Polityka bezpieczeństwa danych osobowych Urzędu Gminy Krzęcin

Transkrypt

1

2 Spis Treści 1 WSTĘP, OBOWIĄZKI I UPRAWNIENIA PODMIOTÓW PRZETWARZAJĄCYCH DANE OSOBOWE W URZĘDZIE GMINY KRZĘCIN 3 2 DEFINICJE 7 3 OBSZAR PRZETWARZANIA, WYKAZ ZBIORÓW ZE WSKAZANIEM APLIKACJI SŁUŻĄCYCH DO ICH PRZETWARZANIA 8 4 OPIS ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH STOSOWANYCH DO ZABEZPIECZENIA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE 9 5 KONTROLA PRZESTRZEGANIA ZASAD ZABEZPIECZENIA DANYCH OSOBOWYCH W URZĘDZIE 10 6 ZASADY USUWANIA, UDZIELANIA INFORMACJI O PRZETWARZANIU, UDOSTĘPNIANIA DANYCH NA WNIOSEK ORAZ POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH OSOBOM TRZECIM 11 7 POSTĘPOWANIE W PRZYPADKACH WYSTĄPIENIA INCYDENTÓW ZWIĄZANYCH Z ZAGROŻENIEM BEZPIECZEŃSTWA DANYCH OSOBOWYCH PRZETWARZANYCH W URZĘDZIE 13 8 ODPOWIEDZIALNOŚĆ 15 Załączniki: 1. Załącznik nr 1 - Wykaz zbiorów danych osobowych, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe 2. Załącznik nr 2 - Wniosek o nadanie uprawnień dostępu do systemu informatycznego Urzędu Gminy Krzęcin 3. Załącznik nr 3 - Upoważnienie do przetwarzania danych osobowych 4. Załącznik nr 4 - Rejestr Osób Upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Strona 2 z 10

3 1 Wstęp, obowiązki i uprawnienia podmiotów przetwarzających dane osobowe w Urzędzie Gminy Krzęcin WSTĘP Niniejszy dokument, zwany dalej Polityką bezpieczeństwa", opisuje zasady mające zapewnić bezpieczeństwo przetwarzania danych osobowych zawartych w systemach informatycznych w Urzędzie Gminy Krzęcin zwanego dalej Urzędem". Opisane zasady określają granice dopuszczalnego zachowania wszystkich użytkowników systemów informatycznych wspomagających funkcjonowanie Urzędu. Dokument wskazuje na konsekwencje jakie mogą ponosić osoby przekraczające określone granice oraz określa jakie procedury postępowania opracowano dla zapobiegania i minimalizowania skutków potencjalnych zagrożeń. Odpowiednie zabezpieczenia, ochrona przetwarzanych przez Urząd danych osobowych oraz ciągłość funkcjonowania systemu informatycznego Urzędu są priorytetowymi celami, które zapewnia się poprzez dokumenty oraz wdrożone zabezpieczenia opracowane w zakresie ochrony danych osobowych, a także inne procedury związane z wolą zapewnienia wysokiego poziomu bezpieczeństwa systemu informatycznego Urzędu. Celem niniejszego dokumentu jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w art a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.), zwanej dalej ustawą". Polityka bezpieczeństwa stanowi realizację wymagań określonych w 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanego dalej rozporządzeniem". Celem Polityki bezpieczeństwa jest określenie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w szczególności przed udostępnieniem ich osobom nieupoważnionym oraz przetwarzaniem z naruszeniem przepisów ustawy. Strona 3 z 10

4 OBOWIĄZKI I UPRAWNIENIA 1. Polityka bezpieczeństwa określa tryb postępowania w przypadku, gdy: 1) stwierdzono naruszenie zabezpieczenia systemu informatycznego; 2) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci informatycznej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2. Polityka bezpieczeństwa ma zastosowanie do wszystkich pracowników Urzędu. 3. Wykonywanie postanowień tego dokumentu ma zapewnić właściwą reakcję, ocenę i udokumentowanie przypadków naruszenia bezpieczeństwa systemów oraz zapewnić właściwy tryb działania w celu przywrócenia akceptowalnego poziomu zabezpieczenia danych osobowych przetwarzanych w systemach informatycznym Urzędu. 