POLITYKA BEZPIECZEŃSTWA INFORMACJI W POWIATOWYM URZĘDZIE PRACY W KWIDZYNIE

Transkrypt

1 Załącznik nr 2 do Zarządzenia nr 7 / 2007 Dyrektora Powiatowego Urzędu Pracy w Kwidzynie z dnia r. w sprawie ochrony danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie, wprowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. POLITYKA BEZPIECZEŃSTWA INFORMACJI W POWIATOWYM URZĘDZIE PRACY W KWIDZYNIE

2 SPIS TREŚCI: ROZDZIAŁ I Postanowienia ogólne, definicje i objaśnienia ROZDZIAŁ II Gromadzenie danych osobowych ROZDZIAŁ III Obowiązek informacyjny ROZDZIAŁ IV Udzielanie informacji o przetwarzaniu danych osobowych ROZDZIAŁ V Rejestracja zbiorów danych osobowych ROZDZIAŁ VI Ochrona przetwarzania danych osobowych ROZDZIAŁ VII Zasady udostępniania danych osobowych Załącznik A Wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe. Załącznik B Wykaz zbiorów danych osobowych przetwarzanych elektronicznie Załącznik C Opis struktury zbiorów danych osobowych przechowywanych w systemach informatycznych oraz sposób przepływu danych pomiędzy systemami informatycznymi Załącznik D Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązków wymienionych w 10 ust. 1 i 2 Polityki bezpieczeństwa. Załącznik E Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązków wymienionych w 11 ust. 1 i 2 Polityki bezpieczeństwa. Załącznik F Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązku wymienionego w 12 ust. 2 Polityki bezpieczeństwa. Załącznik G Wzór imiennego upoważnienia do przetwarzania danych osobowych. Wzór cofnięcia imiennego upoważnienia do przetwarzania danych osobowych.

3 Załącznik H Wzór oświadczenia osoby przetwarzającej dane osobowe o zachowaniu w tajemnicy danych z którymi ma styczność oraz stosowanych przy przetwarzaniu danych osobowych środków bezpieczeństwa. Załącznik I Wzór oświadczenia o zachowaniu tajemnicy osoby zatrudnionej przy przetwarzaniu danych osobowych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej. Załącznik J Wzór porozumienia zawieranego pomiędzy Dyrektorem Powiatowego Urzędu Pracy w Kwidzynie a pracownikiem zatrudnionym przy przetwarzaniu danych osobowych, w sprawie wykorzystania oddanego do dyspozycji sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej.

4 ROZDZIAŁ I Postanowienia ogólne, definicje i objaśnienia 1 1. Polityka Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych administrowanych przez Powiatowy Urząd Pracy w Kwidzynie. 2. Podstawą do opracowania i wdrożenia dokumentu są: a) Konstytucja Rzeczypospolitej Polskiej b) Ustawa o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r., nr 101, poz. 926 z późniejszymi zmianami) c) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., nr 100, poz. 1024) 3. Polityka Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie zawiera między innymi: a) wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe, stanowiący załącznik A do niniejszej instrukcji; b) wykaz zbiorów danych osobowych przetwarzanych elektronicznie lub w inny sposób, stanowiący załącznik B do niniejszej instrukcji c) opis struktury zbiorów danych osobowych przetwarzanych w systemach informatycznych oraz sposób przepływu danych pomiędzy systemami informatycznymi, stanowiący załącznik C do niniejszej instrukcji; 4. Przetwarzanie danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie jest dopuszczalne tylko pod warunkiem przestrzegania Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) i wydanych na jej podstawie przepisów wykonawczych, Zarządzenia Dyrektora Powiatowego Urzędu Pracy w Kwidzynie nr 7 / 2007 z dnia r. w sprawie ochrony danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie, wprowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, a także instrukcji będących załącznikami do tego zarządzenia. 2 Przez użyte w treści Instrukcji sformułowania należy rozumieć: 1. Ustawa - Ustawa o ochronie danych osobowych, tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami. 2. Dane osobowe zestaw informacji pozwalających na jednoznaczną identyfikację konkretnej osoby w konkretnym środowisku. 3. Zbiór danych osobowych dane osobowe zgromadzone w usystematyzowany sposób, pozwalający na łatwe dotarcie do konkretnej informacji. 4. Przetwarzanie danych wszystkie czynności wykonywane na danych, w tym szczególnie gromadzenie, utrwalanie, modyfikacja, usuwanie, przechowywanie, przenoszenie i przekazywanie, niezależnie od formy, w jakiej wykonywane są te czynności.

