ZARZĄDZENIE NR WÓJTA GMINY GRĘBOCICE. z dnia 11 lipca 2013 r.

Transkrypt

1 ZARZĄDZENIE NR 85. WÓJTA GMINY GRĘBOCICE z dnia 11 lipca r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy Grębocice Na podstawie art Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz. 926 ze zm.) oraz 3 ust. 3 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024) zarządzam, co następuje: 1. Wprowadzam Politykę Bezpieczeństwa Informacji w oparciu o Normę PN-ISO/IEC 17799:2007 w Urzędzie Gminy w Grębocicach, stanowiącą załącznik nr 1 do zarządzenia. 2. Wdrożenie dokumentacji wskazanej w 1 powierzam Administratorowi Bezpieczeństwa Informacji Urzędu Gminy Grębocice. 3. Zarządzenie wchodzi w życie z dniem 10 czerwca r. Wójt Gminy Grębocice Roman JABŁOŃSKI Id: F93443C2-F0A0-43E5-8B Podpisany Strona 1 z 36

2 Załącznik Nr 1 do Zarządzenia Nr 85. Wójta Gminy Grębocice z dnia 11 lipca r. POLITYKA BEZPIECZEŃSTWA INFORMACJI W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Miejsce przeznaczenia: Urząd Gminy Grębocice Opracowanie: Administrator Bezpieczeństwa Informacji Id: F93443C2-F0A0-43E5-8B Podpisany Strona 2 z 36

3 POLITYKA BEZPIECZEŃSTWA INFORMACJI Część Pierwsza- Ogólna W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Wprowadzenie W coraz większym stopniu instytucje, ich systemy i sieci informatyczne stają w obliczu zagrożeń pochodzących z rozmaitych źródeł, takich jak oszustwa dokonywane za pomocą komputerów, komunikatorów, urządzeń mobilnych oraz sieci. Maskarady, szpiegostwo, sabotaż, wandalizm, pożar lub powódź to zjawiska aktywnej lub losowej utraty informacji oraz danych. Odpowiednie zabezpieczenia, ochrona przetwarzanych danych, niezawodność funkcjonowania oraz systematyczna i wielowątkowa organizacja edukacji użytkowników stają się podstawowymi wymogami stawianymi współczesnym systemom informatycznym, a informacja oraz wspierające ją procesy, systemy i sieci są ważnymi aktywami działalności każdej jednostki organizacyjnej. Jednym słowem poufność, dostępność i integralność informacji ma podstawowe znaczenie dla utrzymania konkurencyjności, płynności finansowej, zysku i zgodności z przepisami prawa oraz wizerunku jednostki. 1 W związku z powyższym oraz zgodnie z 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024), administrator danych obowiązany jest do opracowania (w formie pisemnej) i wdrożenia polityki bezpieczeństwa. Pojęcie polityka bezpieczeństwa, użyte w rozporządzeniu należy rozumieć, jako zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (tutaj danych osobowych) wewnątrz organizacji. 2 Dokument zwraca uwagę na konsekwencje, jakie mogą ponosić osoby przekraczające określone granice oraz procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń. Jednocześnie deklaruje zaangażowanie kierownictwa i wyznacza procesowe podejście instytucji do zarządzania bezpieczeństwem informacji. Ponadto niektóre zabezpieczenia opisane w niniejszym dokumencie są traktowane jako zasady przewodnie w zarządzaniu bezpieczeństwem informacji, możliwe do zastosowania i zapewniające odpowiedni punkt wyjścia dla procesu wdrażania bezpieczeństwa informacji. 1 ISO/IEC Technika informatyczna - Praktyczne zasady zarządzania bezpieczeństwem informacji 2 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Id: F93443C2-F0A0-43E5-8B Podpisany Strona 3 z 36

4 Omawiane zasady opierają się na obowiązujących uregulowaniach prawnych, a należą do nich w szczególności: ochrona danych osobowych i prywatności osób, ochrona dokumentów instytucji, prawa własności intelektualnej, dokumenty polityki bezpieczeństwa informacji, odpowiedzialność związana z bezpieczeństwem informacji, edukacja w dziedzinie bezpieczeństwa informacji, wsparcie i zaangażowanie kadry kierowniczej, upowszechnianie wytycznych dotyczących polityki bezpieczeństwa informacji wszystkich użytkowników, wśród zgłaszanie przypadków naruszenia bezpieczeństwa. 3 Głównym celem POLITYKI BEZPIECZEŃSTWA INFORMACJI (PBI) jest organizacyjne, fizyczne i logiczne zabezpieczenie posiadanych danych osobowych, oraz systematyczne edukowanie użytkowników systemu ochrony danych osobowych. Odpowiedzialność za realizacje ochrony danych ponoszą WSZYSCY UŻYTKOWNICY w proporcjonalnie nadanych uprawnieniach. PBI jest jednocześnie materiałem określającym zadania w zakresie właściwej realizacji poufności i integralności danych osobowych przez nadanie uprawnień legalizujących przetwarzanie danych użytkownikom systemu ochrony informacji. Rozdział I Przepisy ogólne, definicje oraz objaśnienia 1 Polityka Bezpieczeństwa Informacji uwzględnia wymagania dotyczące zarządzania bezpieczeństwem informacji zawarte w Normie PN-ISO/IEC 17799:2007 oraz w poniższych dokumentach: 1. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. nr 101, poz. 926 z późn. zmian.), 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024) 3 ISO/IEC Technika informatyczna - Praktyczne zasady zarządzania bezpieczeństwem informacji Id: F93443C2-F0A0-43E5-8B Podpisany Strona 4 z 36