4. Administratorem Danych Osobowych przetwarzanych w Urzędzie jest Urząd Gminy Krzęcin z siedzibą przy ul. Tylnej 7, Krzęcin. Administratora Danych Osobowych reprezentuje Wójt Gminy Krzęcin, zwany dalej Wójtem". Administrator Danych Osobowych jest zobowiązany do: 1) czuwania nad tym by przetwarzane w Urzędzie dane osobowe były przetwarzane zgodnie z prawem; 2) zapewnienia niezbędnych środków technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych w Urzędzie danych osobowych; 3) rejestracji w GIODO zbiorów danych przed przystąpieniem do ich przetwarzania; 4) sygnalizowania niezgodności przepisów gminnych oraz aktów wewnętrznych Urzędu z przepisami ustawowymi w zakresie ochrony danych osobowych i przedstawienia stosownych projektów zmian w celu dostosowania ich do regulacji ustawowych; 5) wyznaczenia Administratora Bezpieczeństwa Informacji. 5. Administrator Bezpieczeństwa Informacji realizuje zadania w zakresie ochrony danych, a w szczególności jest zobowiązany do: 1) ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach, systemów informatycznych Urzędu; 2) podejmowania stosownych działań zgodnie z niniejszą Polityką bezpieczeństwa w przypadku wykrycia nieuprawnionego dostępu, modyfikacji, usunięcia lub zabrania danych osobowych przetwarzanych w Urzędzie, 3) niezwłocznego informowania Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych; 4) nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych; 5) weryfikacji wniosku o nadanie uprawnień do systemu informatycznego Urzędu oraz podejmowania decyzji w tym zakresie; 6) prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych według załącznika nr 3 - Rejestr Osób Upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin; 7) wprowadzania w życie i nadzoru nad przestrzeganiem Instrukcji Zarządzania Systemami Informatycznymi w Urzędzie Gminy Krzęcin, zwaną dalej Instrukcją"; 8) reagowania na wszelkie przesłanki wskazujące na możliwość naruszenia tajemnicy danych osobowych; 9) podjęcia natychmiastowych działań na rzecz ochrony danych w przypadku naruszenia ustawy; 10) opracowania i wdrożenia programu szkoleń w zakresie zabezpieczenia systemu informatycznego. 6. Administrator Systemu realizuje zadania w zakresie zapewnienia ochrony danych osobowych zgodnie z wymaganiami ustawy i rozporządzenia, a w szczególności zobowiązany jest do: 1) zapewnienia należytego stanu technicznego urządzeń służących przetwarzaniu danych osobowych w Urzędzie; 2) zapewnienia właściwego funkcjonowania Aplikacji służących do przetwarzania danych osobowych w Urzędzie;

5 3) zapewnienia właściwego poziomu zabezpieczeń danych osobowych przetwarzanych w Urzędzie; 4) współpracy z Administratorem Bezpieczeństwa Informacji przy zapewnieniu odpowiedniego poziomu świadomości pracowników Urzędu w zakresie bezpieczeństwa danych osobowych; 5) współpracy z Administratorem Danych Osobowych oraz Administratorem Bezpieczeństwa Informacji w przypadkach naruszenia bezpieczeństwa danych osobowych przetwarzanych w Urzędzie; 6) nadawaniu i cofaniu uprawnień w systemie informatycznym. 7. Kierownicy komórek organizacyjnych Urzędu są zobowiązani do: 1) współdziałania z Administratorem Bezpieczeństwa Informacji oraz Administratorem Systemu w zakresie przestrzegania Instrukcji i Polityki bezpieczeństwa; 2) opracowania dla każdej osoby zatrudnionej przy przetwarzaniu danych osobowych zakresu czynności z uwzględnieniem stopnia dostępu do danych osobowych oraz przewidzianej odpowiedzialności za naruszenie tajemnicy danych osobowych; 3) sprawowania nadzoru nad pracą podległych pracowników w zakresie wykonywania czynności służbowych w sposób zapewniający ochronę danych osobowych; 4) zwracania się do Administratora Danych Osobowych o rozstrzygnięcie w przypadku istotnych wątpliwości co do stosowania przepisów prawnych z zakresu danych osobowych; 5) niezwłocznego zawiadomienia Administratora Danych Osobowych, Administratora Bezpieczeństwa Informacji o konieczności opisania