5 5. Administrator Danych Osobowych Dyrektor Powiatowego Urzędu Pracy w Kwidzynie, osoba funkcyjna odpowiedzialna za całokształt zagadnień związanych z przetwarzaniem danych osobowych w administrowanych przez nią zbiorach danych. 6. Administrator Bezpieczeństwa Informacji osoba funkcyjna wyznaczana przez Administratora Danych Osobowych odpowiedzialna za przestrzeganie zasad ochrony danych osobowych i nadzorująca bezpieczeństwo przetwarzania danych osobowych. 7. Lokalny Administrator Bezpieczeństwa Informacji osoba funkcyjna wyznaczana przez Administratora Danych Osobowych odpowiedzialna za przestrzeganie zasad ochrony danych osobowych i nadzorująca bezpieczeństwo przetwarzanych danych osobowych w podległej sobie komórce organizacyjnej. 8. Administrator Systemu Informatycznego - osoba funkcyjna wyznaczana przez Administratora Danych Osobowych odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym. 9. System informatyczny - zespół środków technicznych (urządzenia: komputerowe, drukujące, łączności, wraz z okablowaniem i oprogramowaniem), zespół zabezpieczeń środków technicznych, użytkownicy tych urządzeń i programów, a także sieć informatyczna i udostępniane przez nią zasoby. 10. Osoby zatrudnione przy przetwarzaniu danych osobowych wszystkie osoby, w tym użytkownicy systemu informatycznego, mające z racji wykonywanych obowiązków dostęp do danych osobowych Administrator Danych Osobowych ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator Danych Osobowych określa zakres przetwarzanych danych osobowych w wydawanych zarządzeniach, regulaminach lub w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych. 3. Administrator Danych Osobowych przetwarza dane osobowe znajdujące się w administrowanych przez niego zbiorach w określonych celach i w określonym zakresie, jeżeli: a) jest to konieczne do realizacji określonych prawem zadań b) jest to niezbędne do osiągnięcia uzasadnionych celów c) w innym celu i zakresie, jeśli osoba, której przetwarzane dane dotyczą, wyrazi na to pisemną zgodę 4. W przypadkach szczególnych cel i zakres przetwarzanych danych mogą określać inne obowiązujące przepisy szczegółowe Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora Bezpieczeństwa Informacji. 2. Osoby zatrudnione w Powiatowym Urzędzie Pracy przy przetwarzaniu danych osobowych są zobowiązane do przechowywania danych osobowych we

6 właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania. 3. Osoby zatrudnione w Powiatowym Urzędzie Pracy przy przetwarzaniu danych osobowych przy wykorzystaniu systemów informatycznych są zobowiązane do postępowania zgodnie z Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. 5 Osoby zatrudnione przy przetwarzaniu danych są zobowiązane powiadomić Administratora Bezpieczeństwa Informacji o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych w każdym zbiorze danych lub systemie. Tryb postępowania określa Instrukcja postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych. 6 W zbiorach danych administrowanych przez Powiatowy Urząd Pracy w Kwidzynie zabrania się przetwarzania w danych ujawniających: a) stan zdrowia b) pochodzenie rasowe lub etniczne, c) poglądy polityczne, d) przekonania religijne lub filozoficzne, e) przynależność wyznaniową, f) przynależność partyjną lub związkową, g) kod genetyczny h) nałogi i) preferencje seksualne, chyba, że wymagają tego obowiązujące przepisy prawa lub osoba, której powyższe dane dotyczą wyraziła pisemną zgodę. 7 Pracownik, który: 1. przetwarza w zbiorze danych a) dane osobowe, do których przetwarzania nie jest upoważniony, b) dane osobowe, których przetwarzanie jest zabronione, c) dane osobowe niezgodne z celem stworzenia zbioru danych, 2. udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym, 3. nie zgłasza Administratorowi Bezpieczeństwa Informacji zbiorów danych podlegających rejestracji, 4. nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach, 5. uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw, podlega odpowiedzialności karnej zgodnie z Ustawą oraz sankcjami zgodnymi z przepisami Kodeksu Pracy.

7 ROZDZIAŁ II Gromadzenie danych osobowych 8 Dane osobowe przetwarzane w Powiatowym Urzędzie Pracy w Kwidzynie mogą być uzyskiwane: 1. Bezpośrednio od osób, których te dane dotyczą. 2. Z innych źródeł, w granicach dozwolonych przepisami prawa Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą. 2. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe nie mające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych. ROZDZIAŁ III Obowiązek informacyjny Kierownicy tych komórek organizacyjnych Powiatowego Urzędu Pracy w Kwidzynie, które zbierają i przetwarzają dane osobowe, są odpowiedzialni za poinformowanie osób, których dane przetwarzają o: a) Adresie siedziby urzędu, pod którym dane są zbierane i przetwarzane. b) Celu zbierania danych, dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. c) Prawie wglądu do treści swoich danych oraz możliwości ich poprawiania. 2. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy poinformować ponadto o: a) Źródle danych. b) Uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 Ustawy. 3. Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązków wymienionych w ust. 1 i 2, o ile nie gwarantują spełnienia tego obowiązku inne formularze wypełniane i podpisywane przez zainteresowaną osobę, stanowi załącznik D do niniejszej instrukcji Materiały dotyczące innej niż ustawowa działalności Powiatowego Urzędu Pracy w Kwidzynie mogą być wysyłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu. 2. Kandydaci do pracy w Powiatowym Urzędzie Pracy w Kwidzynie w procesie rekrutacji muszą podpisać pisemną zgodę na przetwarzanie ich danych