5 3. Norma PN - ISO/IEC 17799:2007 Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji, Norma PN-ISO/IEC 17799:2007 Technika informatyczna - Praktyczne zasady zarządzania bezpieczeństwem informacji. Powyższa norma wskazuje zalecenia w zakresie zarządzania bezpieczeństwem informacji do wykorzystania przez wszystkich tych, którzy są odpowiedzialni za inicjowanie, wdrażanie oraz utrzymywanie bezpieczeństwa w organizacji, którą jest Urząd Gminy w Grębocicach. Zamiarem jest dostarczenie wszystkim użytkownikom możliwie najpełniejszej wiedzy w celu ujednolicenia norm bezpieczeństwa i efektywnej praktyki zarządzania bezpieczeństwem informacji oraz zapewnienie zaufania w stosunkach pomiędzy współpracującymi z Urzędem Gminy organizacjami i klientami. a) Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na: 1. numer identyfikacyjny [PESEL] albo jeden z kilku specyficznych czynników określających jej cechy 2. fizyczne, 3. zdrowia, 4. fizjologiczne, 5. umysłowe, 6. ekonomiczne, 7. kulturowe lub społeczne; Wykorzystanie danych osobowych w procesach przetwarzania może obejmować inne dane w granicach określonych odrębnymi przepisami prawa. b) Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony (jego części znajdują się w różnych miejscach) lub podzielony funkcjonalnie (przetwarzany za pomocą programów realizujących zróżnicowane funkcje); wykorzystywany w bieżącej pracy komórek organizacyjnych Urzędu Gminy; c) Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i usuwanie; zwłaszcza takie, które wykorzystuje się w systemach informatycznych; d) System informatyczny - system przetwarzania informacji realizowany w Urzędzie Gminy, wraz ze związanymi z nimi ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje. Ochronie podlegają nie tylko informacje osobowe, ale także użytkownicy, zasoby techniczne oraz metody ochrony informacji, oraz wiedza Wykonawcy procesu nadzoru technicznego o zakresach przetwarzanych danych w Urzędzie Gminy w Grębocicach. e) Bezpieczeństwo systemu informatycznego - wdrożenie stosowanych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów informacyjnych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub nieuprawnionym pozyskaniem danych osobowych, a także ich utratą (zamierzoną lub przypadkową); Id: F93443C2-F0A0-43E5-8B Podpisany Strona 5 z 36

6 f) Administrator Danych Osobowych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. g) Administratorem Danych Osobowych jest Urząd Gminy reprezentowany przez Wójta Gminy, który ponosi pełnię odpowiedzialności wynikającej z przepisów ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych osobowych znajdujących się w jego ustawowej i statutowej dyspozycji; h) Administrator Bezpieczeństwa Informacji (ABI) - należy przez to rozumieć osobę / podmiot (uprawnionych reprezentantów) wyznaczoną przez Administratora Danych Osobowych do nadzorowania przestrzegania zasad ochrony oraz wymagań w zakresie ochrony, wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych. i) Administrator Systemów Informatycznych (ASI) - należy przez to rozumieć wykonawcę (uprawnionych przedstawicieli) z zakresu informatyki odpowiedzialnego za stosowanie technicznych i organizacyjnych środków ochrony danych osobowych w systemach informatycznych, j) Użytkownik osoba posiadająca upoważnienie wydane przez ADO i uprawniona do przetwarzania danych osobowych w odpowiedniej komórce organizacyjnej, lub zgodnie z umową zlecenia / o dzieło w zakresie wskazanym w upoważnieniu, k) Identyfikator użytkownika (LOGIN) - ciąg znaków literowych i cyfrowych, lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; l) Hasło (Password) - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; ł) Zalogowanie - uwierzytelnienie czyli działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu; m) Odbiorcy danych osobowych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a. osoby, której dane dotyczą, b. osoby, upoważnionej do przetwarzania danych, c. przedstawiciela, o którym mowa w art. 31 a ustawy o ochronie danych osobowych, d. podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych, e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. Schemat organizacyjny ADMINISTRATOR DANYCH OSOBOWYCH /ADO/ WÓJT GMINY GRĘBOCICE Id: F93443C2-F0A0-43E5-8B Podpisany Strona 6 z 36

7 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI /ABI/ SEKRETARZ GMINY ADMINISTRATOR SYSTEMU INFORMATYCZNEGO /ASI/ WYKONAWCA W ZAKRESIE ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM 2 1. Polityka Bezpieczeństwa Informacji w uporządkowanej formie opisuje działania organizacyjne i techniczne, których celem jest zapewnienie bezpieczeństwa danych osobowych w Urzędzie Gminy oraz w relacjach powierzania danych osobowych wykonawcom w ramach realizowanych projektów lub umów. 2. Polityka Bezpieczeństwa Informacji ustala zakresy obowiązków osób i innych organizacji w procesie obiegu i ochrony informacji. Określa zakres przetwarzanych danych osobowych w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych Dostęp do zbioru danych osobowych oraz ich przetwarzania posiadają wyłącznie osoby wpisane do Rejestru wydanych upoważnień prowadzonej przez Administratora Bezpieczeństwa Informacji. 2. Osoby użytkowników zaangażowanych w procesie przetwarzania danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania. Użytkownicy zaangażowani w procesie przetwarzania danych osobowych w systemach informatycznych zobowiązani są do postępowania zgodnie z Instrukcją Zarządzania Systemem Informatycznym Użytkownicy przetwarzający dane osobowe zobowiązani są do informowania Administratora Bezpieczeństwa Informacji o ewentualnych incydentach / naruszeniach bezpieczeństwa systemu ochrony danych osobowych we wszystkich administrowanych zbiorach. 2. Tryb postępowania określa rozdział pomocniczy - Instrukcja postępowania w sytuacjach naruszenia ochrony danych osobowych. 5 Id: F93443C2-F0A0-43E5-8B Podpisany Strona 7 z 36