nowego zbioru danych osobowych; 6) zwracania się do Administratora Bezpieczeństwa Informacji w celu wnioskowania o nadanie uprawnień do przetwarzania danych osobowych w systemach informatycznych Urzędu według załącznika nr Pracownik upoważniony do przetwarzania danych osobowych zobowiązany jest do: 1) zapoznania się z przepisami prawa w zakresie ochrony danych osobowych, co potwierdza w oświadczeniu o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych w Urzędzie (Polityka bezpieczeństwa, Instrukcja, Procedura Zapewnienie bezpieczeństwa danych i systemów informatycznych") określonych wraz z upoważnieniem do przetwarzania danych osobowych w Załączniku nr 3; 2) stosowania, określonych przez Administratora Danych Osobowych, środków technicznych i organizacyjnych mających na celu zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, utratą bądź zniszczeniem; 3) zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których te dane dotyczą; 4) podporządkowania się poleceniom Administratora Bezpieczeństwa Informacji, Administratora Systemu lub właściwego kierownika w zakresie ochrony danych osobowych; 5) zachowania w tajemnicy informacji dotyczących przetwarzania danych osobowych w Urzędzie. Niniejszy dokument jest zgodny z następującymi aktami prawnymi: 1) ustawą z dn. 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926, ze zm.); 2) rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 2 Definicje Ilekroć w niniejszym dokumencie używane są sformułowania: 1) Administrator Bezpieczeństwa Informacji (ABI/Informatyk) - należy przez to rozumieć osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie powszechnie obowiązujących przepisów o ochronie danych osobowych, danych, których szczególną ochronę określono w Polityce bezpieczeństwa Urzędu; Strona 5 z 10

6 2) Administrator Danych, Administrator Danych Osobowych - należy przez to rozumieć podmiot decydujący o celach i środkach przetwarzania danych osobowych, którym jest - Urząd Gminy Bierzwnik reprezentowany przez Wójta; 3) Administrator Systemu (AS/Informatyk) - należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego Urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony przewidzianych przez ten dokument oraz inne obowiązujące w Urzędzie dokumenty z zakresu bezpieczeństwa IT; 4) dane osobowe, zbiór danych, przetwarzanie danych, system informatyczny - stosuje się odpowiednio definicje wynikające z treści ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; 5) sieć lokalna - należy przez to rozumieć połączenie systemów informatycznych Urzędu wyłącznie dla własnych jej potrzeb przy wykorzystaniu istniejącej w Urzędzie infrastrukturze technicznej, z wyłączeniem nieautoryzowanego dostępu osób trzecich; 6) sieć publiczna - należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dniał 6 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800, ze zmianami); 7) Użytkownik systemu - należy przez to rozumieć osobę upoważnioną do przetwarzania chronionych danych, w tym danych osobowych, w systemie informatycznym Urzędu. Użytkownikiem może być Pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej albo osoba odbywająca staż w Urzędzie, lub też osoba trzecia mająca dostęp do systemu informatycznego Urzędu. 3 Obszar przetwarzania, wykaz zbiorów ze wskazaniem aplikacji służących do ich przetwarzania 1. Realizując Politykę bezpieczeństwa Administrator Danych Osobowych wyznacza budynki, pomieszczenia i części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe oraz opisuje zbiory danych osobowych przetwarzanych w Urzędzie wskazując aplikacje służące do ich przetwarzania. 2. Jako obszar przetwarzania danych osobowych wyznacza się Urząd Gminy Krzęcin z siedzibą przy ul. Tylnej 7, Krzęcin. 