Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty

Transkrypt

1 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P00 Data wydania: rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym Ustawa z dnia o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. 100 poz. 1024), Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526). PN/ISO 27001: , A , A5.1.2 Kontroli Zarządczej P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 1 z 14

2 P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 2 z 14

3 Spis treści 1. Wstęp Cele Polityki Bezpieczeństwa Postanowienia ogólne Podstawowe definicje Organizacja przetwarzania danych osobowych Konsekwencje przetwarzania danych osobowych niezgodnego z regulacjami Ewidencje i rejestry wymaganych przez ustawodawcę Historia dokumentu P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 3 z 14

4 1. Wstęp Realizując postanowienia ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.) oraz wydane w oparciu o delegacje ustawą przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. (Dz.U. z 2004 r. nr 100, poz z zm.) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informacyjne służące do przetwarzania danych osobowych wprowadza się zestaw reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej pozwalający na zapewnienie ochrony danych osobowych. Przetwarzanie danych osobowych w Urzędzie Gminy Kęty jest dopuszczalne tylko pod warunkiem przestrzegania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.) oraz wydanych na jej podstawie przepisów wykonawczych oraz zarządzeń Burmistrza. Dokumentacja regulująca prawidłowość, zgodność z prawem obowiązuje wszystkich pracowników. 2. Cele Polityki Bezpieczeństwa przetwarzania danych osobowych Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi, jak i zewnętrznymi, świadomymi lub nieświadomymi. Określa zasady postępowania w związku z przetwarzaniem danych osobowych w Urzędzie Gminy Kęty. Odnosi się zarówno do przetwarzania danych osobowych w formie papierowej (tradycyjnej), jak i w systemach informatycznych. Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych jest elementem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) opartego o wymogi normy PN-ISO/IEC 27001: Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez samych użytkowników. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić: A. poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, B. integralność danych rozumianą jako właściwość polegającą na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany), C. rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne. P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 4 z 14

5 3. Postanowienia ogólne 3.1 Dokumentacja przetwarzania danych osobowych obejmuje: 00 - Politykę Bezpieczeństwa Informacji Ochrony Danych Osobowych, niniejszy dokument regulujący zasady przetwarzania danych osobowych w Urzędzie Gminy Kęty Instrukcję Zarządzania Systemem Informatycznym, dokument opisujący sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa Analizę ryzyka, metodologia opisująca sposób szacowania ryzyka w Urzędzie Gminy Kęty wynikająca z obowiązku spoczywającym na Administratorze danych a polegającym na zapewnieniu ochrony danych osobowych odpowiednią do zagrożeń. Dokument wykorzystywany również w innych obszarach objętych SZBI. 03 Zarządzanie incydentami niezgodnościami, zespół procedur opisujących działania jakie należy podejmować w przypadku incydentów bądź niezgodności wynikłych w trakcie przetwarzania danych osobowych. Niniejsze procedury również wykorzystywane są w ramach funkcjonującego SZBI. 3.2 Funkcje związane z realizacją postanowień Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Administratorem Danych Osobowych (ADO) przetwarzanych w Urzędzie Gminy Kęty jest Burmistrz. Asystent Administratora Danych Osobowych (AsADO) - osoba powołana w celu sprawnego nadzorowania prawidłowego przetwarzania danych osobowych w Urzędzie Gminy Kęty. Administrator Systemów Informatycznych (ASI) - osoba odpowiedzialna za bezpieczeństwo i utrzymanie ciągłości działania sieci teleinformatycznych oraz systemów i oprogramowania używanego w Urzędzie Gminy Kęty. 4. Podstawowe definicje Ilekroć w dokumencie jest mowa o: Ustawie rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.); Administratorze Danych Osobowych (ADO) oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty; Asystent Administratora Danych Osobowych (AsADO) rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków; Administratorze Systemów Informatycznych (ASI) rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych; Urzędzie rozumie się Urząd Gminy Kęty; P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 5 z 14

6 danych osobowych w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; danych wrażliwych rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; dokumentacji bezpieczeństwa informacji rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji; haśle rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; identyfikatorze użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego; incydencie bezpieczeństwa rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową; przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie; rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; służbach informatycznych rozumie się przez to informatyków zatrudnionych w Urzędzie; systemie informatycznym rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną; użytkowniku rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych; P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 6 z 14

