Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie,

Transkrypt

1 Załącznik nr 1 do Zarządzenia Nr 76/2015 Burmistrza Gminy Różan z dnia 30 grudnia 2015 r. Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie, zwana dalej Polityką bezpieczeństwa określa zasady przetwarzania danych osobowych oraz środki techniczne i organizacyjne zastosowane dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych Polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa przetwarzanych danych. 2. Polityka bezpieczeństwa dotyczy danych osobowych przetwarzanych w zbiorach manualnych oraz w systemach informatycznych. Ilekroć w Polityce bezpieczeństwa jest mowa o: 1. Urzędzie należy przez to rozumieć Urząd Gminy w Różanie, 2. Administratorze danych należy przez to rozumieć Burmistrza Gminy Różan, Administratorze Bezpieczeństwa Informacji należy przez to rozumieć osobę wyznaczoną przez Burmistrza Gminy Różan w celu nadzorowania i przestrzegania zasad ochrony danych osobowych w Urzędzie Gminy w Różanie, 4. Administratorze Systemów Informatycznych należy przez to rozumieć osobę wyznaczoną przez Burmistrza Gminy Różan odpowiedzialną za stosowanie technicznych i organizacyjnych środków ochrony danych osobowych w Urzędzie Gminy w Różanie, 5. Zbiorze danych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnym według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 6. Przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 7. Systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 8. Zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 9. Usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 3. Administrator danych w Urzędzie Gminy w Różanie wyznacza Administratora Bezpieczeństwa Informacji oraz Administratora Systemów Informatycznych celem nadzorowania i przestrzegania zasad ochrony, o których mowa w ustawie z dnia 29 sierpnia 1

2 1997 r. o ochronie danych osobowych. 4. Wzór wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, określa załącznik nr 1 do Polityki bezpieczeństwa. 5. Wzór wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, określa załącznik nr 2 do Polityki bezpieczeństwa. 6. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami, określa załącznik nr 3 do Polityki bezpieczeństwa. 7. W Urzędzie dokumenty w formie papierowej zawierające dane osobowe znajdują się w szafach metalowych zamykanych na klucz, do których dostęp mają tylko osoby posiadające aktualne upoważnienie do przetwarzania danych osobowych. 1. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. 2. Administrator danych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 3. Administrator danych nadaje uprawnienia pracownikom zgodnie ze wzorem, stanowiącym załącznik nr 4 do Polityki bezpieczeństwa. 4. Prowadzona jest dokumentacja opisująca sposób przetwarzania danych w Urzędzie, a w szczególności: 8. 1) Ewidencja osób przetwarzających dane w Urzędzie posiadających upoważnienie zgodnie ze wzorem załącznika nr 5 do Polityki bezpieczeństwa, 2) Zestawienie danych osobowych - kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane zgodnie z załącznikiem nr 6 do Polityki bezpieczeństwa, 3) Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych załącznik nr 7 do Polityki bezpieczeństwa. 9. Na wniosek osoby, której dane dotyczą, Administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji. 2

3 10. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych w Urzędzie. Podmiot ten, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 11. Sposób zabezpieczenia oraz przetwarzania danych w systemie informatycznym reguluje Instrukcja Zarządzania Systemem Informatycznym. 12. W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie odpowiednie przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024) Administrator Danych wyraża pełne zaangażowanie dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz wsparcie dla przedsięwzięć technicznych i organizacyjnych związanych z ochroną danych osobowych. 2. Polityka bezpieczeństwa określa podstawowe zasady bezpieczeństwa i zarządzania bezpieczeństwem systemów, w których dochodzi do przetwarzania danych osobowych. 3. Polityka bezpieczeństwa dotyczy wszystkich danych osobowych przetwarzanych w Urzędzie, niezależnie od formy ich przetwarzania (zbiory ewidencyjne, systemy informatyczne), oraz od tego czy dane są lub mogą być przetwarzane w zbiorach danych. 4. Polityka bezpieczeństwa ma zastosowanie wobec wszystkich referatów oraz samodzielnych stanowisk pracy i wszystkich procesów przebiegających w ramach przetwarzania danych osobowych. 5. Celem Polityki bezpieczeństwa jest przetwarzanie zgodnie z przepisami, danych osobowych w Urzędzie oraz ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą. 6. Ze względu na nieustannie zmieniające się zagrożenia przetwarzania danych osobowych i zmiany prawa, niniejsza Polityka bezpieczeństwa może być dokumentem dynamicznie zmieniającym się w czasie. Uaktualnienia procedur ochrony, oprogramowania i innych parametrów stosowanych przy przetwarzaniu danych osobowych znajdują na bieżąco odzwierciedlenie funkcjonalne w niniejszej Polityce. 7. Cele Polityki bezpieczeństwa realizowane są poprzez zapewnienie danym osobowym następujących cech: a) poufności - właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom, 3