8 osobowych lub umieścić i podpisać w składanych dokumentach odpowiednią klauzulę zezwalającą na przetwarzanie swoich danych osobowych. 3. Dokumenty złożone w celu określonym w ust. 2 są przechowywane w komórce organizacyjnej, która przetwarza te dane. 4. Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązków wymienionych w ust. 1 i 2, stanowi załącznik E do niniejszej instrukcji. ROZDZIAŁ IV Udzielanie informacji o przetwarzaniu danych osobowych Osobom, których dane przetwarza się w zbiorze danych w Powiatowym Urzędzie Pracy w Kwidzynie, przysługuje zgodnie z Ustawą prawo kontroli ich danych osobowych, a w szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych. 2. Każda osoba, która wystąpi z wnioskiem o otrzymanie informacji, musi otrzymać odpowiedź na piśmie w terminie nie przekraczającym niż 30 dni od daty wpłynięcia wniosku. 3. Informacji tej udziela się na formularzu stanowiącym załącznik F do niniejszej instrukcji. 13 W przypadku gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy, albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator Danych Osobowych jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia. ROZDZIAŁ V Rejestracja zbiorów danych osobowych 14 Kierownicy komórek organizacyjnych Powiatowego Urzędu Pracy w Kwidzynie, w których przetwarzane są dane osobowe, są zobowiązani do zgłoszenia Administratorowi Bezpieczeństwa Informacji na temat: a) planowanego założenia nowych zbiorów danych osobowych wymagających rejestracji. b) wnoszonych zmian do zbiorów już zarejestrowanych. ROZDZIAŁ VI Ochrona przetwarzania danych osobowych 15

9 1. Administrator Danych Osobowych Powiatowego Urzędu Pracy w Kwidzynie zobowiązany jest do wydawania, ewidencjonowania i przechowywania imiennych upoważnień do przetwarzania danych osobowych oraz cofniętych upoważnień. Upoważnienie może zostać wydane na czas określony lub do odwołania. Wydanie cofnięcia upoważnienia jest konieczne wyłącznie w przypadku uprzedniego wydania upoważnienia na czas do odwołania. Wzory formularza upoważnienia i formularza cofnięcia upoważnienia stanowią załącznik G do niniejszej instrukcji. 2. Administrator Danych Osobowych Powiatowego Urzędu Pracy w Kwidzynie zobowiązany jest do zbierania, ewidencjonowania i przechowywania: a) oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych z którymi mają styczność oraz stosowanych przy przetwarzaniu danych osobowych środkach bezpieczeństwa. Wzór formularza oświadczenia stanowi załącznik H do niniejszej instrukcji. b) oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej o zachowaniu tajemnicy. Wzór formularza oświadczenia stanowi załącznik I do niniejszej instrukcji. c) porozumień zawartych z osobami zatrudnionymi przy przetwarzaniu danych osobowych w zakresie wykorzystania oddanego im do dyspozycji sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej. Wzór formularza porozumienia stanowi załącznik J do niniejszej instrukcji. 3. Brak ważnego upoważnienia, o którym mowa w punkcie 1, oraz brak podpisanych oświadczeń i porozumienia, o których mowa w punkcie 2, uniemożliwia powierzenie pracownikowi wykonywania zadań i obowiązków związanych z przetwarzaniem danych osobowych Całkowity nadzór i kontrolę przetwarzania danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie realizuje i odpowiada za nie Administrator Bezpieczeństwa Informacji. 2. Administrator Bezpieczeństwa Informacji ma obowiązek ściśle współpracować z Administratorem Systemu Informatycznego w zakresie przetwarzania danych osobowych w systemach informatycznych. 3. Administrator Bezpieczeństwa Informacji ma obowiązek zapewnić zapoznanie się osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami dotyczącymi ochrony danych osobowych oraz przeszkolić je w tym zakresie. 17 W celu realizacji powierzonych zadań Administrator Bezpieczeństwa Informacji w Powiatowym Urzędzie Pracy w Kwidzynie ma prawo: 1. Kontrolować komórki organizacyjne w zakresie właściwego zabezpieczenia systemów informatycznych oraz pomieszczeń, w których przetwarzane są dane osobowe. 2. Wydawać polecenia kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych. 3. Informować Administratora Danych Osobowych Powiatowego Urzędu Pracy w Kwidzynie o przypadkach naruszenia bezpieczeństwa danych osobowych. 4. Żądać od wszystkich pracowników wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych.

