Warszawa, dnia 11 czerwca 2014 r. Poz. 90 DECYZJA NR 129 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 11 czerwca 2014 r.

Transkrypt

1 DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ Warszawa, dnia 11 czerwca 2014 r. Poz. 90 DECYZJA NR 129 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ z dnia 11 czerwca 2014 r. w sprawie ochrony danych osobowych przetwarzanych w Straży Granicznej Na podstawie art. 3 ust. 4 ustawy z dnia 12 października 1990 r. o Straży Granicznej (Dz. U. z 2011 r. Nr 116, poz. 675, z późn. zm. 1) ) w związku z art. 36 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm. 2) ) ustala się, co następuje: Decyzja określa: 1) administratorów danych w Straży Granicznej; Rozdział 1. Przepisy ogólne 2) zadania i uprawnienia lokalnych administratorów danych; 3) zadania Administratora Bezpieczeństwa Informacji Komendanta Głównego Straży Granicznej, lokalnych Administratorów Bezpieczeństwa Informacji, Administratorów Bezpieczeństwa Zbioru, Administratorów Sytemu Teleinformatycznego; 4) wymagania w zakresie przetwarzania danych osobowych; 5) sposób organizacji i prowadzenia szkoleń z zakresu ochrony danych osobowych; 6) warunki powierzania przetwarzania danych osobowych. 2. Decyzja wprowadza do użytku służbowego: 1) Politykę bezpieczeństwa przetwarzania danych osobowych w Straży Granicznej, zwaną dalej Polityką bezpieczeństwa, stanowiącą załącznik nr 1 do decyzji; 2) Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Straży Granicznej, zwaną dalej Instrukcją, stanowiącą załącznik nr 2 do decyzji. 1) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz.U. z 2011 r. Nr 117, poz. 677, Nr 170, poz. 1015, Nr 171, poz i Nr 230, poz. 1371, z 2012 r. poz. 627, 664, 769 i 951, z 2013 r. poz. 628, 675, 829, 1351 i 1650 oraz z 2014 r. poz. 463, 486, 502, 616 i ) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz i Nr 176, poz. 1238, z 2010 r. Nr 41, poz. 233, Nr 182, poz i Nr 229, poz oraz z 2011 r. Nr 230, poz

2 Dziennik Urzędowy Komendy Głównej Straży Granicznej 2 Poz Określone w decyzji środki techniczne i organizacyjne zapewniające ochronę danych osobowych stosuje się do wszystkich danych osobowych przetwarzanych w Straży Granicznej bez względu na sposób ich uzyskania i przechowywania, w tym do danych osobowych udostępnionych Komendantowi Głównemu Straży Granicznej lub Straży Granicznej przez inne podmioty. 2. Jeżeli odrębne przepisy dotyczące przetwarzania danych osobowych, w tym dokumentacja opisująca sposób przetwarzania danych osobowych w Straży Granicznej, przewiduje dalej idącą ich ochronę, niż wynika to z decyzji, stosuje się przepisy, które zapewnią wyższy poziom ochrony danych osobowych. 3. Dokumentacja bezpieczeństwa opracowana dla zbiorów danych oznaczonych klauzulą tajności, w tym szczególne wymagania bezpieczeństwa i procedury bezpiecznej eksploatacji, wchodzi w skład dokumentacji opisującej sposób przetwarzania danych osobowych w Straży Granicznej. 3. Użyte w decyzji określenia oznaczają: 1) ustawa - ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; 2) rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024); 3) zbiór danych - zbiór danych w rozumieniu art. 7 pkt 1 ustawy; 4) wykaz zbiorów danych - wykaz zbiorów danych przetwarzanych w Straży Granicznej; 5) SG - Straż Graniczną; 6) KGSG - Komendę Główną Straży Granicznej; 7) ośrodek szkolenia - Centralny Ośrodek Szkolenia Straży Granicznej w Koszalinie, Centrum Szkolenia Straży Granicznej w Kętrzynie i Ośrodek Szkoleń Specjalistycznych Straży Granicznej w Lubaniu; 8) jednostka organizacyjna - oddział SG, ośrodek szkolenia, ośrodek SG; 9) graniczna jednostka organizacyjna - placówka SG, dywizjon SG; 10) komórka organizacyjna - komórkę organizacyjną KGSG; 11) BOI KGSG - Biuro Ochrony Informacji Komendy Głównej Straży Granicznej; 12) administrator danych - administratora danych w rozumieniu art. 7 pkt 4 ustawy; 13) lokalny administrator danych - kierowników komórek organizacyjnych, jednostek organizacyjnych, granicznych jednostek organizacyjnych oraz kierownika Archiwum Straży Granicznej; 14) ABI KGSG - Administratora Bezpieczeństwa Informacji Komendanta Głównego Straży Granicznej; 15) lokalny ABI - osobę lub osoby realizujące zadania lokalnego Administratora Bezpieczeństwa Informacji; 16) ABZ - osobę lub osoby realizujące zadania Administratora Bezpieczeństwa Zbioru; 17) ATI - Administratora Systemu Teleinformatycznego; 18) BIOS - (ang. Basic Input/Output System - podstawowy system wejścia-wyjścia) - zapisany w pamięci stałej komputera zestaw podstawowych procedur pośredniczących pomiędzy systemem operacyjnym a sprzętem, które po włączeniu komputera uruchamiają system operacyjny; 19) informatyczny nośnik danych - materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej jak również elektroniczny nośnik informacji i nośnik informacji. 4. Administratorami danych w SG są: Rozdział 2. Administratorzy danych