4 1) integralności - właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 2) rozliczalności - właściwości zapewniającej, że działania podmiotu operującego na danych osobowych mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 3) ciągłości - zdolności do niezakłóconego ich przetwarzania, bez przerw uniemożliwiających ich udostępnianie osobom upoważnionym. 8. Dla skutecznej realizacji Polityki bezpieczeństwa Administrator danych zapewnia: 1) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne, 2) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony, 3) kontrolę i nadzór nad przetwarzaniem danych osobowych, 4) monitorowanie zastosowanych środków ochrony, 5) ciągłe śledzenie zmieniających się zagrożeń wewnętrznych i zewnętrznych, także uwzględnianie zmieniającego się prawa, 6) kontrolę i nadzór nad przetwarzaniem danych osobowych przez podmioty trzecie, którym dane zostały udostępnione lub powierzone. 9. Monitorowanie przez Administratora danych zastosowanych środków ochrony obejmuje m.in. działania użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi. 10. Administrator Bezpieczeństwa Informacji i Administrator Systemów Informatycznych wdrażają wszystkie niezbędne dokumenty wynikające z zapisów ustawy, oraz innych przepisów mających zastosowanie przy przetwarzaniu danych osobowych. 4

5 wzór Załącznik Nr 1 do Polityki bezpieczeństwa Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe Lp. Dokładny adres (np. adres siedziby firmy gdzie przetwarzane są dane) Dział użytkujący pomieszczenie Nr pokoju lub pomieszczenia Rodzaj zastosowanego zabezpieczenia pomieszczenia Uwagi

6 wzór wykazu zbioru danych osobowych REJEST ZBIORÓW DANYCH OSOBOWYCH W URZĘDZIE GMINY W RÓŻANIE Załącznik nr 2 do Polityki bezpieczeństwa l.p. Nazwa zbioru danych Oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany Oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby lub miejsca zamieszkania w przypadku wyznaczenia takiego podmiotu Oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania w przypadku powierzenia przetwarzania danych temu podmiotowi Podstawa prawna upoważniająca do prowadzenia zbioru danych Cel przetwarzania danych w zbiorze Opis kategorii osób, których dane są przetwarzane w zbiorze Zakres danych przetwarzanych w zbiorze Sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą Sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa Oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego

7 Załącznik Nr 3 do Polityki bezpieczeństwa Struktury zbiorów danych osobowych oraz powiązania między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami W przypadku przetwarzania danych osobowych w postaci elektronicznej odbywa się ono przy użyciu systemów informatycznych. Pliki bazodanowe przechowywane są na dedykowanych serwerach. Szczegółowy opis struktury danych osobowych przetwarzanych w postaci elektronicznej, relacji pomiędzy danymi oraz procesy przetwarzania danych zawarte są w dokumentacji technicznej systemów informatycznych wykorzystywanych do przetwarzania przedmiotowych danych. Wykaz systemów wykorzystywanych w Urzędzie: 1. Ewidencja ludności, 2. Rejestr wyborców, 3. Źródło ( dowody osobiste, USC) działa w dedykowanej sieci teleinformatycznej, 4. Ewidencja miejscowości, ulic i adresów, 5. Ewidencja podatników, płatników i dłużników w podatku od nieruchomości, rolnym i leśnym, 6. Ewidencja podatników, płatników i dłużników w podatku od środków transportowych, 7. Użytkowanie wieczyste i dzierżawy, 8. Rejestr odpadów komunalnych wytworzonych przez mieszkańców, 9. Kadry i płace, 10. Dziennik korespondencyjny, 11. Ewidencja gruntów i budynków, 12. System Informacji Oświatowej, 13. Płatnik, 14. Centralna Ewidencja i Informacja Działalności Gospodarczej ( CEiDG), 15. Elektroniczna platforma usług administracji publicznej ( epuap), 16. Oprogramowanie do przelewów bankowych. 7

8 Załącznik Nr 4 do Polityki bezpieczeństwa wzór Upoważnienie do przetwarzania danych osobowych Burmistrz Gminy Różan dnia.. nadaje upoważnienie do przetwarzania danych osobowych w Urzędzie Gminy w Różanie dla: Imię i nazwisko: Adres zamieszkania: Nr PESEL: Stanowisko służbowe: Upoważniony otrzymuje dostęp do poniższych zasobów danych osobowych w celu ich przetwarzania: ZBIORY DANYCH OSOBOWYCH WYNIKAJĄCE Z: POSIADANYCH UPRAWNIEŃ SPECJALISTYCZNYCH ZAKRESU OBOWIĄZKÓW WYNIKAJĄCYCH Z NAWIĄZANEGO STOSUNKU PRACY Ja niżej podpisany zobowiązuje się do przestrzegania zasad panujących w Urzędzie w zakresie ochrony danych osobowych, a w szczególności Polityki bezpieczeństwa oraz respektowania zapisów Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Upoważnionego zobowiązuje się do zapewnienia ochrony danych, zachowania tajemnicy dotyczącej danych osobowych przetwarzanych w Urzędzie oraz sposobów zabezpieczeń, a także zgłaszania faktu naruszenia/zagrożenia zabezpieczeń danych osobowych. Oświadczam, że zostałem(am) zapoznany(a) z przepisami Ustawy o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135) oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz ze zm.). Oświadczam, że zostałem(am) poinformowany o grożącej, stosownie do przepisów Rozdziału 8 Ustawy o ochronie danych osobowych, odpowiedzialności karnej. Niezależnie od odpowiedzialności przewidzianej w wymienionych przepisach, mam świadomość, że naruszenie 8