3. Szczegółowy wykaz zbiorów, pomieszczeń i aplikacji, za pomocą których przetwarzane są dane osobowe Urzędu stanowi Załącznik nr Wykaz, o którym mowa w ust. 3 prowadzi Administrator Bezpieczeństwa Informacji. 4 Opis środków technicznych i organizacyjnych stosowanych do zabezpieczenia przetwarzania danych osobowych w Urzędzie 1. Do zastosowanych środków technicznych należy: 1) przetwarzanie danych osobowych w wydzielonych pomieszczeniach położonych w strefie o ograniczonym dostępie (każdy pokój zamykany jest na klucz, do którego dostęp posiadają wyłącznie osoby upoważnione tj.: Kierownik Referatu, wyznaczony Pracownik); 2) zabezpieczenie wejścia do pomieszczeń w przypadku przebywania w nich osób trzecich przez wyznaczenie osoby nadzorującej jej obecność; 3) szczególne zabezpieczenie centrum przetwarzania danych Urzędu - pomieszczenia z serwerem (pierwsze piętro, pokój nr 9), gdzie znajduje się serwer, na którym przechowywane są wszystkie najważniejsze dane przetwarzane w Urzędzie (serwer aplikacji oraz serwer plików); 4) styk sieci lokalnej Urzędu z innymi sieciami, w tym publicznymi jest zabezpieczony poprzez zastosowanie routerów z funkcjami filtrującymi; 5) wyposażenie pomieszczeń w szafy i biurka, dające gwarancję bezpieczeństwa przechowywanej dokumentacji (szafy i biurka zamykane na klucz, a w przypadku szaf, w których przechowuje się dane osobowe /akta osobowe pracowników/ - zapewniające wymagany przez przepisy poziom bezpieczeństwa); 6) dostęp do danych osobowych w każdym wypadku wymaga uprzedniego zalogowania się do systemu operacyjnego stacji roboczej poprzez podanie nazwy użytkownika i hasła. Dodatkowo, dla aplikacji służących do przetwarzania danych osobowych konieczne jest dodatkowe uwierzytelnienie użytkownika za pomocą nazwy użytkownika i hasła Strona 6 z 10

7 odpowiadającym zasadom określonym w załączniku do rozporządzenia (Załącznik A - opis zabezpieczeń); 7) urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe przeznaczone do likwidacji, są wcześniej pozbawiane zapisu tych danych, a w przypadku, gdy nie jest to możliwe, nośniki są uszkadzane w sposób uniemożliwiający ich odczytanie; 8) nośniki informacji oraz wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia są przechowywane w warunkach uniemożliwiających dostęp do nich osobom niepowołanym przynajmniej w zamykanych na klucz szafach; 9) stacje robocze należące do Urzędu są chronione przed nieuprawnionym dostępem poprzez ich właściwą konfigurację oraz zainstalowanie na nich oprogramowania antywirusowego. 2. Do zastosowanych środków organizacyjnych należą przede wszystkim następujące zasady: 1) zapoznanie wszystkich pracowników z przepisami dotyczącymi ochrony danych osobowych oraz procedurą zapewnienia bezpieczeństwa danych i systemów informatycznych, przed dopuszczeniem ich do pracy oraz przeszkolenie tych osób w zakresie bezpiecznej obsługi urządzeń i programów do przetwarzania danych osobowych; 2) wydanie przeszkolonym osobom stosownych upoważnień do przetwarzania danych osobowych w Urzędzie według Załącznika nr 3 we właściwym dla nich zakresie zgodnym z wykonywanymi przez te osoby obowiązkami; 3) kontrolowanie otwierania i zamykania pomieszczeń, w których są przetwarzane dane osobowe, polegające na otwarciu pomieszczenia przez pierwszą osobę, która rozpoczyna pracę oraz zamknięciu pomieszczenia przez ostatnią wychodzącą osobę; 4) Każdy Pracownik Urzędu ma obowiązek zgłoszenia incydentów związanych z zagrożeniem bezpieczeństwa przetwarzania danych osobowych. Telefony alarmowe i miejsce przebywania odpowiednich osób (ABI, AS) są wiedzą powszechną dla każdego Pracownika. 3. Administrator Systemu zapewnia dostęp do opisu struktury danych osobowych właściwej dla każdego zbioru danych osobowych przetwarzanego w Urzędzie za sprawą zapewnienia dostępu do właściwej dokumentacji technicznej dla aplikacji przetwarzającej dane osobowe danego zbioru. 