10 ROZDZIAŁ VII Zasady udostępniania danych osobowych 18 Administrator Danych Osobowych udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa Zbiory danych udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. 2. Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. 3. Wniosek jest rozpatrywany przez Lokalnego Administratora Bezpieczeństwa Informacji lub, w przypadku nieobecności Lokalnego Administratora Bezpieczeństwa Informacji, przez Administratora Bezpieczeństwa Informacji, który jednocześnie prowadzi ewidencję wniosków. 4. Decyzję w sprawie udostępnienia danych podejmuje wyłącznie Lokalny Administrator Bezpieczeństwa Informacji lub, w przypadku nieobecności Lokalnego Administratora Bezpieczeństwa Informacji, Administrator Bezpieczeństwa Informacji. 20 Administrator Danych Osobowych może odmówić udostępnienia danych osobowych, jeżeli: 1. spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób. 2. dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej. 2. Podmiot, o którym mowa w ust.1 jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych. 3. Podmiot, o którym mowa w ust.1 jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie, w jakim reguluje to zawarta umowa. 4. W przypadkach opisanych w ust. 1, 2 i 3, odpowiedzialność za ochronę przetwarzanych danych osobowych spoczywa na Administratorze Danych Osobowych, co nie wyłącza w żadnym przypadku odpowiedzialności podmiotu, z którym zawarto umowę, z tytułu przetwarzania danych niezgodnie z ustawą.

11 5. Przy kontroli zgodności przetwarzanych danych przez upoważniony przez Administratora Danych Osobowych podmiot, o którym mowa w ust. 1, stosuje się odpowiednio przepisy art ustawy.

12 Załącznik A do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe. Budynek: siedziba Powiatowego Urzędu Pracy w Kwidzynie, Kwidzyn, ul. Grudziądzka 30 Lp. Numer pomieszczenia Komórka organizacyjna Dział Organizacyjny Dział Organizacyjny Dział Organizacyjny Dział Organizacyjny Dział Organizacyjny Dział Organizacyjny Dział Organizacyjny 8. 1 Dział Ewidencji i Świadczeń 9. 2 Dział Ewidencji i Świadczeń Dział Ewidencji i Świadczeń Dział Ewidencji i Świadczeń Dział Ewidencji i Świadczeń Dział Ewidencji i Świadczeń Dział Usług Rynku Pracy Dział Usług Rynku Pracy Dział Usług Rynku Pracy Dział Organizacyjny Kierownictwo Dział Organizacyjny Kierownictwo Dział Usług Rynku Pracy Dział Usług Rynku Pracy Dział Usług Rynku Pracy Dział Usług Rynku Pracy Dział Finansowy Dział Finansowy

13 Dział Finansowy Dział Organizacyjny a Dział Organizacyjny Budynek: siedziba Filii PUP Kwidzyn w Prabutach, Prabuty, ul. Kwidzyńska 4 Lp. Numer pomieszczenia Komórka organizacyjna 1. 1 Filia Prabuty 2. 2 Filia Prabuty 3. 3 Filia Prabuty 4. 4 Filia Prabuty

14 Załącznik B do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wykaz zbiorów danych osobowych przetwarzanych elektronicznie Powiatowy Urząd Pracy w Kwidzynie przetwarza elektronicznie niżej wymienione zbiory danych osobowych: 1. Dane osobowe osób bezrobotnych, poszukujących pracy i innych klientów Powiatowego Urzędu Pracy. Dane te przetwarzane są w niżej wymienionych systemach informatycznych lub programach: a) System Informatyczny PULS b) archiwalne bazy danych systemu SOETO c) program Płatnik d) program Home Banking 2. Dane osobowe obecnych i byłych pracowników Powiatowego Urzędu Pracy w Kwidzynie oraz osób odbywających w Powiatowym Urzędzie Pracy w Kwidzynie staże, praktyki lub szkolenia zawodowe. Dane te przetwarzane są w niżej wymienionych systemach informatycznych lub programach: a) System Informatyczny PULS b) program Płatnik c) program Home Banking

15 Załącznik C do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Opis struktury zbiorów danych osobowych przechowywanych w systemach informatycznych oraz sposób przepływu danych pomiędzy systemami informatycznymi Opis struktury zbiorów danych osobowych. Z uwagi na objętość informacji zawartych w opisach struktury danych przechowywanych w eksploatowanych systemach informatycznych i programach Administrator Danych Osobowych w Powiatowym Urzędzie Pracy w Kwidzynie dopuszcza możliwość przechowywania opisów struktur danych w postaci dokumentów elektronicznych. Dokumenty te są każdorazowo częścią dokumentacji technicznej i użytkowej przygotowanej przez producentów eksploatowanych systemów informatycznych i programów oraz są w każdym momencie dostępne w postaci elektronicznej. Administrator Danych Osobowych przy każdorazowej aktualizacji eksploatowanych systemów informatycznych i programów ma obowiązek sprawdzić, czy nie zaszły zmiany w strukturze danych osobowych oraz zweryfikować opis struktury danych pod względem zgodności ze stanem aktualnym. Sposób przepływu informacji pomiędzy systemami informatycznymi. Dane osobowe osób bezrobotnych, poszukujących pracy, innych klientów Powiatowego Urzędu Pracy oraz obecnych i byłych pracowników Powiatowego Urzędu Pracy gromadzone są w Systemie Informatycznym PULS, składającym się z modułów, w których dostępne są dane osobowe: Administracja, Finanse, Obsługa Formalna, Kadry, Płace, Pośrednictwo Pracy, Prace Okresowe i Staże, Świadczenia, Szkolenia. Za pomocą poszczególnych modułów realizowane są konkretne zadania. Dostęp do poszczególnych modułów oraz funkcjonalności modułów realizowana jest za pomocą systemu identyfikatorów, haseł i uprawnień. Funkcjonalność modułów opisana jest w dokumentacji użytkowej wykonanej przez producenta systemu. Dane osobowe obecnych i byłych pracowników Powiatowego Urzędu Pracy dostępne są wyłącznie w modułach Administracja, Finanse, Kadry oraz Płace. Dane osobowe osób bezrobotnych, poszukujących pracy i innych klientów Powiatowego Urzędu Pracy wprowadzone do systemu w dowolnym oprócz wymienionych wyżej module systemu służącym przetwarzaniu tych danych są dostępne w każdym innym oprócz wymienionych wyżej module systemu służącym przetwarzaniu tych danych. System Informatyczny PULS umożliwia wymianę danych z innymi systemami informatycznymi i programami poprzez wbudowane przez producenta systemu mechanizmy wymiany danych. Mechanizmy te obejmują: a) Obustronną wymianę danych pomiędzy różnymi instalacjami Systemu Informatycznego PULS przy wykorzystaniu przesyłów danych. Przesyły te zawierają informacje przedstawione w sposób niejawny, możliwe do odczytania wyłącznie w instalacji, dla której taki przesył został sporządzony. b) Jednostronną wymianę danych z programem Płatnik w postaci generowanego stosownie do wymogów i potrzeb zestawu danych wymaganych przez Zakład Ubezpieczeń Społecznych dla realizacji wymogów dotyczących ubezpieczenia

