarzania danych osobowych w systemie informatycznym w Urzędzie Gminy Ostrówek (wzór) Lp. Identyfikator użytkownika Zmiany danych Imię i nazwisko Zakres upoważnienia do przetwarzania danych osobowych Data nadania uprawnień w systemie Data odebrania uprawnień Data i podpis ASI Rejestr Udostępnianych Danych Osobowych (Wzór) Lp. Data udostępnienia Podstawa prawna Zakres udostępnionych informacji Osoba lub instytucja dla której dane udostępniono Podpis osoby udostępnia jącej

14