4. Administrator Systemu opisuje sposób przepływu danych pomiędzy poszczególnymi systemami. 5. Niezależnie od niniejszych zasad opisanych w Polityce bezpieczeństwa, w zakresie bezpieczeństwa mają zastosowanie wszelkie wewnętrzne regulaminy lub procedury dotyczące bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualne zakresy zadań osób zatrudnionych w Urzędzie. 5 Kontrola przestrzegania zasad zabezpieczenia danych osobowych w Urzędzie 1. Administrator Bezpieczeństwa Informacji, działając z upoważnienia i w imieniu Administratora Danych Osobowych sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w niniejszym dokumencie. 2. Administrator Bezpieczeństwa Informacji przeprowadza: szkolenia, kontrole oraz dokonuje bieżących ocen stanu bezpieczeństwa danych osobowych we wszystkich komórkach organizacyjnych Urzędu. 3. Szkolenie dotyczące bezpieczeństwa danych obejmuje wszystkich pracowników Urzędu. 4. Tematyka szkoleń obejmuje: 1) przepisy i instrukcje wewnętrzne dotyczące ochrony danych, archiwizacji zasobów i przechowywania nośników, niszczenie wydruków i zapisów na nośnikach magnetycznych i optycznych; 2) omówienie powinności pracowniczych wynikających z indywidualnych zakresów obowiązków pracowników związanych bezpośrednio z bezpieczeństwem danych i ochroną systemów na poszczególnych stanowiskach. 5. Na podstawie zgromadzonych materiałów Administrator Bezpieczeństwa Informacji przedstawia Administratorowi Danych Osobowych sprawozdanie z poziomu bezpieczeństwa i ochrony danych. Strona 7 z 10

8 6 Zasady usuwania, udzielania informacji o przetwarzaniu, udostępniania danych na wniosek oraz powierzania przetwarzania danych osobowych osobom trzecim Usuwanie danych osobowych 1. Dokumenty papierowe oraz nośniki danych zawierające dane osobowe są niszczone po czasie, w którym ustaje podstawa do ich przetwarzania lub w przypadku tymczasowych zapisów typu wydruki, dane zapisane na nośnikach mobilnych po ustaniu potrzeby ich przechowywania. 2. Do niszczenia dokumentów oraz nośników danych zawierających dane osobowe należy używać niszczarek bądź korzystać z usług podmiotu, z którym została zawarta umowa, o której mowa w art. 31 ustawy (powierzenie przetwarzania innemu podmiotowi na podstawie pisemnej umowy). 3. Niszczenie nośników podlega rejestracji w formie notatki sporządzonej dla celów dowodowych. Notatka zawiera ilość, rodzaj oraz numery seryjne i zawartość niszczonych nośników. Notatka podpisana jest przez osobę ją sporządzającą i załączana do dokumentacji prowadzonej przez ABL 4. O przeznaczeniu nośnika mobilnego do zniszczenia decyduje Administrator Bezpieczeństwa Informacji. 5. Wydruki tymczasowe niszczone są przez Pracowników we własnym zakresie po ustaniu potrzeby ich przetwarzania. Udzielanie informacji o przetwarzanych danych osobowych 1. Osobie, której dane osobowe są przetwarzane w Urzędzie, informacji dotyczących przetwarzania danych udziela Administrator Bezpieczeństwa Informacji. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, Administrator Bezpieczeństwa Informacji jest zobowiązany w szczególności do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia. Udostępnianie danych na wniosek 1. Dane osobowe udostępnia się zgodnie z art. 29 ustawy. 2. Odpowiedzi na wniosek, o którym mowa w art. 29 ust. 3 ustawy, udziela Administrator Bezpieczeństwa Informacji. 3. Udostępnienie zbiorów danych może nastąpić przez Administratora Bezpieczeństwa Informacji po wyrażeniu zgody przez Administratora Danych Osobowych. 