REGULAMIN organizacji i przetwarzania danych osobowych.

Transkrypt

1 Załącznik nr 3 do Zarządzenia Nr 24/2011 Burmistrza Miasta Limanowa z dnia 28 lutego 2011 r. REGULAMIN organizacji i przetwarzania danych osobowych. Rozdział 1. Postanowienia ogólne. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. Rozdział 3. Procedury tworzenia, rejestrowania i zmian w przetwarzaniu danych osobowych w zbiorach. Rozdział 4. Szkolenie oraz prowadzenie dokumentacji przetwarzania danych osobowych. Rozdział 5. Obowiązki osób upowaŝnionych przez Administratora. Rozdział 6. Postanowienia końcowe. Załączniki. 1

2 Rozdział 1 Postanowienia ogólne. 1. Regulamin organizacji i przetwarzania danych osobowych" zwany dalej Regulaminem, określa ogólne zasady, cele przetwarzania danych i wskazuje działania podejmowane przez Administratora oraz osoby przez niego upowaŝnione, w zakresie organizacji przetwarzania i ochrony danych osobowych w Urzędzie Miasta Limanowa. 2. Regulamin został opracowany w wykonaniu dyspozycji art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), dalej jako Ustawa, w celu określenia zadań organizacyjnych i technicznych, realizowanych w zakresie ochrony danych przez uŝytkowników, ich przełoŝonych oraz inne osoby wskazane przez Administratora. 2 1 Określenia i skróty uŝyte w Regulaminie oznaczają: 1. Administrator Danych Osobowych Burmistrz Miasta Limanowa, zwany dalej Administratorem. 2. Administrator Bezpieczeństwa Informacji, zwany dalej ABI osoba wyznaczona przez Administratora, w rozumieniu art. 36 ust. 3 Ustawy. 3. Administrator Systemu Informatycznego, zwany dalej ASI osoba wyznaczona przez Administratora, pracownik odpowiedzialny za wdroŝenie i stosowanie zasad bezpieczeństwa danych osobowych w zakresie technicznych zabezpieczeń systemu informatycznego w Urzędzie Miasta Limanowa. 4. Osoba upowaŝniona, zwana dalej uŝytkownikiem osoba posiadająca upowaŝnienie nadane przez Administratora lub osobę wskazaną przez niego i uprawniona do przetwarzania danych osobowych w zakresie wskazanym w upowaŝnieniu. 5. PrzełoŜony uŝytkownika, zwany dalej przełoŝonym naczelnik wydziału, osoba odpowiedzialna za przestrzeganie zasad przetwarzania i ochrony danych osobowych przez podległych mu pracowników urzędu Miasta Limanowa. 6. Urząd Miasta Limanowa zwany dalej Urzędem. 7. Dane sensytywne dane w rozumieniu art. 27 Ustawy, podlegające szczególnej ochronie. 8. GIODO Biuro Generalnego Inspektora Ochrony Danych Osobowych. 9. Zarządzenie Burmistrza Miasta Limanowa w sprawie wdroŝenia dokumentacji przetwarzania i ochrony danych osobowych w Urzędzie Miasta Limanowa, zwane dalej Zarządzeniem. 2

3 1. Administrator moŝe upowaŝnić osoby zatrudnione w Urzędzie do wykonywania określonych czynności, znajdujących się w zakresie zadań Administratora. 2. Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1, naleŝy do Administratora. 3 Rozdział 2. Ogólne zasady przetwarzania danych osobowych. 1. Dane osobowe są przetwarzane w Urzędzie w celu realizacji zadań określonych przepisami prawa. 2. Cel, o którym mowa w ust. 1, naleŝy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą. 1. Zasadą obowiązującą w Urzędzie jest zachowanie przez uŝytkowników w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania MoŜliwość wystąpienia zagroŝeń bezpieczeństwa danych przetwarzanych w systemach lub kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych nakłada na uŝytkowników i ich przełoŝonych obowiązek zapewnienia danym skutecznej ochrony. 3. Przesyłanie danych osobowych za pomocą urządzeń telekomunikacyjnych lub transmisji danych w sieci publicznej wymaga wykorzystania odpowiednich urządzeń i przedsięwzięć zapewniających poufność i integralność ich przekazu. 4. Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba Ŝe konieczność ich sporządzania wynika z nałoŝonych na uŝytkownika obowiązków i dozwolona jest przepisami prawa. 1. Przetwarzanie danych osobowych moŝe być wykonywane wyłącznie przez osoby, które spełniają wymagania zawarte w art. 37 Ustawy. 2. Procedury nadawania (wycofywania) w Urzędzie upowaŝnień do przetwarzania danych osobowych obejmują: 6 3