7 zbiorze danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 5. Organizacja przetwarzania danych osobowych 5.1 Administrator Danych Osobowych Administrator Danych Osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 5.2 Asystent Administratora Danych Osobowych Do zadań Asystenta Administratora Danych Osobowych należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy; 3) prowadzenie rejestru osób upoważnionych do przetwarzania danych osobowych. P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 7 z 14

8 5.3 W Urzędzie Gminy Kęty dopuszcza się przetwarzanie danych osobowych gdy: 1) jest to niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a wyrażenie zgody jest niemożliwe, można je przetwarzać do czasu, gdy uzyskanie zgody stanie się możliwe; 2) jest to konieczne w realizacji przepisów prawa; 3) wykonywane są zadania dla dobra publicznego, usprawiedliwione celami realizowanymi przez administratorów danych osobowych; 4) osoba, której dotyczą dane wyrazi na to zgodę. Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby, które posiadają ważne upoważnienie do przetwarzania danych osobowych. Z wnioskiem o upoważnienie pracownika do przetwarzania danych osobowych występuje jego bezpośredni przełożony. Wzory wniosku oraz upoważnienia określone są w Instrukcji Zarządzania Systemem Informatycznym. 5.4 Postępowanie ze zbiorami danych osobowych a) Rejestracja zbiorów danych osobowych Dyrektorzy wydziałów oraz pracownicy samodzielnych jednostek organizacyjnych Urzędu mają obowiązek poinformować ADO/AsADO o: planowanym utworzeniu nowego zbioru danych osobowych; zmianie w obrębie zbioru już zgłoszonego; zaprzestaniu przetwarzania zbioru danych osobowych. Asystent Administratora Danych Osobowych wpisuje zbiór do ewidencji oraz dokonuje zgłoszenia zbioru do GIODO, jeśli to konieczne. Gromadzenie danych można rozpocząć po uzyskaniu zgody od AsADO. b) Gromadzenie danych osobowych Pracownicy zatrudnieni przy przetwarzaniu danych osobowych są zobowiązani do przechowywania danych osobowych we właściwych zbiorach. Dane osobowe przetwarzane w Urzędzie mogą być uzyskiwane w granicach dozwolonych przepisami prawa. Zbierane dane osobowe mogą być wykorzystywane tylko do celów, w jakich są lub będą przetwarzane. Po ustaniu celu przetwarzania powinny być one usunięte lub przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą. P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 8 z 14

9 c) Zakaz przetwarzania danych osobowych W Urzędzie zabrania się przetwarzania danych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, przynależność polityczną lub związkową, stan zdrowia, kod genetyczny, nałogi lub fakty życia seksualnego, chyba że pozwalają na to obowiązujące przepisy prawa lub osoba, której powyższe dane dotyczą, wraziła na to pisemną zgodę. d) Udzielanie informacji o przetwarzaniu danych osobowych Osobom, których dane przetwarzane są w zbiorze danych w Urzędzie, przysługuje prawo do kontroli treści ich danych osobowych, a w szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych. Każda osobowa, która wystąpi z wnioskiem o otrzymanie informacji o jej danych, musi ją otrzymać w nieprzekraczalnym terminie 30 dni od daty wpłynięcia wniosku. W przypadku gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, kierujący komórką organizacyjną jest zobowiązana do ich uzupełnienia, uaktualnienia lub sprostowania. O każdym wniosku o udzielenie informacji oraz ewentualnej konieczności sprostowania danych należy powiadomić Asystenta Administratora Danych Osobowych. e) Zasady udostępniania danych osobowych Urząd udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymywania na mocy przepisów prawa. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. Decyzje w sprawie udostępnienia danych podejmuje ADO oraz AsADO. f) Powierzenie przetwarzania danych osobowych innemu podmiotowi Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej. Podmiot, któremu w drodze umowy powierza się przetwarzania danych osobowych, jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych. g) Obowiązki pracowników przetwarzających dane osobowe Pracownicy, którzy przetwarzają dane osobowe w systemach informatycznych, zobowiązani są do postępowania zgodnie z Instrukcją zarządzania systemem informatycznym. Pracownicy zatrudnieni przy przetwarzaniu danych osobowych są zobowiązani powiadomić ADO/AsADO o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych, tryb postępowania określa procedura 03 Zarządzanie incydentami niezgodnościami P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 9 z 14