8 Użytkownik który przetwarza w zbiorze danych: dane osobowe, do których przetwarzania nie jest upoważniony Podlega odpowiedzialności karnej zgodnie z Ustawą o ochronie danych osobowych oraz dyscyplinarnej określonej przepisami kodeksu pracy. Rozdział II Gromadzenie danych osobowych Dane osobowe przetwarzane w Urzędzie Gminy mogą być uzyskiwane: 1) Bezpośrednio od osób, których te dane dotyczą, w zakresie: a) Spełnienia obowiązku wynikającego z przepisów prawa; b) Oświadczenia woli; 2) Z innych źródeł, w granicach dozwolonych przepisami prawa 1 2 Zbierane dane osobowe mogą być wykorzystane wyłącznie do celów, w jakich są lub będą przetwarzane. Po wykorzystaniu danych osobowych, powinny być one przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą (anonimizacja danych). Rozdział III Obowiązek informacyjny 1 Urząd Gminy odpowiedzialny jest za poinformowanie osób, których dane przetwarzają o: 1. Adresie siedziby, gdzie są zbierane i przetwarzane, 2. Celu zbierania danych, dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej, 3. Prawie dostępu do treści swoich danych osobowych oraz ich poprawienia. W przypadku zbierania danych osobowych nie od osób, których one dotyczą, osoby której dotyczą należy poinformować ponadto o: 1. Źródle danych, 2. Uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 ustawy o ochronie danych osobowych (prawie do wniesienia sprzeciwu). 2 Materiały dotyczące działalności (wszelkie rodzaje inicjatyw korespondencyjnych jak przesyłki, ulotki promocyjne, zaproszenia) mogą być wysłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 8 z 36

9 Rozdział IV Udzielanie informacji o przetwarzaniu danych osobowych 1 1. Osobom, których dane przetwarza się w zbiorze danych, przysługuje prawo kontroli treści ich danych osobowych, a szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych. 2. Każda osoba, która wystąpi z wnioskiem o otrzymanie informacji, otrzymuje odpowiedź na piśmie w terminie nie przekraczającym 30 dni od daty wpłynięcia wniosku, w formie pisemnej. 3. W przypadku gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy o ochronie danych osobowych, albo są zbędne do realizacji celu, dla którego zostały zebrane, użytkownik przetwarzający merytorycznie dane osobowe jest zobowiązany do ich uzupełnienia, uaktualnienia lub sprostowania. Rozdział V Ochrona przetwarzania zbiorów danych osobowych 1 Urząd Gminy jako ADO przestrzega zasad i przepisów oraz środków organizacyjnych i technicznych, zapewniających ochronę przetwarzanych danych, w szczególności przed ich udostępnianiem, kradzieżą, uszkodzeniem lub zniszczeniem przez osoby nieupoważnione. Realizacja nadzoru określona jest zakresem zadań ABI i podmiotu realizującego zadania ASI. Zabezpieczenia wykonane w Urzędzie Gminy na bieżąco monitoruje ABI. 2 W celu realizacji powierzonych zadań Administrator Bezpieczeństwa Informacji ma prawo działać zgodnie z zakresem ustalonych zadań - załącznik zadania ABI. Rozdział VI Zasady udostępnienia i powierzania danych osobowych Urząd Gminy udostępnia dane osobowe przetwarzane we własnych zbiorach / w zbiorach powierzanych, wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania z mocy przepisów prawa Zbiory danych udostępnia się na pisemny wniosek, chyba że przepisy prawa stanowią inaczej w trybie art.23 UODO. 2. Wniosek jest rozpatrywany przez Administratora Danych Osobowych. 3. Decyzję w sprawie udostępnienia podejmuje Administrator Danych Osobowych osobiście lub inna upoważniona osoba. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 9 z 36

10 4. Administrator Danych Osobowych Urząd Gminy może odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób Urząd Gminy jako administrator danych może przetwarzanie danych osobowych powierzyć innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej wzór umowy stanowi załącznik do PBI. 2. Podmiot, o którym mowa w ust. 1 zobowiązany jest do zastosowania środków organizacyjnych i technicznych zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych. POLITYKA BEZPIECZEŃSTWA INFORMACJI Część Druga INSTRUKCJA POSTĘPOWANIA W SYTUACJACH NARUSZENIA OCHRONY DANYCH OSOBOWYCH W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Id: F93443C2-F0A0-43E5-8B Podpisany Strona 10 z 36

11 INSTRUKCJA POSTĘPOWANIA W SYTUACJACH NARUSZENIA OCHRONY DANYCH OSOBOWYCH Celem instrukcji jest określenie sposobu postępowania w przypadku, gdy: 1 1. Stwierdzono naruszenie zabezpieczenia systemu informatycznego w obszarze danych osobowych. 2. Stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób zaangażowanych w procesach przetwarzania danych osobowych w systemach informatycznych / nieinformatycznych. 3 Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub jakiegokolwiek elementu systemu informatycznego, a w szczególności: 1. nieautoryzowany dostęp do danych, 2. nieautoryzowane modyfikacje lub zniszczenie danych, 3. udostępnienie danych nieautoryzowanym podmiotom, Id: F93443C2-F0A0-43E5-8B Podpisany Strona 11 z 36