4 a) złoŝenie przez przełoŝonego wniosku o nadanie (wycofanie) upowaŝnienia do przetwarzania danych osobowych; b) podpisanie przez osobę ubiegającą się o nadanie upowaŝnienia, oświadczenia o zachowaniu w tajemnicy zasad przetwarzania danych oraz sposobów ich zabezpieczania, obejmującej takŝe okres po ustaniu stosunku pracy; c) nadanie przez Administratora lub osobę przez niego wskazaną, upowaŝnienia do przetwarzania danych osobowych. 3. Regulamin zawiera takŝe załączniki, które stanowią: a) załącznik nr 1 wzór wniosku przełoŝonego o nadanie (pozbawienie) lub zmianę upowaŝnienia do przetwarzania danych osobowych; b) załącznik nr 2 wzór oświadczenia osoby ubiegającej się o nadanie upowaŝnienia do przetwarzania danych osobowych; c) załącznik nr 3 wzór upowaŝnienia do przetwarzania danych osobowych. 4. Kopie upowaŝnień oraz inne dokumenty, o których mowa w ust. 2, przechowuje ABI. 5. ABI prowadzi kontrolę realizacji obowiązku, o którym mowa w ust Pomieszczenia lub ich część, w których przetwarzane są dane osobowe tworzą obszary przetwarzania danych osobowych w Urzędzie. Przebywanie osób nieuprawnionych w tych obszarach jest ograniczone i odbywać się moŝe tylko w obecności uŝytkowników i za zgodą przełoŝonych. 2. Administrator zapewnia ochronę obszarów przetwarzania danych osobowych w Urzędzie, według zasad określonych w Polityce bezpieczeństwa, stanowiącej załącznik nr 1 do Zarządzenia. 3. Do obszarów podlegających szczególnej ochronie Administrator zalicza serwerownię oraz pomieszczenia, w których przetwarzane są dane sensytywne. 7 Rozdział 3 Procedury tworzenia, rejestrowania i dokonywania zmian w przetwarzaniu danych osobowych w zbiorach. 1. Tworzy się zbiory danych osobowych przez nadanie danym osobowym odpowiedniej struktury, dostępnej według określonych kryteriów, niezaleŝnie od tego, czy zestaw danych jest rozproszony lub podzielony funkcjonalnie. 8 4

5 2. Przetwarzanie danych osobowych moŝe odbywać się metodą: a) papierową, w rozumieniu art. 2 ust. 2 pkt 1) Ustawy; b) informatyczną, w rozumieniu art. 2 ust. 2 pkt 2) Ustawy; 3. Zgodnie z potrzebami realizacji zadań słuŝbowych, przełoŝeni uŝytkowników tworzą zbiory lub wnioskują o ich wycofanie (zmianę), według następujących reguł: a) nazwa zbioru powinna odzwierciedlać cel przetwarzania danych i być zgodna z nazewnictwem stosowanym w przepisach prawa; b) naleŝy wskazać podstawy prawne do przetwarzania danych; c) naleŝy określić sposób i miejsca przetwarzania danych oraz uŝytkowników; d) naleŝy przekazać informację ABI w celu określenia poziomu bezpieczeństwa systemu, w którym przetwarzane są dane; e) naleŝy zapewnić ochronę danym osobowym. 9 PrzełoŜeni uŝytkowników mają obowiązek zgłaszania ABI aktualnych wykazów zbiorów danych osobowych przetwarzanych przez podległych im pracowników. 1. Administrator ma obowiązek zgłosić zbiór danych do rejestracji w GIODO, z wyjątkiem przypadków określonych w art. 43 ust. 1 Ustawy PrzełoŜeni mają obowiązek wypełnienia wniosku zgłoszenia zbioru do rejestracji i przekazania go ABI. 3. Wzór wniosku, o którym mowa w ust. 2, stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025). 4. Dane osobowe w zbiorze moŝna przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, Ŝe zbiór nie zawiera danych sensytywnych. Zbiór zawierający dane sensytywne moŝna przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania. 5