16 społecznego i zdrowotnego. Dane te mają ściśle określoną strukturę i są zapisywane w sposób jawny, wyłącznie na urządzeniach i nośnikach danych podlegających zabezpieczeniu przed nieuprawnionym dostępem osób nieupoważnionych. c) Jednostronną wymianę danych z programem Home Banking w postaci generowanego stosownie do wymogów i potrzeb zestawu danych wymaganych przez Powiślański Bank Spółdzielczy dla poprawnej realizacji zleconych operacji finansowych. Dane te mają ściśle określoną strukturę i są zapisywane w sposób jawny, wyłącznie na urządzeniach i nośnikach danych podlegających zabezpieczeniu przed nieuprawnionym dostępem osób nieupoważnionych. d) Jednostronną wymianę danych z innymi, nieokreślonymi w sposób jawny systemami informatycznymi w postaci generowanych stosownie do wymogów i potrzeb raportów i zestawień zawierających wybrane przez użytkownika dane, możliwe do zaimportowania do innego systemu informatycznego, o ile system ten dysponuje taką możliwością. Dane te mają strukturę określoną każdorazowo przez użytkownika i są zapisywane w sposób jawny, wyłącznie na urządzeniach i nośnikach danych podlegających zabezpieczeniu przed nieuprawnionym dostępem osób nieupoważnionych. Program Płatnik umożliwia wymianę danych z systemem informatycznym Zakładu Ubezpieczeń Społecznych poprzez wbudowane przez producenta systemu mechanizmy wymiany danych. Mechanizmy te obejmują: a) Transmisję przetworzonych informacji do rozproszonego systemu informatycznego Zakładu Ubezpieczeń Społecznych. Transmitowane dane zawierają informacje przedstawione w sposób niejawny, możliwe do odczytania wyłącznie w systemie, do którego transmisja została wysłana. b) Informacje zwrotne odbierane drogą teletransmisji z rozproszonego systemu informatycznego Zakładu Ubezpieczeń Społecznych. Transmitowane dane zawierają informacje przedstawione w sposób niejawny, możliwe do odczytania wyłącznie w systemie, do którego transmisja została wysłana. Program Home Banking umożliwia wymianę danych z innymi systemami informatycznymi i programami poprzez wbudowane przez producenta systemu mechanizmy wymiany danych. Mechanizmy te obejmują: a) Transmisję przetworzonych informacji do systemu informatycznego Powiślańskiego Banku Spółdzielczego w Kwidzynie. Transmitowane dane zawierają informacje przedstawione w sposób niejawny, możliwe do odczytania wyłącznie w systemie, do którego transmisja została wysłana. b) Informacje zwrotne odbierane drogą teletransmisji z systemu informatycznego Powiślańskiego Banku Spółdzielczego w Kwidzynie. Transmitowane dane zawierają informacje przedstawione w sposób niejawny, możliwe do odczytania wyłącznie w systemie, do którego transmisja została wysłana. Archiwalne bazy danych systemu SOETO nie zawierają mechanizmów umożliwiających wymianę danych w postaci elektronicznej. Od zaprzestania eksploatacji systemu SOETO w 1999 roku archiwalne bazy danych tego systemu służą wyłącznie do odczytu danych i są pozbawione możliwości zmiany, dodania lub usunięcia zawartości.