12 4. nielegalne ujawnienie danych, 5. pozyskiwanie danych z nielegalnych źródeł. 4 W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego lub ABI (ewentualnie osobę przez niego upoważnioną), a następnie postępować stosownie do podjętej przez niego decyzji. Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać: 1. opisanie symptomów naruszenia ochrony danych osobowych, 2. określenie sytuacji i czasu w jakim stwierdzono naruszenie ochrony danych osobowych, 3. określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia, 4. określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia. 5 Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu: a) minimalizację negatywnych skutków zdarzenia, b) wyjaśnienie okoliczności zdarzenia, c) zabezpieczenie dowodów zdarzenia, d) umożliwienie dalszego bezpiecznego przetwarzania danych. 6 W celu realizacji zadań niniejszej Instrukcji Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: a) żądania wyjaśnień od pracowników, b) korzystania z pomocy konsultantów, c) nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. 7 Polecenie Administratora Bezpieczeństwa Informacji wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji traktowana będzie jako naruszenie obowiązków pracowniczych. 9 Id: F93443C2-F0A0-43E5-8B Podpisany Strona 12 z 36

13 Administrator Bezpieczeństwa Informacji po zażegnaniu sytuacji nadzwyczajnej opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy. 11 Jeżeli skutkiem działania określonego w 10 jest ujawnienie informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego. 12 Jeżeli skutkiem działania określonego w 10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Kodeksu Cywilnego. Zakres praw i obowiązków Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego 1. Administrator Bezpieczeństwa Informacji odpowiada za bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych w zakresie zgodności zasad postępowania przy przetwarzaniu danych z obowiązującymi przepisami o ochronie danych osobowych. 2. Do zadań Administratora Bezpieczeństwa Informacji należy w szczególności: 1) Nadzór nad zasadami zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe oraz kontrolą przebywających w nich osób, 2) Nadzór merytoryczny nad prowadzeniem ewidencji wydanych upoważnień i oświadczeń, 3) Nadzór nad przechowywaniem kopii zapasowych poprzez ewidencje prowadzoną przez ASI, 4) Nadzór i kontrola ASI, oraz pozostałych użytkowników upoważnionych do przetwarzania danych osobowych, 5) Organizacja zajęć oraz szkolenie instruktażowe pracowników z zakresu ochrony danych, a także informowanie użytkowników o zmianach w systemie ochrony danych osobowych. 3. Do zadań Administratora Systemu Informatycznego należy: 1) Nadzór nad uprawnieniami użytkowników, w procesach przetwarzania danych w systemie informatycznym Urzędu Gminy, 2) Zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany, Id: F93443C2-F0A0-43E5-8B Podpisany Strona 13 z 36

14 3) Nadzór nad czynnościami związanymi z zarządzaniem systemami w zakresie: a. obecności wirusów, b. częstości ich sprawdzania oraz nadzorowanie wykonywanych procedur uaktualnienia systemów antywirusowych i ich konfiguracji, c. rejestru nośników, d. ewidencji wejścia/wyjścia osób trzecich do stref lub obszarów specjalnych, 4) Wykonywanie kopii zapasowych systemu informatycznego, weryfikacją przydatności kopii a także likwidacją nośników, 5) Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych, 6) Zapewnienie bezawaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych, Id: F93443C2-F0A0-43E5-8B Podpisany Strona 14 z 36

15 POLITYKA BEZPIECZEŃSTWA INFORMACJI Część Trzecia INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Id: F93443C2-F0A0-43E5-8B Podpisany Strona 15 z 36

16 I. Rozdział Pierwszy INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 1. Cel instrukcji Instrukcja określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych, przez administratora danych tj w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. Wszelkie urządzenia i wyposażenie w zakresie zabezpieczenia informacji stanowią własność pracodawcy i podlegają ochronie zgodnie z odrębnymi przepisami (regulamin pracy). 2. Definicje Ilekroć w instrukcji jest mowa o: 1) administratorze bezpieczeństwa informacji rozumie się przez to osobę /podmiot/ nadzorującą przestrzeganie zasad bezpieczeństwa i ochrony danych osobowych w Urzędzie Gminy w Grębocicach; 2) administratorze systemu informatycznego rozumie się przez to wykonawcę któremu powierzono techniczny nadzór nad funkcjonowaniem i zabezpieczeniem sytemu informatycznego, 1) haśle rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi, 2) identyfikatorze rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 3) integralności danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 4) odbiorcy danych rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, Id: F93443C2-F0A0-43E5-8B Podpisany Strona 16 z 36

17 b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a ustawy, d) podmiotu, o którym mowa w art. 31 ustawy, e) organów państwowych lub organów samorządu terytorialnego, 5) poufności danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom lub podmiotom, 6) rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 7) rozporządzeniu rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U nr 100, poz. 1024), 8) sieci publicznej rozumie się przez to publiczną sieć telekomunikacyjną w rozumieniu art. 2 pkt. 29 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U nr 171, poz.1800 ze zm.), 9) sieci telekomunikacyjnej rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt. 35 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, (Dz.U nr 171, poz.1800 ze zm.), 10) serwisancie rozumie się przez to reprezentanta podmiotu zajmującego się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego lub oprogramowania, 11) systemie informatycznym rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych, 12) uwierzytelnianiu rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (przedstawiciela), 13) użytkowniku rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 17 z 36