3 Dziennik Urzędowy Komendy Głównej Straży Granicznej 3 Poz. 90 1) Komendant Główny Straży Granicznej; 2) kierownicy jednostek organizacyjnych. 5. Komendant Główny Straży Granicznej jest administratorem danych: 1) przetwarzanych w zbiorach danych wymienionych w wykazie zbiorów danych, z wyłączeniem zbiorów danych, których administratorami są kierownicy jednostek organizacyjnych; 2) funkcjonariuszy pełniących służbę oraz pracowników zatrudnionych w KGSG, osób świadczących usługi na podstawie umów cywilnoprawnych, a także osób uczących się w KGSG; 3) osób przebywających w obiektach KGSG, których dane są przetwarzane dla potrzeb zapewnienia ochrony tych obiektów; 4) osób, których dane są przetwarzane dla potrzeb związanych z prowadzoną na ich rzecz działalnością, w szczególności mieszkaniową oraz świadczoną opieką medyczną; 5) innych osób, których dane są przetwarzane w związku z realizacją zadań przez Komendanta Głównego Straży Granicznej Kierownicy jednostek organizacyjnych są administratorami danych: 1) funkcjonariuszy pełniących służbę, pracowników zatrudnionych w podległych im jednostkach organizacyjnych, osób świadczących usługi na podstawie umów cywilnoprawnych, a także osób uczących się w tych jednostkach; 2) osób przebywających w podległych im obiektach, których dane są przetwarzane dla potrzeb zapewnienia ochrony tych obiektów; 3) osób, których dane są przetwarzane dla potrzeb związanych z prowadzoną na ich rzecz działalnością, w szczególności mieszkaniową oraz świadczoną opieką medyczną; 4) funkcjonariuszy pełniących służbę oraz pracowników zatrudnionych w SG znajdujących się na ich zaopatrzeniu w odniesieniu do danych osobowych niezbędnych do realizacji tych czynności; 5) innych osób, których dane są przetwarzane w związku z realizacją zadań przez kierowników jednostek organizacyjnych. 2. Utworzenie zbiorów danych osób, o których mowa w ust. 1 pkt 5, jest uzależnione od uzyskania zgody Komendanta Głównego Straży Granicznej. Rozdział 3. Lokalni administratorzy danych Lokalni administratorzy danych, w zakresie właściwości, realizują zadania Komendanta Głównego Straży Granicznej jako administratora danych. 2. Lokalni administratorzy danych są zobowiązani w szczególności do: 1) stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem; 2) zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru danych wprowadzone oraz komu zostały przekazane; 3) zapewnienia prowadzenia rejestru nadanych upoważnień do przetwarzania danych osobowych oraz ewidencji, o której mowa w art. 39 ust. 1 ustawy; 4) wyznaczania obszarów, w których mogą być przetwarzane dane osobowe; 5) zapewnienia prowadzenia w formie pisemnej wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe oraz niezwłocznego jego aktualizowania;