10 h) Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Pracownik, który: przetwarza w zbiorze dane osobowe, do których przetwarzania nie jest upoważniony, których przetwarzanie jest zabronione, niezgodne z celem stworzenia zbioru danych; udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym; nie zgłasza zmian w zakresie przetwarzanych zbiorów danych osobowych; nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach; uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw; nie stosuje się do dokumentacji opisującej zasady przetwarzania danych osobowych w Urzędzie podlega odpowiedzialności służbowej oraz karnej zgodnie z przepisami Kodeksu Karnego, Ustawy o Ochronie Danych Osobowych oraz przepisami Kodeksu Pracy. i) Wprowadzanie zmian do organizacji zabezpieczeń Wprowadzanie zabezpieczeń mających na celu ochronę danych osobowych musi uwzględniać normy prawne, normy zarządzania bezpieczeństwem informacji oraz pozostałe polityki przyjęte w Urzędzie. 5.5 Organizacyjne i techniczne środki ochrony przetwarzanych danych a) Ochrona fizyczna pomieszczeń w których są przetwarzane dane osobowe Dane osobowe przetwarzane są w pomieszczeniach w budynkach: Budynek 1 Kęty ulica Rynek 7, Budynek 2 Kęty ulica Kilińskiego 1, Budynek 3 Kęty ulica Sobieskiego 19. następujących Wszystkie budynki są zabezpieczone systemem alarmowym, dodatkowo budynek przy ulicy Rynek 7 jest zabezpieczony monitoringiem wizualnym. Pomieszczenia, w których przetwarzane są dane, mają zabezpieczone wejścia za pomocą zamków w sposób uniemożliwiający dostęp do nich osób niepowołanych. b) Zabezpieczenie zbiorów przetwarzanych tradycyjnie Zbiory danych przetwarzane tradycyjnie (ręcznie) po godzinach pracy przechowywane winny być w szafkach zamkniętych (zamki, kłódki). Przetwarzanie danych osobowych w pomieszczeniach publicznie dostępnych musi odbywać się w sposób uniemożliwiający osobom niepowołanym podglądnięcie lub ich kradzież. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14

11 c) Zabezpieczenie zbiorów przetwarzanych cyfrowo (w systemach informatycznych) Stanowiska komputerowe w pomieszczeniach, gdzie przebywać mogą osoby nieupoważnione do przetwarzania danych - w tym danych osobowych (np. interesanci albo inni pracownicy Urzędu) - winny być umieszczone w sposób, który uniemożliwi takim osobom wgląd do tych danych. Każdy użytkownik systemu komputerowego korzysta, w celu dostępu do danych, ze stworzonego według określonych zasad konta, o odpowiednich uprawnieniach dostępu do zasobów tegoż systemu do pełnionych obowiązków. Dostęp do konta możliwy jest po podaniu prawidłowej pary unikalnej nazwy użytkownika i hasła o długości min. 8 znaków i terminie ważności. Wymaga się, by w miejscu styku sieci komputerowej urzędowej z siecią publiczną zastosowane były odpowiednie mechanizmy logiczne lub fizyczne, zapewniające separację zasobów informacyjnych Urzędu, uniemożliwiające dostęp osób niepowołanych z zewnątrz do jej zasobów, a także pozwalające na kontrolę przepływających danych. W systemie, systemach wykonywane winny być kopie zapasowe a ich nośniki zawierające kopie zapasowe powinny być przechowywane w bezpiecznym miejscu. d) Hasła do systemów zawierających dane osobowe Każdy użytkownik, który ma dostęp do systemów informatycznych, posiada unikalną nazwę (login) użytkownika i osobiste hasło. Użytkownik hasła: zobowiązany jest uwierzytelniać się w systemie informatycznym wyłącznie na podstawie własnego loginu i hasła (za wyjątkiem hasła początkowego), odpowiedzialny jest za wykorzystywanie swojego loginu i hasła oraz za wszystkie czynności wykonane przy użyciu swojego loginu i hasła, w żadnym wypadku nie może ujawniać swojego hasła komukolwiek, włącznie ze służbami informatycznymi, przełożonymi czy współpracownikami. Hasło użytkownika nie może być: przechowywane w formie możliwej do odczytania, tj. zapisane w plikach tekstem jawnym, skryptach i makrach, w pamięci przeglądarek internetowych, zapisane na kartkach i w miejscach, do których mają dostęp osoby nieupoważnione. Zasady zabezpieczenia, uzyskania hasła oraz sposób postępowania z hasłem opisane są w Instrukcji Zarządzania Systemami Informatycznymi. e) Wykorzystanie nośników danych w procesie przetwarzania danych osobowych Nośniki danych używane w procesie przetwarzania danych, które przestają pełnić swoją funkcję zostają fizycznie zniszczone, bądź poddane procesowi czyszczenia w sposób uniemożliwiający ich ponowne odczytanie. Za kontrolę procesu usuwania danych odpowiada ASI. Wykorzystywanie jakichkolwiek prywatnych nośników elektronicznych (np.: pendrive, przenośne dyski twarde, itd.) jest zabronione. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14