18 II. Rozdział Drugi Poziom bezpieczeństwa w Urzędzie Gminy w Grębocicach. Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się poziom wysoki bezpieczeństwa w rozumieniu 6 rozporządzenia. 1. Administrator systemu informatycznego prowadzi elektroniczny system ewidencji: a. sprzętu komputerowego, b. osób pracujących w systemie, c. nadanych uprawnień pracownikom do właściwych systemów informatycznych, d. miejsc przetwarzania danych osobowych, e. kopii bezpieczeństwa 2. Ewidencje sprzętu komputerowego mogą być prowadzone również w formie papierowej. III. Rozdział Trzeci 1) Nadawanie i rejestrowanie uprawnień a. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana jako użytkownik w tym systemie przez administratora systemu informatycznego. b. Rejestracja użytkownika, o której mowa w pkt. 1, polega na nadaniu identyfikatora oraz przydzieleniu hasła a także wprowadzeniu tych danych do bazy użytkowników systemu. c. Administrator systemu informatycznego, prowadzi ewidencję pracowników oraz innych upoważnionych użytkowników zarejestrowanych w systemie informatycznym. 2) Wyrejestrowywanie uprawnień użytkownika Wyrejestrowania użytkownika z systemu informatycznego dokonuje administrator systemu informatycznego. Wyrejestrowanie, o którym mowa w ust. 1, może mieć charakter czasowy lub trwały. Wyrejestrowanie następuje poprzez: a. zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe), Id: F93443C2-F0A0-43E5-8B Podpisany Strona 18 z 36

19 b. usunięcie danych użytkownika z bazy systemu (wyrejestrowanie trwałe). c. Przyczyną trwałego wyrejestrowania użytkownika z systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego zaangażowany był użytkownik. 3) Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem. Identyfikator Identyfikator składa się z imienia oraz nazwiska użytkownika, lub innego ustalonego identyfikatora w zakresie adekwatnym do przetwarzania określonych danych osobowych. W identyfikatorze pomija się polskie znaki diakrytyczne. Taki sposób nadawania identyfikatorów gwarantuje ich unikalność. 4) Hasło użytkownika a. Hasło powinno składać się z unikalnego zestawu co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie może być identyczne z identyfikatorem użytkownika ani jego imieniem lub nazwiskiem. b. System informatyczny wymusza zmianę hasła nie rzadziej niż 30 dni; administrator bezpieczeństwa informacji może, w uzasadnionych sytuacjach, polecić dokonanie zmiany hasła przez użytkownika. c. Zabrania się użytkownikom systemu udostępniania swojego identyfikatora i hasła innym osobom oraz korzystania przez osoby upoważnione do przetwarzania danych osobowych z identyfikatora lub hasła innego użytkownika. 5) Procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu Tryb pracy na poszczególnych stacjach roboczych a. Rozpoczęcie pracy na stacji roboczej następuje po włączeniu napięcia w listwie zasilającej, włączeniu zasilacza awaryjnego (UPS), o ile dane stanowisko jest w taki zasilacz wyposażone, i komputera, a następnie wprowadzeniu indywidualnego, znanego tylko użytkownikowi, hasła i identyfikatora. b. W pomieszczeniu, w którym przetwarzane są dane osobowe, mogą znajdować się osoby postronne tylko w obecności lub za zgodą upoważnionego użytkownika. c. Przed osobami postronnymi należy chronić ekrany komputerów (ustawienie monitora powinno uniemożliwiać pogląd), wydruki znajdujące się na biurkach oraz szafach biurowych. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 19 z 36

20 d. Monitory komputerów wyposażone są w wygaszacze ekranu, czas inicjowania wygaszacza zgodnie z zaleceniami ASI. Wznowienie wyświetlenia następuje po wprowadzeniu odpowiedniego hasła przez użytkownika. e. Jednostkowe dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich odpowiednim zaszyfrowaniu i przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii dane należy trwale skasować lub zniszczyć nośniki, na których są przechowywane. f. Obowiązuje zakaz wynoszenia poza obszar jednostki organizacyjnej danych na nieautoryzowanych nośnikach. Przed opuszczeniem pomieszczenia służbowego należy: a. Zabezpieczyć w zamykanych na klucz urządzeniach wszelkie wykonane wydruki zawierające dane osobowe, b. Umieścić w zamykanych na klucz szafach wszelkie akta [dokumentację interesantów i inną dokumentację osobową] zawierające dane osobowe, c. Sprawdzić zamknięcie okien. d. Użytkownicy, którym zostały powierzone komputery przenośne podpisują umowę przekazania urządzenia do użytku służbowego. e. Przy przetwarzaniu danych osobowych na komputerach przenośnych obowiązują procedury określone w niniejszej instrukcji. f. Użytkownicy, którym zostały powierzone komputery przenośne, powinni chronić je przed uszkodzeniem lub utratą, szczególną ostrożność należy zachować podczas ich przenoszenia i transportu. g. Praca na komputerze przenośnym możliwa jest po wprowadzeniu hasła i indywidualnego identyfikatora użytkownika. h. Obowiązuje zakaz samodzielnej modernizacji oprogramowania i sprzętu w powierzonych komputerach przenośnych. Wszelkie zmiany mogą być dokonywane tylko pod nadzorem administratora systemu, stosownie do wymagań niniejszej instrukcji. W razie wystąpienia usterek w pracy komputerów przenośnych lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zgłosić to administratorowi systemu Id: F93443C2-F0A0-43E5-8B Podpisany Strona 20 z 36