4. Zgoda nie jest wymagana, jeśli udostępnienie danych wynika z zakresu zadań komórek organizacyjnych Urzędu, w dyspozycji których znajdują się te dane. 5. Administrator Bezpieczeństwa Informacji może odmówić udostępnienia danych jeżeli może to naruszyć bezpieczeństwo i ochronę danych osobowych zgromadzonych w Systemie Informatycznym Urzędu. 6. Każdorazowo przy odmowie udostępnienia danych osobowych Administrator Bezpieczeństwa Informacji podaje przyczynę odmowy udostępnienia danych osobowych w formie pisemnej. Powierzenie przetwarzania danych osobowych innym podmiotom 1. Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi na zasadach określonych w art. 31 ustawy. 2. Umowa, o której mowa w art. 31 ust. 1 ustawy, musi zawierać klauzulę określającą zasady przetwarzania danych osobowych, w tym: 1) cel przetwarzania powierzanych danych; 2) zakres powierzanych danych; 3) nazwę podmiotu przetwarzającego; 4) okres na który powierzono dane; 5) zobowiązanie do przestrzegania przepisów ustawy i Rozporządzenia. 3. Urząd ma możliwość sprawdzenia poprzez przeprowadzenie audytu bezpieczeństwa przetwarzania danych osobowych w organizacji, której powierzyła dane osobowe na mocy art. 31 ustawy. Strona 8 z 10

9 7 Postępowanie w przypadkach wystąpienia incydentów związanych z zagrożeniem bezpieczeństwa danych osobowych przetwarzanych w Urzędzie 1. Zakresem postępowania objęte są przypadki gdy: 1) stwierdzono naruszenie zabezpieczenia systemu informatycznego; 2) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2. Użytkownik lub każda inna osoba zatrudniona w Urzędzie, która stwierdzi lub podejrzewa naruszenie zabezpieczenia lub złamanie zasad ochrony danych osobowych w systemie informatycznym lub papierowym Urzędu, powinna niezwłocznie poinformować o tym zdarzeniu Administratora Bezpieczeństwa Informacji, a w przypadku jego nieobecności Administratora Danych Osobowych. 3. Administrator Bezpieczeństwa Informacji lub inna zobowiązana przez niego osoba powinna w pierwszej kolejności: 1) zapisać wszelkie informacje związane z danym zdarzeniem, a w szczególności czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu; 2) na bieżąco wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie możliwe dokumenty i raporty, które mogą być pomocne w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem; 3) przystąpić do identyfikacji rodzaju zaistniałego zdarzenia, określając: a) stopień zagrożenia oraz b) zidentyfikować sposób w jaki złamano zabezpieczenie oraz c) kto i jakimi środkami tego dokonał. 4. Administrator Bezpieczeństwa Informacji niezwłocznie podejmuje odpowiednie kroki w celu powstrzymania lub ograniczenia nieuprawnionego dostępu do danych osobowych Urzędu, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów incydentu, w szczególności przez: 1) fizyczne odłączenie urządzeń i elementów sieci, które mogły umożliwić dostęp do bazy danych osobie nieupoważnionej; 2) wylogowanie z systemu i zablokowanie wejścia użytkownika podejrzanego o naruszenie zabezpieczeń przetwarzanych w Urzędzie danych osobowych: zmianę hasła konta Administratora Systemu i Użytkownika, poprzez które dokonano nieuprawnionej ingerencji, w celu uniknięcia ponownej próby nieuprawnionego dostępu. 5. Po wyeliminowaniu bezpośredniego zagrożenia, Administrator Bezpieczeństwa Informacji zarządza przeprowadzenie wstępnej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia zasad bezpieczeństwa przetwarzanych w Urzędzie danych osobowych. 6. Administrator Bezpieczeństwa Informacji lub Administrator Systemu sprawdza: 1) stan urządzeń wykorzystywanych do przetwarzania danych osobowych w Urzędzie; 2) zawartość zbiorów danych osobowych pod kątem ich dostępności integralności; 3) poprawność działania aplikacji służących do przetwarzania danych osobowych; 4) jakość komunikacji w sieci produkcyjnej (lokalnej) oraz zewnętrznej (publicznej) Urzędu; 5) stanowiska komputerowe oraz serwery pod kątem obecności wirusów i oprogramowania szkodliwego. 