12 f) Ochrona przed szkodliwym oprogramowaniem Na wszystkich komputerach wymagana jest ochrona antywirusowa, która nie może być wyłączona przez użytkownika. Dodatkowo komputer winien być zabezpieczony przed możliwością instalowania i uruchamiania oprogramowania, którego celem jest nieuprawniony dostępu do systemu informatycznego. Za realizację wymogu odpowiada ASI. g) Zasady bezpiecznego używania laptopów i przenośnych nośników danych Laptopy podlegają tym samym regułom ochrony jak komputery stacjonarne, ponadto podlegają dodatkowej ochronie prawnej ze względu na traktowanie ich jako przenośną bazę danych, a szczególnie: powinny być zabezpieczone fizycznie podczas użytkowania, transportu oraz przechowywania przed dostępem osób nieuprawnionych i kradzieżą (np. specjalna torba, linki "kensington lock", zabezpieczenie przed kradzieżą, stały nadzór w przestrzeni publicznej), w trakcie pracy poza terenem kontrolowanym przez Urząd (np. w pociągu) należy zadbać, aby informacje chronione, zabezpieczone były odpowiednimi narzędziami kryptograficznymi (zgodne z rozporządzeniem MSWiA, Dz. U r. nr 100 poz. 1024), zabezpieczenie kryptograficzne danych zostało zaakceptowane przez AsADO oraz ASI. h) Przebywanie na terenie Urzędu Pracownikom wolno przebywać na terenie Urzędu tylko w wyznaczonych godzinach pracy a po nich jedynie po zawiadomieniu i uzyskaniu zgody bezpośredniego przełożonego. Przebywanie w budynku Urzędu w dni wolne od pracy możliwe jest jedynie po uzyskaniu zgody Burmistrza lub osoby przez niego upoważnionej. i) Postępowanie w przypadku naruszenia bezpieczeństwa informacji Wszyscy pracownicy mają obowiązek natychmiastowego zgłaszania zauważonych incydentów oraz zdarzeń potencjalnie niebezpiecznych bezpośredniemu przełożonemu ASI lub AsADO. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów, 2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, 3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). Do typowych incydentów bezpieczeństwa danych osobowych należą: 1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności), 2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych), P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14