21 informatycznego. i. Komputery przenośne wyposażone są w odpowiednie programy ochrony antywirusowej, których aktualizację wykazuje automatycznie system. 6) Procedury tworzenia kopii zapasowych a. W systemie informatycznym kopie zapasowe tworzy administrator systemu informatycznego. b. Dostęp do kopii bezpieczeństwa mają wyłącznie administrator systemu informatycznego i administrator bezpieczeństwa informacji. c. Nośniki zawierające kopie zapasowe należy oznaczać jako Kopia zapasowa dzienna/tygodniowa/miesięczna wraz z podaniem daty sporządzenia. 7) Testowanie kopii W celu zapewnienia poprawności wykonywanych kopii bezpieczeństwa należy co najmniej raz w tygodniu poddać testowi cyklicznie wybraną kopię. Próba polega na odtworzeniu danych w warunkach testowych i sprawdzeniu, możliwości odczytania danych. 8) Przechowywanie kopii a. Kopie zapasowe przechowuje się w wyznaczonym pomieszczeniu, w kasecie metalowej zamykanej na klucz przeznaczonej wyłącznie do przechowywania kopii bezpieczeństwa. Dostęp do kopii posiada administrator systemu informatycznego. b. Każde wydanie i przyjęcie lub jakiekolwiek użycie kopii jest odnotowywane w ewidencji kopii zapasowych. 9) Likwidacja nośników zawierających kopie Nośniki zawierające nieaktualne kopie danych likwiduje się komisyjnie. W przypadku nośników jednorazowych, takich jak płyty CD-R, DVD-R, likwidacja polega na ich zniszczeniu w sposób uniemożliwiający odczytanie zawartości. IV. Rozdział Czwarty 1. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe a. Zbiory danych przechowywane są na serwerze plików obsługującym system informatyczny administratora danych. b. W przypadku posługiwania się nośnikami danych pochodzącymi od podmiotu zewnętrznego użytkownik jest zobowiązany do sprawdzenia go programem antywirusowym. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 21 z 36

22 2. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego a. Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie odbywa się przy wykorzystaniu oprogramowania zainstalowanego na serwerze, stacjach roboczych oraz komputerach przenośnych przez administratora systemu. b. Do obowiązków administratora systemu należy aktualizacja oprogramowania antywirusowego oraz określenie częstotliwości automatycznych aktualizacji. c. Użytkownik jest obowiązany zawiadomić administratora systemu o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem. 3. Kontrola nad wprowadzaniem, przetwarzaniem i udostępnianiem danych osobowych System informatyczny administratora danych umożliwia automatycznie: 1) przypisanie wprowadzanych danych użytkownikowi (identyfikatorowi użytkownika), który te dane wprowadza do systemu, 2) sporządzenie i wydrukowanie w ramach potrzeb dla każdego użytkownika raportu zawierającego: f) datę pierwszego wprowadzenia danych do systemu administratora danych, g) identyfikatora użytkownika wprowadzającego określone dane, h) źródła danych w przypadku zbierania danych nie od osoby, której dane dotyczą, i) informacje o odbiorcach danych, którym dane osobowe zostały udostępnione, 4. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych a. Przeglądu i konserwacji systemu dokonuje administrator systemu informatycznego. b. Kontrole i testy przeprowadzane przez administratora bezpieczeństwa informacji powinny obejmować zarówno dostęp do zasobów systemu, jak i profile oraz uprawnienia poszczególnych użytkowników. 5. Naprawy urządzeń komputerowych z chronionymi danymi osobowymi a. Wszelkie naprawy urządzeń komputerowych oraz zmiany w systemie informatycznym administratora danych przeprowadzane są przez uprawnionego informatyka. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 22 z 36

23 b. Naprawy i zmiany w systemie informatycznym administratora danych przeprowadzane przez serwisanta prowadzone są pod nadzorem administratora systemu informatycznego w siedzibie administratora danych, (jeśli to możliwe) lub poza siedzibą administratora danych, po uprzednim nieodwracalnym usunięciu danych w nich przetwarzanych, a jeśli wiązałoby się to z nadmiernymi utrudnieniami, po podpisaniu umów powierzenia przetwarzania danych osobowych. 6. Postanowienia końcowe a. W sprawach nieokreślonych niniejszą instrukcją należy stosować instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów. b. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania danych z niniejszą instrukcją oraz złożyć oświadczenie, potwierdzające znajomość treści instrukcji. c. Niezastosowanie się do procedur określonych w niniejszej instrukcji przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 kodeksu pracy. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 23 z 36

24 Załączniki do Polityki Bezpieczeństwa Informacji Wzory dokumentów wewnętrznych Id: F93443C2-F0A0-43E5-8B Podpisany Strona 24 z 36