6 Rozdział 4 Szkolenie oraz prowadzenie dokumentacji z zakresu przetwarzania danych osobowych. 1. KaŜda osoba przed rozpoczęciem przetwarzania danych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony danych osobowych. PrzełoŜony zobowiązany jest umoŝliwiać podwładnym zapoznanie się z tymi przepisami. 2. W przypadku wdraŝania w Urzędzie nowych procedur przetwarzania i ochrony danych osobowych, Administrator na wniosek osób, o których mowa w 15 ust 3, moŝe polecić zorganizowanie dodatkowych szkoleń dla wskazanych przez przełoŝonych grup uŝytkowników Szkolenia, o których mowa w ust. 2 organizuje ABI. 12 Dokumentacja przetwarzania i ochrony danych osobowych w Urzędzie obejmuje: 1. Politykę bezpieczeństwa przetwarzania danych osobowych, 2. Instrukcję zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych ; 3. Regulamin organizacji i przetwarzania danych osobowych W procesie przetwarzania i ochrony danych osobowych prowadzi się następujące ewidencje i wykazy: a) Ewidencja osób upowaŝnionych do przetwarzania danych osobowych b) Wykaz zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania ; c) Wykaz pomieszczeń tworzących obszary przetwarzania danych osobowych. 2. Ewidencję i wykazy, o których mowa w ust. 1, prowadzi ABI w formie elektronicznej lub papierowej Ewidencja, o której mowa w 13 ust. 1 lit. a), zawiera: a) imię i nazwisko uŝytkownika; 6

7 b) datę nadania i ustania oraz zakres upowaŝnienia; c) nazwę komórki organizacyjnej; d) identyfikator uŝytkownika. 2. Wykaz, o którym mowa w 13 ust. 1 lit. b), zawiera: a) nazwę zbioru danych; b) nr rejestru GIODO; c) sposób przetwarzania; d) nazwę programu uŝytego do przetwarzania w systemie; e) nadany poziom bezpieczeństwa; f) nazwę komórki organizacyjnej, w której przetwarzane są dane. 3. Wykaz, o którym mowa w 13 ust. 1 lit. c), zawiera: a) nazwę komórki organizacyjnej; b) nazwę zbioru danych c) numer pomieszczenia. Rozdział 5. Obowiązki osób upowaŝnionych przez Administratora. 1. Administrator wykonuje zadania z zakresu przetwarzania i ochrony danych osobowych zgodnie z przepisami Ustawy Administrator stosuje środki techniczne i przedsięwzięcia organizacyjne zapewniające skuteczną realizację zadań w zakresie bezpieczeństwa i ochrony danych przetwarzanych w Urzędzie. 1. Zadania organizacji, koordynacji, kontroli i nadzoru przestrzegania przepisów o ochronie danych osobowych w Urzędzie wykonuje ABI na podstawie upowaŝnień nadanych przez Administratora lub osobę przez niego wskazaną. 16 7