13 3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). Wyżej opisane zagrożenia czy incydenty nie wyczerpują wszystkich możliwych przypadków. W sytuacji gdzie pracownik ma wątpliwości czy zdarzenie należy zakwalifikować jako incydent czy zagrożenie należy skontaktować się z ASI lub AsADO. 6. Konsekwencje przetwarzania danych osobowych niezgodnego z regulacjami Pracownik, który: przetwarza w zbiorze dane osobowe: do których przetwarzania nie jest upoważniony których przetwarzanie jest zabronione niezgodne z celem stworzenia zbioru danych; udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym; nie zgłasza AsADO zbiorów danych osobowych podlegających rejestracji; podlega odpowiedzialności karnej zgodnie z ustawą o ochronie danych osobowych oraz przepisami Kodeksu Pracy. 7. Ewidencje i rejestry wymaganych przez ustawodawcę 1) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe w Urzędzie Gminy Kęty stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Aktualizacja wykazu budynków nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. Udokumentowanie zmiany następuje w tabeli zmian dokumentu. 2) Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych w Urzędzie Gminy Kęty stanowi załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Aktualizacja wykazu zbiorów nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. 3) Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi został ujęty w załączniku nr 3 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Na załącznik mogą się składać: dokumentacja techniczna producenta, instrukcje obsługi, zrzuty ekranów, dokumentacja własna itp. Aktualizacja opisu zbiorów nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. 4) Sposób przepływu danych pomiędzy poszczególnymi systemami ujęty został w załączniku nr 4 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Na załącznik mogą się składać: dokumentacja techniczna producenta, instrukcje obsługi, zrzuty ekranów, dokumentacja własna itp. Aktualizacja załącznika nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. 5) Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona na bieżąco i aktualizowana przez AsADO oraz stanowi odrębny dokument. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14

14 6) Ewidencja umów powierzenia przetwarzania danych osobowych zawartych przez Urząd Gminy Kęty, które uwzględniają powierzenie przetwarzania danych osobowych, prowadzona jest przez AsADO. Osoby zawierające w/w umowy mają obowiązek poinformować AsADO o fakcie zawarcia umowy oraz przekazać do niego kserokopię umowy. Umowy przewidujące powierzenie danych powinny być zawierane w oparciu o wypracowane w Urzędzie wzorce, które przewidują odpowiednie zabezpieczenie interesów Urzędu. 8. Historia dokumentu Data / wydanie Opis zmiany / wyd. 1 Utworzenie dokumentu. P00-Polityka Bezpieczeństwa Informacji ODO;wyd z 14

15 Załącznik numer 1 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są danych osobowe. ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Osobowych Zał.1 PBIODO; wyd. 1 1 z 2

16 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Załącznik numer 1 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są danych osobowe. Czerwiec 2016 W dyspozycji UG Kęty znajdują się następujące budynki w których są przetwarzane dane osobowe. 1. Budynek zlokalizowany jest w Kętach przy ulicy Rynek 7 W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach: Numery pomieszczeń do wglądu w dokumentacji wewnętrznej. 2. Budynek zlokalizowany jest w Kętach przy ulicy Kilińskiego 1 W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach: Numery pomieszczeń do wglądu w dokumentacji wewnętrznej. 3. Budynek zlokalizowany jest w Kętach przy ulicy Sobieskiego 19 W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach: Numery pomieszczeń do wglądu w dokumentacji wewnętrznej. 4. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika, Zał.1 PBIODO; wyd. 1 2 z 2

17 Załącznik numer 2 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych Zał.2 PBIODO; wyd. 1 1 z 2

18 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Załącznik numer 2 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Nazwa zbioru danych osobowych do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej Program/system stosowany do przetwarzania zbioru danych do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej do wglądu w dokumentacji wewnętrznej 1. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika Zał.2 PBIODO; wyd. 1 2 z 2

19 Załącznik numer 3 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych Zał.3 PBIODO; wyd. 1 1 z 3

20 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Załącznik numer 3 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Spis treści Spis treści Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Historia dokumentu... 3 Zał.3 PBIODO; wyd. 1 2 z 3

21 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Załącznik numer 3 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. 1. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej. 8. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika Zał.3 PBIODO; wyd. 1 3 z 3

22 Załącznik numer 4 do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych Zał4 PBDO; wyd. 1 1 z 3

23 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Załącznik numer 4 Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe. Spis treści Spis treści Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej Historia dokumentu... 3 Zał4 PBDO; wyd. 1 2 z 3

24 Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Załącznik numer 4 Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe. 1. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej. Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej. 8. Historia dokumentu Data / wydanie Opis zmiany / wyd.1 Utworzenie załącznika Zał4 PBDO; wyd. 1 3 z 3