25 Załącznik nr.1 Upoważnienie Nr 01/... Działając na podstawie uprawnień nadanych mi w Urzędzie Gminy w sprawie ochrony danych osobowych oraz w oparciu o art. 37 ustawy o Ochronie Danych Osobowych, upoważniam: Panią/ Pana Imię i Nazwisko.. do przetwarzania danych/obsługi: systemu informatycznego / nieinformatycznego oraz urządzeń wchodzących w jego skład zlokalizowanych w Urzędzie Gminy służących do przetwarzania danych osobowych zawartych w zbiorze noszącym nazwę Wszystkie zbiory w Urzędzie Gminy na okres. nadania/ustania.. Identyfikator. Wyżej wymieniona osoba została zapoznana z obecnie obowiązującymi przepisami dotyczącymi ochrony danych osobowych i dopuszczona jest do ich przetwarzania jedynie w zakresie określonym w Ustawie z dnia r, o ochronie danych osobowych (tekst jednolity Dz. U z roku 2002 nr 101, poz. 926 z póżn. zm.) i wydanych do niej przepisach wykonawczych oraz w Zarządzeniu Nr.z dnia. w sprawie ochrony danych osobowych. Wymieniona osoba została wpisana do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w Urzędzie Gminy miejscowość, data administrator dany osobowych Id: F93443C2-F0A0-43E5-8B Podpisany Strona 25 z 36

26 Załącznik 2, dnia... Oświadczenie* Ja niżej podpisany(a).. zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam/ będę miał(a) dostęp w związku z wykonywaniem przeze mnie zadań służbowych i obowiązków pracowniczych w Urzędzie Gminy, zarówno w trakcie obecnie wiążącego mnie stosunku pracy, stażu, praktyki jak i po ustaniu zatrudnienia. Zobowiązuję się przestrzegać regulaminów, instrukcji i procedur obowiązujących w Urzędzie Gminy wiążących się z ochroną danych osobowych, a w szczególności nie będę bez upoważnienia służbowego wykorzystywał (a) danych osobowych ze zbiorów Urzędu Gminy. Stwierdzam, że zostałem (am) przeszkolony (a) i zrozumiałem (am) treść definicji danych osobowych w rozumieniu art. 6 Ustawy z dnia r, o ochronie danych osobowych (tekst jednolity Dz. U z roku 2002 nr 101, poz. 926) oraz aktów wykonawczych i instrukcji polityki bezpieczeństwa informacji w Urzędzie Gminy. Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane za naruszenie obowiązków pracowniczych w rozumieniu Kodeksu Pracy podpis składającego przyjmujący oświadczenie oświadczenie * oświadczenie dotyczy umów o pracę Id: F93443C2-F0A0-43E5-8B Podpisany Strona 26 z 36

27 Załącznik 3.., dnia... Oświadczenie* Ja niżej podpisany(a).. zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam/ będę miał(a) dostęp w związku z wykonywaniem umowy zawartej z Urzędu Gminy, zarówno w trakcie trwania umowy jak i po jej wygaśnięciu lub rozwiązaniu. Zobowiązuję się do ścisłego przestrzegania warunków ww. umowy, które wiążą się z ochroną danych osobowych, a w szczególności nie będę bez upoważnienia służbowego wykorzystywał (a) danych osobowych ze zbiorów w Urzędzie Gminy w celach nie związanych z wykonywaniem tej umowy. Stwierdzam, że jest mi znana definicja danych osobowych w rozumieniu art. 6 Ustawy z dnia r, o ochronie danych osobowych (tekst jednolity Dz. U z roku 2002 nr 101, poz. 926) oraz zostałem (am) zaznajomiony (a) z przepisami o ochronie danych osobowych. Przyjmuję do wiążącej wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami oznacza naruszenie warunków umowy zawartej z Urzędu Gminy podpis składającego przyjmujący oświadczenie oświadczenie *oświadczenie dotyczy umów cywilno - prawnych Id: F93443C2-F0A0-43E5-8B Podpisany Strona 27 z 36

28 Załącznik 4 umowa powierzenia i zabezpieczenia powierzonych danych osobowych przetwarzanych w procesie realizacji Projektu zawarta w dniu.. w... pomiędzy: Zamawiającym: Urzędem Gminy a Wykonawcą: 1 Wykonawca zobowiązuje się do ochrony danych, a w szczególności stosowania przepisów ustawy o ochronie danych osobowych, oraz zgodnie z powszechnie przyjętymi standardami i ustalonymi przez Strony warunkami. Obowiązek zachowania tajemnicy obejmuje wszystkich uczestników procesu realizacji umowy w szczególności wszelkich informacji, danych, a także materiałów uzyskanych w związku z zawarciem i realizacją Umowy / Projektu. 2 Zamawiający jest administratorem danych osobowych w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 (Dz.U z póź. zm. ) o ochronie danych osobowych zwanej dalej Ustawą, jednocześnie w pełni realizuje odpowiednią ochronę danych zgodnie z dyspozycją art Ustawy. 3 Zamawiający powierza a Wykonawca zobowiązuje się przetwarzać powierzone mu na podstawie art. 31 Ustawy dane osobowe wyłącznie w zakresie oraz celu związanym z realizacją postanowień niniejszej Umowy. 4 Przetwarzanie przez Wykonawcę danych osobowych w zakresie oraz celach innych niż wyraźnie wskazane powyższymi postanowieniami oraz objęte upoważnieniem udzielanym w treści niniejszej Umowy jest niedopuszczalne. 5 Dane osobowe stanowiące zbiór danych udostępniane Wykonawcy w warunkach niniejszego paragrafu, określa się w następującym zakresie: 1. nazwiska; 2. imienia; 3. nr PESEL; 4. inne niezbędne dane OBSŁUGA IT PROGRAM LUB APLIKACJA 6 Wykonawca zobowiązuje się do: 1. zastosowania przy przetwarzaniu danych osobowych, środki techniczne i organizacyjne zapewniające ochronę danych, w zakresie określonym w art a Ustawy, przedkładając Zamawiającemu oświadczenie wykazujące stosowanie właściwych środków zabezpieczenia danych osobowych (Polityki Bezpieczeństwa Informacji - PBI). Id: F93443C2-F0A0-43E5-8B Podpisany Strona 28 z 36