8 2. Do zadań ABI naleŝy: a) koordynowanie przedsięwzięć kierowników komórek organizacyjnych, o których mowa w ust. 1, w zakresie przetwarzania i ochrony danych osobowych; b) nadzorowanie sposobu wykonywania zadań przez osoby, o których mowa w ust. 3, oraz osobę pełniącą funkcje ABI; c) cofanie, ograniczanie lub nie wyraŝanie zgody na przyznanie uprawnień do przetwarzania danych osobowych osobom nie spełniającym warunków, o których mowa w 6 oraz sprawcom zdarzeń, o których mowa w 5 ust. 5 Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, będącej załącznikiem nr 2 do Zarządzenia; d) przygotowywanie projektów zarządzeń, instrukcji i wytycznych Administratora; e) opiniowanie umów dotyczących udostępniania lub powierzenia przetwarzania danych podmiotom zewnętrznym lub osobom, które nie są pracownikami Urzędu; f) organizowanie szkolenia w zakresie ochrony danych osobowych dla osób, o których mowa w 15 ust Administrator realizuje czynności techniczne związane z zapewnieniem skutecznej ochrony danym osobowym przetwarzanym w Urzędzie. 2. Do Administratora naleŝy: a) wydawanie (wycofywanie) lub zmiana upowaŝnień do przetwarzania danych osobowych, zgodnie z art. 37 Ustawy; b) prowadzenie ewidencji i wykazów, o których mowa w 13; c) zgłaszanie lub aktualizowanie zbiorów danych osobowych do rejestracji w GIODO zgodnie z art. 40 i art. 41 Ustawy; d) decydowanie o przekazywaniu danych osobowych do państwa trzeciego, zgodnie z art. 47 Ustawy; e) koordynowanie i nadzorowanie wykonywania zadań w Urzędzie w zakresie zgodności z prawem, celowości, poprawności i adekwatności przetwarzania danych osobowych, zgodnie z art. 26 Ustawy; f) nadzorowanie i kontrolowanie wykonywania w Urzędzie zadań określonych w dokumentacji przetwarzania i ochrony danych osobowych poprzez inspirowanie działań ABI; 8

9 g) prowadzenie korespondencji z GIODO w imieniu Administratora h) zapewnienie technicznego zabezpieczenia i wyposaŝenia pomieszczeń i obiektów, które tworzą obszary przetwarzania danych ze szczególnym uwzględnieniem zadań określonych w 20 ust. 2 lit. c) e) Polityki bezpieczeństwa stanowiącej załącznik nr 1 do Zarządzenia. 3. Czynności, o których mowa w ust. 2, wykonuje się na wniosek ABI lub właściwego Kierownika komórki organizacyjnej Urzędu ASI realizuje czynności techniczne związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych. 2. Do zadań ASI w szczególności naleŝy: a) dostosowywanie systemów do wymogów prawa, o których mowa w 22 ust 2; b) w porozumieniu z ABI, planowanie i wdraŝanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; c) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; d) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposaŝenia pomieszczeń, w których znajdują się serwery. 3. Do zadań ASI w szczególności naleŝy: a) administrowanie systemami, w których przetwarzane są dane osobowe; b) dostosowywanie systemów do wymogów prawa, o których mowa w 22 ust 2; c) w porozumieniu z ABI, planowanie i wdraŝanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; d) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; e) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposaŝenia pomieszczeń, w których znajdują się serwery. f) przyznawanie uŝytkownikom identyfikatorów i przyznawanie im uprawnień, które wynikają z nadanego upowaŝnienia do przetwarzania danych osobowych; g) instalowanie, aktualizowanie i konfigurowanie oprogramowania systemowego i aplikacyjnego oraz urządzeń, o ile czynności te nie są wykonywane przez 9

10 upowaŝnionych przedstawicieli dostawcy systemu na podstawie zawartej umowy; h) instalowanie i aktualizowanie oprogramowania antywirusowego; i) reagowanie w przypadku naruszenia bądź powstania zagroŝenia bezpieczeństwa danych przetwarzanych w systemie; j) tworzenie, rejestrowanie, przechowywanie i archiwizowanie kopii zapasowych baz danych osobowych; k) przygotowywanie urządzeń, dysków i innych elektronicznych nośników informacji, zawierających dane osobowe, do likwidacji, przekazania innemu podmiotowi, konserwacji lub naprawy; l) przekazywania do ABI opisów struktur zbiorów danych, schematów przepływu danych pomiędzy systemami, zawartości poszczególnych pól informacyjnych w aplikacjach oraz wszelkich zmian w tym zakresie; m) zakładanie, modyfikacja lub usuwanie baz danych w systemie oraz realizowanie migracji danych pomiędzy nimi; n) natychmiastowe informowanie ABI o zdarzeniach, o których mowa w lit. i); o) wykonywanie bieŝącej konserwacji i przeglądu systemu; p) uaktualnianie kont i uprawnień uŝytkowników systemu w porozumieniu z ABI. 1. Naczelnicy Wydziałów są odpowiedzialni za przestrzeganie przepisów dotyczących przetwarzania i ochrony danych osobowych w podległych im komórkach organizacyjnych w zakresie upowaŝnień nadanych przez Administratora Do zadań osób, o których mowa w ust. 1, naleŝy: a) decydowanie o udostępnianiu danych osobowych, zgodnie z art. 29 Ustawy; b) wnioskowanie o rejestrację (aktualizację) zbiorów w GIODO - wypełnianie wniosków zgłoszenia; c) przedkładanie ABI wniosków o nadanie (wycofanie) lub zmianę upowaŝnień do przetwarzania danych osobowych dla pracowników i innych osób; d) zachowanie szczególnej staranności przy przetwarzaniu danych osobowych, zgodnie art. 26 Ustawy oraz zapewnienie kontroli wprowadzania i przekazywania danych, zgodnie z art. 38 Ustawy; e) zabezpieczanie danych osobowych zgodnie z przepisami zawartymi w dokumentacji 10