17 Załącznik D do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązków wymienionych w 10 ust. 1 i 2 Polityki bezpieczeństwa...., dnia... Informacja o przetwarzaniu danych osobowych Informuję, że Pani/Pana* dane osobowe są/będą* przetwarzane przez Powiatowy Urząd Pracy w Kwidzynie w zbiorze danych osobowych o nazwie [podać nazwę zbioru danych osobowych] wyłącznie w celu [podać cel przetwarzania danych] Podanie danych jest dobrowolne/obowiązkowe* na podstawie przepisów określonych prawem [podać podstawę prawną]. W rozumieniu Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) administratorem zbioru danych, których przetwarzane są/będą* Pani/Pana* dane osobowe jest dyrektor Powiatowego Urzędu Pracy w Kwidzynie. Równocześnie informuję, że przysługuje Pani/Panu* prawo wglądu do danych osobowych, prawo ich poprawiania, a także w przypadkach określonych w art. 32 ust. 1 pkt 7 i 8 ustawy, prawo wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz prawo sprzeciwu wobec przetwarzania danych lub wobec przekazywania danych innemu administratorowi danych osobowych.... (podpis upoważnionego pracownika) * - niepotrzebne skreślić

18 Załącznik E do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązków wymienionych w 11 ust. 1 i 2 Polityki bezpieczeństwa...., dnia (imię i nazwisko)... (adres zamieszkania) Zgoda na przetwarzanie danych osobowych w celach innych niż statutowa działalność Powiatowego Urzędu Pracy Niniejszym oświadczam, że wyrażam zgodę na przetwarzanie moich danych osobowych przez Powiatowy Urząd Pracy w Kwidzynie w zarejestrowanym zbiorze danych osobowych o nazwie [podać nazwę zbioru danych osobowych] w celu [podać cel przetwarzania danych inny niż statutowa działalność PUP] poprzez korespondencję kierowaną bezpośrednio na mój adres korespondencyjny. W rozumieniu Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) administratorem zbioru danych, których przetwarzane będą moje dane osobowe jest dyrektor Powiatowego Urzędu Pracy w Kwidzynie. Równocześnie oświadczam, że poinformowano mnie o tym, że podanie moich danych osobowych jest dobrowolne, oraz o przysługującym mi prawie wglądu do moich danych, prawie do ich poprawiania a także o prawie sprzeciwu wobec dalszego przetwarzania oraz wobec przekazywania moich danych osobowych innym podmiotom. Przyjmuję do wiadomości, że zgodnie z Ustawą informacje na temat moich danych osobowych przetwarzanych przez Powiatowy Urząd Pracy w Kwidzynie udzielane mi będą na podstawie pisemnego wniosku oraz że zgodnie z przywołaną wyżej ustawą z prawa do uzyskania takich informacji mogę korzystać nie częściej niż raz na sześć miesięcy.... (podpis osoby składającej oświadczenie)

19 Załącznik F do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór formularza stosowanego dla spełnienia przez Powiatowy Urząd Pracy w Kwidzynie obowiązku wymienionego w 12 ust. 2 Polityki bezpieczeństwa...., dnia... Pani/Pan*... (imię i nazwisko)... (adres zamieszkania) Informacja o zawartości zbioru danych osobowych W związku z Pani/Pana* wnioskiem z dnia... o udzielenie informacji związanych z zawartością przetwarzanych danych osobowych, Powiatowy Urząd Pracy w Kwidzynie działając na podstawie art. 33 ust. 1 Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) informuje, że zbiór danych zawiera następujące Pani/Pana* dane osobowe: [wymienić przetwarzane dane osobowe] Powyższe dane są przetwarzane w celu [podać cel przetwarzania danych] z zachowaniem wymaganych zabezpieczeń i zostały uzyskane [podać sposób uzyskania danych]. Powyższe dane nie były/były* udostępniane. [Jeśli były należy wyszczególnić komu i w jakim celu] Zgodnie z ustawą przysługuje Pani/Panu* prawo wglądu do danych osobowych, prawo ich poprawiania, a także w przypadkach określonych w art. 32 ust. 1 pkt 7 i 8 ustawy, prawo wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz prawo sprzeciwu wobec przetwarzania danych lub wobec przekazywania danych innemu administratorowi danych osobowych.... (podpis upoważnionego pracownika) * - niepotrzebne skreślić

20 Załącznik G do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór imiennego upoważnienia do przetwarzania danych osobowych...., dnia... Upoważnienie nr... Na podstawie art. 37 Ustawy o ochronie danych osobowych (tekst jednolity Dz. U z 2002 r., nr 101, poz. 926 z późniejszymi zmianami) upoważniam Panią/Pana [imię i nazwisko] [zajmowane stanowisko] - do przetwarzania danych osobowych znajdujących się w zbiorach danych przetwarzanych w Powiatowym Urzędzie Pracy w Kwidzynie* - do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie* Upoważnienie jest ważne od [data] do [data lub wskazać do odwołania ] (podpis upoważnianej osoby) (podpis Dyrektora Powiatowego Urzędu Pracy w Kwidzynie) * - niepotrzebne skreślić