4 Dziennik Urzędowy Komendy Głównej Straży Granicznej 4 Poz. 90 6) wykonywania obowiązku informacyjnego wynikającego z realizacji praw osób, których dane dotyczą; 7) niezwłocznego przekazywania do ABI KGSG informacji niezbędnych do aktualizowania wykazu zbiorów danych; 8) zapewnienia szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie ochrony danych osobowych; 9) wyznaczania ABZ, chyba że sami wykonują te czynności; 10) wyznaczania ATI, w przypadku przetwarzania danych osobowych w systemie informatycznym, chyba że sami wykonują te czynności; 11) występowania o utworzenie zbioru danych przed rozpoczęciem przetwarzania w nim danych osobowych, zmianę struktury zbioru danych przed dokonaniem zmian w zbiorze danych lub likwidację zbioru danych w przypadku zaprzestania przetwarzania danych osobowych w zbiorze danych, którego administratorem jest Komendant Główny Straży Granicznej; 12) udzielania ABI KGSG niezbędnej pomocy w zakresie realizacji jego zadań, a w szczególności do opracowania i przekazania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz jej aktualizacji; 13) wykonywania zaleceń dyrektora BOI KGSG oraz ABI KGSG w zakresie ochrony danych osobowych; 14) sprawowania nadzoru w zakresie przetwarzania danych osobowych zgodnie z przepisami w podległych im komórkach organizacyjnych, jednostkach organizacyjnych, granicznych jednostkach organizacyjnych oraz Archiwum Straży Granicznej. 3. Zadania, o których mowa w ust. 1 i 2, nie obejmują zgłaszania zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. 8. Lokalni administratorzy danych są uprawnieni do: 1) przetwarzania danych osobowych, w tym udostępniania danych osobowych ze zbiorów danych, w których przetwarzają te dane w związku z realizacją zadań służbowych, podmiotom uprawnionym do ich otrzymania, chyba że podmioty, które udostępniły dane, wprowadziły w tym zakresie ograniczenia lub zastrzeżenia; 2) nadawania i odwoływania, zgodnie z właściwością, upoważnień do przetwarzania danych osobowych, w tym udostępniania danych osobowych. 9. Lokalni administratorzy danych realizują, zgodnie z właściwością, zadania i uprawnienia administratora danych także w odniesieniu do danych osobowych udostępnionych Komendantowi Głównemu Straży Granicznej lub SG. Przepisy 7 i 8 stosuje się odpowiednio. 10. Dyrektor Biura Łączności i Informatyki Komendy Głównej Straży Granicznej udziela kierownikom komórek organizacyjnych niezbędnej pomocy w konfiguracji wskazanych przez nich stanowisk komputerowych, na których są przetwarzane dane osobowe, zgodnie z obowiązującymi w tym zakresie przepisami dotyczącymi ochrony danych osobowych. Rozdział 4. Zadania ABI KGSG, lokalnych ABI, ABZ, ATI ABI KGSG nadzoruje przestrzeganie zasad ochrony, określonych w przepisach dotyczących przetwarzania danych osobowych, w odniesieniu do danych osobowych, których administratorem jest Komendant Główny Straży Granicznej oraz danych osobowych udostępnionych przez inne podmioty Komendantowi Głównemu Straży Granicznej lub SG. 2. ABI KGSG realizuje czynności polegające na: 1) dokonywaniu okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych w celu zapewnienia właściwego poziomu ochrony danych osobowych przetwarzanych w SG;

5 Dziennik Urzędowy Komendy Głównej Straży Granicznej 5 Poz. 90 2) realizowaniu procedur związanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych, których administratorem jest Komendant Główny Straży Granicznej; 3) organizowaniu szkoleń z zakresu ochrony danych osobowych dla osób przetwarzających dane osobowe w KGSG; 4) przetwarzaniu danych osobowych w zakresie wynikającym z realizacji obowiązków służbowych; 5) wydawaniu zaleceń w zakresie ochrony danych osobowych; 6) opiniowaniu wniosków dotyczących tworzenia, zmiany struktury lub zaprzestania przetwarzania danych osobowych w zbiorze danych; 7) realizacji procedur związanych z nadawaniem upoważnień do przetwarzania danych osobowych przez Komendanta Głównego Straży Granicznej; 8) prowadzeniu: a) wykazu zbiorów danych, b) ewidencji osób upoważnionych przez Komendanta Głównego Straży Granicznej do przetwarzania danych osobowych, c) ewidencji osób, które przeszkolono w KGSG w zakresie bezpieczeństwa i ochrony danych osobowych. 3. Zadania ABI KGSG wykonuje wyznaczony przez Komendanta Głównego Straży Granicznej funkcjonariusz BOI KGSG. 4. ABI KGSG realizuje zadania przy pomocy funkcjonariuszy i pracowników komórki wewnętrznej BOI KGSG właściwej do spraw zapewnienia bezpieczeństwa teleinformatycznego i ochrony danych osobowych Kierownicy jednostek organizacyjnych oraz granicznych jednostek organizacyjnych mogą wyznaczyć lokalnych ABI, chyba że sami wykonują te czynności. 2. Lokalny ABI nadzoruje przestrzeganie zasad ochrony, określonych w przepisach dotyczących ochrony danych osobowych, w jednostce organizacyjnej lub granicznej jednostce organizacyjnej, w której został wyznaczony. 3. Lokalny ABI realizuje czynności, które zostały mu zlecone, a w szczególności: 1) dokonuje okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych w celu zapewnienia właściwego poziomu ochrony danych osobowych; 2) organizuje szkolenia z zakresu ochrony danych osobowych dla osób przetwarzających dane osobowe; 3) przetwarza dane osobowe w zakresie wynikającym z realizacji obowiązków służbowych; 4) wydaje zalecenia w zakresie ochrony danych osobowych; 5) opiniuje wnioski dotyczące tworzenia, zmiany struktury lub zaprzestania przetwarzania danych osobowych w zbiorze danych. 13. ABZ jest odpowiedzialny za zapewnienie bezpieczeństwa przetwarzanych danych osobowych w ramach określonego zbioru lub zbiorów danych w jednostce organizacyjnej lub komórce organizacyjnej, w której został wyznaczony. Do jego zadań należy w szczególności: 1) wykonywanie poleceń lokalnego administratora danych oraz realizacja zadań przez niego wskazanych, w szczególności wynikających z innych dokumentów opracowanych dla konkretnych zbiorów danych oraz systemów informatycznych, w których są przetwarzane dane osobowe; 2) wdrażanie zasad bezpieczeństwa określonych w przepisach dotyczących ochrony danych osobowych, w szczególności w decyzji, oraz nadzór nad ich przestrzeganiem; 3) przygotowanie, przechowywanie i rejestrowanie upoważnień do przetwarzania danych osobowych;