11 przetwarzania i ochrony danych osobowych; f) udzielanie informacji, o której mowa w art. 24, art. 25 oraz art. 32 ust. 1 pkt. 1 5 a Ustawy oraz uzupełnianie, uaktualnianie lub prostowanie danych osobowych w przypadkach, o których mowa w art. 32 ust. 1 pkt 6 Ustawy; g) zawieranie umów dotyczących udostępniania lub powierzenia przetwarzania danych osobom i podmiotom zewnętrznym, zgodnie z art. 31 Ustawy; h) wskazywanie osoby wykonującej w komórce organizacyjnej czynności administracyjne związane z przetwarzaniem i ochroną danych osobowych; i) przekazywanie ABI wykazu zbiorów danych i programów zastosowanych do ich przetwarzania oraz lokalizacji obszarów ich przetwarzania; j) w porozumieniu z ABI rozpatrywanie skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych; k) na Ŝądanie Administratora lub osoby przez niego upowaŝnionej przeprowadzenie okresowych analiz ryzyka dla poszczególnych systemów i na tej podstawie przedstawianie Administratorowi propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych. 3 Osoby, o których mowa w ust. 1, realizując zadania w imieniu Administratora współpracują z ABI, ASI oraz innymi osobami upowaŝnionymi przez Administratora. 20 Inspektor ds. Kadr zobowiązany jest do przekazywania ABI informacji dotyczących osób biorących udział w procesie przetwarzania i ochrony danych osobowych w Urzędzie. Informacje te zawierać powinny: a) zmiany w nawiązaniu i rozwiązaniu stosunku pracy; b) zmiany miejsc świadczenia pracy; c) oddelegowanie lub przeniesienie pracownika do innej jednostki organizacyjnej; d) przebywania na urlopie macierzyńskim lub urlopie bezpłatnym powyŝej miesiąca; e) przebywanie na zwolnieniu lekarskim powyŝej miesiąca; f) zmiany komórek organizacyjnych. 11

12 21 1. Osoby upowaŝnione przez Administratora do podpisywania umów z osobami lub podmiotami, o których mowa w 1 ust. 2 Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych stanowiącej załącznik nr 2 do Zarządzenia, zobowiązane są do umieszczania postanowień umownych, gwarantujących bezpieczeństwo i ochronę danych osobowych przetwarzanych w Urzędzie. 2. Postanowienia, o których mowa w ust. 1, dotyczą udostępniania lub powierzenia danych do przetwarzania i zawierają: a) określenie przedmiotu i celu umowy; b) zobowiązanie zleceniobiorcy do zapewnienia bezpieczeństwa i właściwej ochrony przetwarzanych danych osobowych; c) zobowiązanie zleceniobiorcy do przestrzegania procedur, o których mowa w 6; d) oświadczenie zleceniobiorcy dotyczące dostosowania systemów informatycznych wykorzystywanych w procesie przetwarzania danych osobowych do wymogów rozporządzenia o którym mowa w 22 ust. 2; e) zapewnienie zleceniodawcy nadzoru i kontroli nad przetwarzaniem i ochroną danych osobowych; f) określenie kar umownych za nieprzestrzeganie zapisów umownych; g) moŝliwość rozwiązania umowy w trybie natychmiastowym w przypadku stwierdzenia omijania przez zleceniobiorcę przepisów dotyczących bezpieczeństwa i ochrony przetwarzanych danych osobowych. Rozdział 6 Postanowienia końcowe. 22 W sprawach nie uregulowanych niniejszym Regulaminem zastosowanie znajdują: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.); 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024); 12