9 zasad ochrony danych osobowych, obowiązujących w podmiocie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną. Upoważnienie nadaje się do ustania stosunku pracy. Wszelakie poprzednie upoważnienia do przetwarzania danych osobowych z dniem wprowadzenia niniejszego wygasają. 9

10 Załącznik Nr 5 do Polityki bezpieczeństwa wzór Ewidencja osób przetwarzających dane w podmiocie posiadających upoważnienie Lp. Imię i nazwisko Stanowisko służbowe Data nadania upoważnienia Data ustania upoważnienia Wykaz zbiorów danych wynikających z upoważnienia Identyfikator (Jeżeli dane są przetwarzane w systemie informatycznym)

11 Załącznik Nr 6 do Polityki bezpieczeństwa wzór Zestawienie danych osobowych z informacją kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Lp. Rodzaj udostępnionych danych osobowych Data wprowadzenia danych do zbioru Data przekazania danych osobowych Imię i nazwisko osoby która otrzymała dane Cel przekazania danych osobowych

12 Załącznik Nr 7 do Polityki bezpieczeństwa Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Administrator danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych. 2. Administrator Bezpieczeństwa Informacji wraz z Administratorem Systemów Informatycznych przeprowadzają raz w roku okresową analizę ryzyka dla systemu i na tej podstawie przedstawiają Administratorowi danych propozycje dotyczące zastosowania środków technicznych i organizacyjnych (środków ochrony), celem zapewnienia właściwej ochrony przetwarzanych danych. 3. Określenia poziomu bezpieczeństwa systemu informatycznego dokonuje Administrator Bezpieczeństwa Informacji. 4. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. 5. Środki ochrony fizycznej, zastosowane w Urzędzie: 1) budynek Urzędu, w którym przetwarzane są dane osobowe w systemach: informatycznym i tradycyjnym usytuowany jest w Różanie przy Placu Obrońców Różana 4, 2) budynek po godzinach pracy zamykany jest przez sprzątaczki, w wejściu głównym zamontowane są drzwi antywłamaniowe zamykane na dwa zamki patentowe, drugie drzwi wejściowe zamykane są również na dwa zamki patentowe, dodatkowo zamontowana jest krata, która zamykana jest po godzinach pracy, na parterze w oknach zamontowane są również kraty, hol na parterze budynku jest monitorowany przez zainstalowany system kamer, 3) w części pomieszczeń, gdzie są przetwarzane dane osobowe zamontowane są drzwi antywłamaniowe, wszystkie pomieszczenia tworzące obszar przetwarzania danych osobowych zamykane są na klucz, 4) zbiory danych przetwarzane w systemie tradycyjnym przechowywane są w szafach metalowych zamykanych na klucz, 5) kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie, 6) dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. 12

13 6. Środki ochrony technicznej: 1) przetwarzanie danych osobowych należy dokonywać w warunkach zabezpieczających te dane przed osobami nieupoważnionymi, 2) pomieszczenia, w których przetwarzane są dane osobowe tworzące obszar szczególnie chroniony zabezpieczone są na czas nieobecności osób zatrudnionych przy przetwarzaniu danych osobowych w sposób uniemożliwiający dostęp do nich osób nieupoważnionych, 3) przebywanie w pomieszczeniach osób nieuprawnionych do dostępu do danych jest dopuszczalne tylko w obecności osoby zatrudnionej w Urzędzie, posiadającej upoważnienie do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych, 4) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, a w niektórych przypadkach z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena, 5) zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych, 6) zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł, 7) zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji, 8) dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia, 9) zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity, 10) stosuje się system Firewall do ochrony dostępu do sieci komputerowej, 11) stosuje się system IDS/IPS do ochrony dostępu do sieci komputerowej, 12) zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych, 13) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, 14) dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena, 15) zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego, 16) zastosowano kryptograficzne środki ochrony danych osobowych, 17) zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe, 13

14 18) zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. 7. Środki organizacyjne: 1) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. 2) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. 3) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. 4) kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco, 5) dopuszcza się możliwość dostępu do danych przez podmioty zewnętrzne w przypadku zaistnienia okoliczności wynikających z obowiązujących przepisów prawa oraz zawartych umów. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy oraz Ustawy o ochronie danych osobowych. W odniesieniu do innych osób upoważnionych do przetwarzania danych osobowych, w sytuacji naruszeń obowiązków wynikających z niniejszego dokumentu ponieść mogą odpowiedzialność odszkodowawczą. Wszystkie osoby upoważnione do przetwarzania danych osobowych mogę ponieść odpowiedzialność karną w sytuacji naruszenia zasad określonych w niniejszym dokumencie. 14