7. Po wykonaniu czynności opisanych w ust. 6 Administrator Systemu przeprowadza szczegółową analizę stanu systemu informatycznego Urzędu obejmującą identyfikację: 1) rodzaju zaistniałego zdarzenia; 2) metody nieupoważnionego dostępu do danych osobowych przetwarzanych w Urzędzie; 3) skali zniszczeń. 8. Jeżeli nastąpiło uszkodzenie zbioru danych, niezbędne jest jego odtworzenie z ostatniej kopii zapasowej z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego uzyskania dostępu tą samą drogą przez osobę nieupoważnioną. 9. Po przywróceniu prawidłowej struktury zbioru danych osobowych Administrator Bezpieczeństwa Informacji zarządza przeprowadzenie szczegółowej analizy w celu określenia przyczyn naruszenia zasad ochrony i/lub zabezpieczeń przetwarzanych w Urzędzie danych Strona 9 z 10

10 osobowych oraz w celu przedsięwzięcia kroków mających na celu wyeliminowanie podobnych zdarzeń w przyszłości. 10. Jeżeli przyczyną incydentu był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych w systemie informatycznym Urzędu, należy przeprowadzić dodatkowe szkolenie uwzględniając w szczególności zaistniały incydent. 11. Jeżeli przyczyną incydentu było uaktywnienie wirusa lub kodu szkodliwego, należy ustalić źródło jego pochodzenia oraz zapewnić dodatkowe zabezpieczenia mające na celu zminimalizowanie zagrożenia. 12. Jeżeli przyczyną incydentu było zaniedbanie ze strony osoby zatrudnionej przy przetwarzaniu danych osobowych w Urzędzie, należy wyciągnąć konsekwencje przewidziane przez przepisy karne ustawy oraz rozważyć podjęcie sankcji dyscyplinarnych. 13. Jeżeli przyczyną incydentu było włamanie w celu pozyskania zbioru danych osobowych lub jego części, należy dokonać szczegółowej analizy podjętych środków zabezpieczających, czy są one wystarczające i dobrać nowe jeżeli przeprowadzona analiza wykaże taką potrzebę. 14. Jeżeli przyczyną incydentu był zły stan urządzenia lub sposób działania aplikacji, należy niezwłocznie przeprowadzić czynności dążące do przywrócenia odpowiedniego poziomu bezpieczeństwa aplikacji lub stanu technicznego urządzenia. Administrator Bezpieczeństwa Informacji sporządza notatkę zawierającą informacje o przyczynach, przebiegu i wnioskach wyciągniętych w związku z zaistniałym incydentem (załączając ewentualne kopie dowodów dokumentujących to zdarzenie) i przedstawia go Administratorowi Danych Osobowych w terminie 7 dni od daty zaistniałego zdarzenia lub w terminie późniejszym z uzasadnieniem opóźnienia. Sporządzoną notatkę załącza się do dokumentacji dotyczącej ochrony danych osobowych prowadzonej przez ABI. 8 Odpowiedzialność 1. Każda osoba, która: 1) przetwarza w zbiorze danych: a) dane osobowe, do których przetwarzania nie jest upoważniona, b) dane osobowe, których przetwarzanie jest zabronione, c) dane osobowe niezgodnie z celem utworzenia zbioru danych; 2) udostępnia dane osobowe lub umożliwia dostęp do nich osobom nieupoważnionym; a) nie dopełnia obowiązków w zakresie rejestracji zbioru danych; b) nie dopełnia obowiązku poinformowania osoby, której dane dotyczą o przysługujących jej prawach lub przekazania tej osobie informacji umożliwiających jej korzystanie z przysługujących jej praw, podlega odpowiedzialności na zasadach określonych w ustawie i odpowiednio do podstawy zatrudnienia w ustawie o służbie cywilnej oraz w kodeksie pracy. 2. Przypadki związane z naruszeniem bezpieczeństwa danych osobowych mogą zostać uznane jako ciężkie naruszenie obowiązków pracowniczych zgodnie z art. 52 kodeksu pracy. 3. Jeżeli skutkiem działania określonego w ust. 1 jest ujawnienie informacji osobie nieuprawnionej wypełniające znamiona przestępstwa, sprawca może zostać pociągnięty do odpowiedzialności karnej. Strona 10 z 10