13 3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025). 4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie imiennego upowaŝnienia i legitymacji słuŝbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923). 13

14 Załącznik nr 1 do Regulaminu organizacji i przetwarzania danych osobowych Limanowa, dn.... (pieczęć komórki organizacyjnej) Burmistrz Miasta Limanowa W N I O S E K Zgodnie z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w n i o s k u j ę o nadanie /pozbawienie/zmianę/* Pani /Panu/*...stanowisko słuŝbowe.. upowaŝnienia do przetwarzania danych osobowych w Urzędzie Miasta Limanowa z powodu: /przyjęcia do pracy, przejścia na inne stanowisko, zwolnienia z pracy, zmiany uprawnień, lub innego - jakiego/*: UpowaŜnienie wydaje się na okres: /stały/czasowy do dnia/* Zakres przetwarzania danych osobowych... /zbieranie, utrwalanie, opracowywanie, wprowadzanie, przechowywanie, zmiana, usuwanie, udostępnianie/* 2. Nazwa zbioru danych osobowych: Sposób przetwarzania danych osobowych: /papierowy/ informatyczny/* 4. Obszar przetwarzania danych osobowych / nr pokoju/ Uprawnienia obejmują przetwarzanie danych sensytywnych /art. 27 Ustawy/ /tak/nie/* 6. Osoba została zapoznana z przepisami o ochronie danych osobowych: /tak/nie/*... (przełoŝony osoby ) /* niepotrzebne proszę skreślić 14

15 ... (imię i nazwisko osoby)... (stanowisko i nazwa komórki organizacyjnej) Załącznik nr 2 do Regulaminu organizacji i przetwarzania danych O Ś W I A D C Z E N I E Ja, niŝej podpisana(y), oświadczam, Ŝe zapoznała(e)m się z przepisami dotyczącymi przetwarzania i ochrony danych osobowych i zobowiązuję się do przestrzegania: 1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, słuŝące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), 3. Procedur dotyczących bezpieczeństwa przetwarzania i ochrony danych osobowych, określonych w zarządzeniach Administratora Danych Osobowych. Jednocześnie oświadczam, Ŝe: a) zapewnię ochronę danym osobowym przetwarzanym w Urzędzie Miasta Limanowa, a w szczególności zabezpieczę je przed dostępem osób nieupowaŝnionych, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem, b) zachowam w tajemnicy, takŝe po ustaniu stosunku pracy, wszelkie informacje dotyczące przetwarzania oraz sposobów zabezpieczenia danych osobowych w Urzędzie Miasta Limanowa, c) natychmiast zgłoszę przełoŝonemu i Administratorowi Bezpieczeństwa Informacji, stwierdzenie próby lub faktu naruszenia ochrony lub bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe.... (podpis osoby ubiegającej się o dostęp) Limanowa, dnia Oświadczenie wypełnia osoba, która wykonując swoje obowiązki musi posiadać dostęp do danych osobowych przetwarzanych w Urzędzie Miasta Limanowa. Oświadczenie jest zgodne z art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm. 15

16 Załącznik nr 3 do Regulaminu organizacji i przetwarzania danych Limanowa, dnia Pan/Pani zatrudniony/a w Urzędzie Miasta Limanowa na stanowisku.. UPOWAśNIENIE Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) u p o w a Ŝ n i a m Pana/Panią do dostępu do danych osobowych przetwarzanych w Urzędzie Miasta Limanowa, w zakresie niezbędnym do wykonywania obowiązków słuŝbowych, określonych w zakresie obowiązków z dnia Zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych, ma Pan/Pani obowiązek zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Niniejsze upowaŝnienie: 1) zostało wydane na czas 2) moŝe być w kaŝdym czasie cofnięte, 3) wygasa z dniem rozwiązania stosunku pracy z upowaŝnionym pracownikiem. Otrzymuje:. Do wiadomości: 1) Sekretarz Miasta 2) Administrator Bezpieczeństwa Informacji 16