29 2. Zapewnienia, aby urządzenia i systemy informatyczne służące do przetwarzania powierzonych mu kopii danych osobowych były zgodne z wymogami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 3. Przestrzegania zasad poufności, integralności i rozliczalności powierzonych mu danych. 4. Przesłania Zamawiającemu kopii imiennych upoważnień osób, które będą przetwarzały dane osobowe zgodnie z postanowieniami niniejszej Umowy oraz przepisami prawa. 7 Wykonawca oraz Zamawiający oświadczają, że na funkcję administratorów bezpieczeństwa informacji wyznaczono następujące osoby: Strona umowy Imię i nazwisko oraz funkcja Identyfikator Zamawiający: Wykonawca: 8 W przypadku wygaśnięcia niniejszej Umowy, Wykonawca jest bezwzględnie zobowiązany do usunięcia (zwrotu lub zniszczenia potwierdzonego protokółem powierzonych mu danych osobowych) oraz skasowania wszelkich kopii tych danych będących w posiadaniu Wykonawcy oraz podjąć stosowne działania w celu wyeliminowania możliwości dalszego przetwarzania danych powierzonych na podstawie niniejszej Umowy. 9 Obowiązek zachowania tajemnicy nie dotyczy obowiązku ujawniania, wynikającego z bezwzględnie obowiązujących przepisów prawa, jak również w przypadku, gdy jest potrzebne celem wszczęcia lub prowadzenia postępowania karnego, cywilnego, administracyjnego lub innego podobnego. 10 Strony zobowiązane są zorganizować oraz utrzymywać środki bezpieczeństwa i sposoby postępowania, zapewniające bezpieczne przechowywanie danych, a także dołożą wszelkich starań by zapobiec jakiemukolwiek nieautoryzowanemu wykorzystaniu, ujawnieniu, lub dostępowi do tych danych. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 29 z 36

30 Załącznik 5 Rejestr wydanych upoważnień do przetwarzania danych osobowych w Urzędzie Gminy w Grębocicach Lp. Imię i nazwisko Stanowisko Zakres Data nadania upoważnienia Data ustania upoważnienia Identyfikator Uwagi Id: F93443C2-F0A0-43E5-8B Podpisany Strona 30 z 36

31 Załącznik 6 Raport o naruszeniu danych osobowych Sporządzający raport: Imię i nazwisko... stanowisko (funkcja)... 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):... 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych):... 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych:... 4) Informacje o danych, które zostały lub mogły zostać ujawnione:... 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem:... 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania):... Data:... Podpis:... Id: F93443C2-F0A0-43E5-8B Podpisany Strona 31 z 36

32 I. Wykaz budynków i pomieszczeń w których przetwarzane są dane osobowe 1. W budynkach mieszczących się przy: a) Ul.. 2. W pomieszczeniach : a) b) 3. W systemach informatycznych: a) Kadry i Płace - b). c).. 4. W systemach nieinformatycznych : w formie dokumentów papierowych.. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 32 z 36

33 II. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych NSI. IIa.W systemach informatycznych: a) system Kadrowo-Płacowy : b) przetwarzanie danych dla ZUS : IIb. W systemach nieinformatycznych a) akta osobowe b) umowy cywilno-prawne c) oświadczenia z danymi osobowymi III. Opis struktury zbiorów danych wskazujący zawartość NSI poszczególnych pól informacyjnych i powiązania między nimi Lp. Nazwa zbioru/zasob u danych osobowych System przetwarzani a /nazwa systemu/ Lokalizacja miejsca przetwarzani a Zastosowane oprogramowani e Pełny zakres danych osobowych w systemie Pola informacyjne w systemie 1 Program Płatnik Baza danych w formacie MS Access Dział / wykonawca Oprogramowanie Płatnik używane na stacji roboczej pracownikom udział Imię, nazwisko, NIP, PESEL, data urodzenia, adres zamieszkania. Identyfikator osoby wprowadzające j dane, data wprowadzenia danych do Id: F93443C2-F0A0-43E5-8B Podpisany Strona 33 z 36

34 systemu 2 Program Własna baza danych MS.. Zarząd,. Oprogramowanie klienckie kontakt, używane na stacja roboczych Nazwa firmy / instytucji lub Imię i nazwisko, NIP, adres, nr konta. Identyfikator osoby wprowadzające j dane, data wprowadzenia danych do systemu 3 Program.. dane w formacie. Oprogramowanie klienckie Łącze zainstalowane na stacji roboczej. Nazwa firmy / instytucji lub Imię i nazwisko, NIP, adres zamieszkania, adres korespondencyjn y Identyfikator osoby pobierającej dane IV. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami Programy: zbudowane są w architekturze klient-server. Przetwarzanie odbywa się częściowo na serwerze, częściowo na stacjach roboczych użytkowników. Program pracuje na zbiorze znajdującym się fizycznie na serwerze który to zbiór jest udziałem udostępnionym wyłącznie uprawnionym użytkowników. W systemach informatycznych obowiązują zabezpieczenia na poziomie wysokim. Najważniejszymi zastosowanymi środkami zabezpieczenia danych w systemach informatycznych: a) hasła dostępu do systemu, b) hasła dostępu do aplikacji. Id: F93443C2-F0A0-43E5-8B Podpisany Strona 34 z 36