21 Wzór cofnięcia imiennego upoważnienia do przetwarzania danych osobowych...., dnia... Pani/Pan*... (imię i nazwisko)... (zajmowane stanowisko) Na podstawie art. 37 Ustawy o ochronie danych osobowych (tekst jednolity Dz. U z 2002 r., nr 101, poz. 926 z późniejszymi zmianami) cofam z dniem [podać datę] wydane w dniu [podać datę wydania upoważnienia] upoważnienie numer [podać numer upoważnienia] - do przetwarzania danych osobowych znajdujących się w zbiorach danych przetwarzanych w Powiatowym Urzędzie Pracy w Kwidzynie* - do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie* (podpis osoby, której cofnięto upoważnienie) (podpis Dyrektora Powiatowego Urzędu Pracy w Kwidzynie) * - niepotrzebne skreślić

22 Załącznik H do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór oświadczenia osoby przetwarzającej dane osobowe o zachowaniu w tajemnicy danych z którymi ma styczność oraz stosowanych przy przetwarzaniu danych osobowych środków bezpieczeństwa...., dnia... Oświadczenie Ja, niżej podpisana/podpisany*... zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam lub będę miała/miał* dostęp w związku z wykonywaniem przeze mnie zadań służbowych i obowiązków pracowniczych w Powiatowym Urzędzie Pracy w Kwidzynie, zarówno w trakcie obecnie obowiązującego mnie stosunku pracy, jak i po ustaniu zatrudnienia. Oświadczam, że jest mi znana definicja danych osobowych w rozumieniu art. 6 Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) oraz że zapoznałam/zapoznałem* się z przepisami o ochronie danych osobowych. Oświadczam również, że zrozumiałam/zrozumiałem* ich treść. Zobowiązuję się do przestrzegania regulaminów, instrukcji i procedur obowiązujących w Powiatowym Urzędzie Pracy w Kwidzynie dotyczących przetwarzania i ochrony danych osobowych, a w szczególności nie będę bez pisemnego upoważnienia administratora danych osobowych wykorzystywała/wykorzystywał* danych osobowych ze zbiorów przetwarzanych w Powiatowym Urzędzie Pracy w Kwidzynie do celów innych niż związane z wykonywanymi obowiązkami. Oświadczam, że zapoznałam/zapoznałem* się z powyższymi regulacjami i zrozumiałam/zrozumiałem* ich treść. Oświadczam, że przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane za ciężkie naruszenie obowiązków pracowniczych w rozumieniu Kodeksu Pracy oraz może spowodować sankcje przewidziane przepisami prawa.... (podpis składającego oświadczenie) * - niepotrzebne skreślić

23 Załącznik I do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór oświadczenia o zachowaniu tajemnicy osoby zatrudnionej przy przetwarzaniu danych osobowych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej...., dnia... Oświadczenie Ja, niżej podpisana/podpisany*... zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam lub będę miała/miał* dostęp w związku z wykonywaniem przeze mnie powierzonych mi na podstawie umowy zlecenia* / umowy o dzieło* / [innej umowy cywilnej - określić rodzaj umowy]* [podać numer, datę zawarcia i cel umowy] zadań przez Powiatowy Urząd Pracy w Kwidzynie, zarówno w trakcie obecnie obowiązującej mnie umowy, jak i po jej ustaniu. Oświadczam, że jest mi znana definicja danych osobowych w rozumieniu art. 6 Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami). Oświadczam również, że zrozumiałam/zrozumiałem* treść tej definicji. Zobowiązuję się do przestrzegania przepisów Ustawy o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz.1024), a w szczególności nie będę bez pisemnego upoważnienia administratora danych osobowych wykorzystywała/wykorzystywał* danych osobowych ze zbiorów przetwarzanych w Powiatowym Urzędzie Pracy w Kwidzynie do celów innych niż związane z wykonywanymi na podstawie umowy zadaniami. Oświadczam, że zapoznałam/zapoznałem* się z powyższymi regulacjami i zrozumiałam/zrozumiałem* ich treść. Oświadczam, że przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może spowodować sankcje przewidziane przepisami prawa.... (podpis składającego oświadczenie) * - niepotrzebne skreślić

24 Załącznik J do Polityki Bezpieczeństwa Informacji Powiatowego Urzędu Pracy w Kwidzynie Wzór porozumienia zawieranego pomiędzy Dyrektorem Powiatowego Urzędu Pracy w Kwidzynie a pracownikiem zatrudnionym przy przetwarzaniu danych osobowych, w sprawie wykorzystania oddanego do dyspozycji sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej...., dnia... Porozumienie w sprawie wykorzystania oddanego do dyspozycji pracownika sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej Dyrektor Powiatowego Urzędu Pracy w Kwidzynie, zwany dalej dyrektorem i [podać imię i nazwisko], zwany dalej pracownikiem zawierają na czas trwania zatrudnienia pracownika w Powiatowym Urzędzie Pracy w Kwidzynie porozumienie o poniższej treści. Dyrektor zobowiązuje się do: 1. Zaznajomienia pracownika z obowiązującymi przy realizacji powierzonych mu zadań i obowiązków przepisami prawa i regulacjami wewnętrznymi, w tym szczególnie związanych z przetwarzaniem danych osobowych, przy wykorzystaniu sprzętu informatycznego, oprogramowania i zasobów sieci informatycznej. 2. Niezwłocznego i jednoznacznego wyjaśnienia wszelkich wątpliwości zgłoszonych mu przez pracownika w zakresie objętym porozumieniem. 3. Zapewnienia pracownikowi niezbędnego dla prawidłowego i terminowego wykonywania zadań i obowiązków sprzętu informatycznego, w tym komputera, drukarki i urządzeń umożliwiających komunikację. 4. Zapewnienia pracownikowi legalnego oprogramowania w jak największym stopniu wspierającego realizację powierzonych mu zadań i obowiązków, w ramach określonych standardów obowiązujących w Powiatowym Urzędzie Pracy w Kwidzynie. 5. Nie wyciągania konsekwencji w przypadku nie wywiązania się pracownika z zadań i obowiązków spowodowanego nie działaniem lub wadliwym działaniem sprzętu informatycznego, oprogramowania lub udostępnionych zasobów, za wyjątkiem spowodowania takiej sytuacji przez świadome działanie pracownika oraz pod warunkiem, że pracownik niezwłocznie poinformuje dyrektora lub swojego przełożonego o takiej sytuacji. 6. Akceptowania wykorzystywania w miejscu pracy przez pracownika powierzonego mu sprzętu informatycznego, oprogramowania i zasobów sieciowych dla celów służących samokształceniu, w tym szczególnie podnoszenia kwalifikacji związanych z wykonywanymi zadaniami i pełnionymi obowiązkami, pod warunkiem wcześniejszego prawidłowego i terminowego wykonania powierzonych mu zadań i obowiązków. Pracownik zobowiązuje się do:

25 1. Przestrzegania obowiązujących przepisów prawa i regulacji wewnętrznych w zakresie wykorzystania sprzętu informatycznego, oprogramowania i zasobów sieci informatycznej podczas wykonywania swoich zadań i obowiązków, w tym szczególnie podczas przetwarzania danych osobowych. 2. Wykorzystywania powierzonego mu sprzętu informatycznego, oprogramowania i zasobów sieciowych wyłącznie dla realizacji powierzonych mu zadań i obowiązków lub dla celów służących samokształceniu, w tym szczególnie podnoszenia kwalifikacji związanych z pełnionymi obowiązkami. 3. Dbałości o powierzony mu sprzęt informatyczny, oprogramowanie i zasoby sieciowe, ze szczególnym zwróceniem uwagi na wszelkie anomalie mogące mieć wpływ na bezpieczeństwo danych osobowych. 4. Powstrzymywania się od wszelkich działań mogących mieć wpływ na bezpieczeństwo danych, w tym w szczególności od dokonywania jakichkolwiek zmian w konfiguracji powierzonego mu sprzętu informatycznego, od instalowania lub deinstalowania jakiegokolwiek oprogramowania na powierzonym mu sprzęcie informatycznym oraz od wykorzystywania sprzętu lub oprogramowania do celów prywatnych, nie związanych w żaden sposób z wykonywanymi zadaniami i obowiązkami lub samokształceniem. Dyrektor informuje, a pracownik przyjmuje do wiadomości, że: 1. Nieprzestrzeganie przez pracownika podczas wykonywania swoich zadań i obowiązków obowiązujących przepisów prawa i regulacji wewnętrznych w zakresie wykorzystania sprzętu informatycznego, oprogramowania i zasobów sieci informatycznej, w tym szczególnie związanych z przetwarzaniem danych osobowych, może skutkować konsekwencjami przewidzianymi w Kodeksie Pracy lub sankcjami przewidzianymi przez inne przepisy prawa. 2. Praca sieci informatycznej, praca sprzętu informatycznego, praca łączy teleinformatycznych i telekomunikacyjnych, działanie oprogramowania, przepływ danych i informacji oraz działania wszystkich pracowników związane z tymi elementami podlegają stałemu monitoringowi w celu zapewnienia bezpieczeństwa danych. 3. Dostęp do informacji uzyskanych w wyniku monitoringu ma wyłącznie dyrektor i upoważnione przez niego osoby. Informacje te mogą zostać wykorzystane wyłącznie w celu ustalenia przyczyn, zakresu i skutków naruszenia bezpieczeństwa danych, udziału pracownika w tym naruszeniu oraz dla bieżącego diagnozowania bezpieczeństwa danych, w tym działań pracownika mogących potencjalnie spowodować zagrożenie, a także mogą posłużyć jako dowód i podstawa do wyciągnięcia konsekwencji przewidzianych w Kodeksie Pracy lub sankcji przewidzianych przez inne przepisy prawa w przypadku stwierdzenia działań pracownika które doprowadziły lub mogą doprowadzić do zagrożenia bezpieczeństwa danych. 4. Ujawnienie informacji uzyskanych z monitoringu osobie nieupoważnionej, ujawnienie ich przez osobę nieupoważnioną lub wykorzystanie ich w celu innym niż opisane wyżej będzie skutkować wobec osoby winnej ujawnienia lub wykorzystania konsekwencjami przewidzianymi w Kodeksie Pracy lub sankcjami przewidzianymi przez inne przepisy prawa (podpis pracownika) (podpis Dyrektora Powiatowego Urzędu Pracy w Kwidzynie)