6 Dziennik Urzędowy Komendy Głównej Straży Granicznej 6 Poz. 90 4) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w art. 39 ust. 1 ustawy; 5) prowadzenie wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 6) przyjmowanie informacji o przypadkach naruszenia bezpieczeństwa przetwarzania danych osobowych, niezwłoczne podejmowanie działań zmierzających do zapobieżenia powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności danych osobowych oraz ustalenia przyczyn ich powstania; 7) informowanie lokalnego administratora danych o naruszeniach zasad bezpieczeństwa przetwarzania danych osobowych, podjętych działaniach, dokonanych ustaleniach oraz propozycjach mających na celu wyeliminowanie zagrożenia w przyszłości; 8) prowadzenie szkoleń z zakresu ochrony danych osobowych oraz bezpieczeństwa systemów informatycznych, w przypadku posiadania w tym zakresie niezbędnej wiedzy i doświadczenia; 9) wykonywanie zaleceń ABI KGSG lub lokalnego ABI w zakresie ochrony danych osobowych; 10) prowadzenie dziennika działań ABZ i ewidencjonowanie w nim wykonywanych czynności ATI jest odpowiedzialny za prawidłowe i bezpieczne funkcjonowanie systemu informatycznego, w którym są przetwarzane dane osobowe w jednostce organizacyjnej lub komórce organizacyjnej, w której został wyznaczony. Do jego zadań należy w szczególności: 1) wykonywanie poleceń lokalnego administratora danych oraz realizacja zadań przez niego wskazanych, w szczególności wynikających z innych dokumentów opracowanych dla konkretnych zbiorów danych oraz systemów informatycznych, w których są przetwarzane dane osobowe; 2) konfiguracja stanowisk komputerowych zgodnie z wymaganiami, instalacja i aktualizacja oprogramowania, w tym antywirusowego; 3) utrzymywanie w aktualności hasła administratora systemu informatycznego złożonego w depozycie w miejscu wyznaczonym przez lokalnego administratora danych zapewniającym jego dostępność, integralność i poufność; 4) zakładanie, blokowanie i zamykanie kont użytkownikom do systemu informatycznego w zakresie zgodnym z upoważnieniem do przetwarzania danych osobowych; 5) podejmowanie czynności związanych z bieżącą naprawą, konserwacją i rozbudową systemu informatycznego w zakresie umożliwiającym utrzymywanie go w stałej sprawności technicznej oraz funkcjonalnej; 6) sporządzanie kopii zapasowych lokalnych systemów informatycznych i zbiorów danych oraz ich przechowywanie w miejscu wyznaczonym przez lokalnego administratora danych zapewniającym jej dostępność, integralność i poufność; 7) dokonywanie oględzin sprzętu odebranego z naprawy przed zainstalowaniem w systemie informatycznym, pod kątem spełnienia wymogów bezpieczeństwa; 8) prowadzenie ewidencji osób uprawnionych do przetwarzania danych osobowych w systemie informatycznym, którego jest administratorem, zawierającej informacje, o których mowa w art. 39 ust. 1 ustawy; 9) stosowanie procedury nadawania oraz odbierania uprawnień do zbiorów danych; 10) przyjmowanie od użytkowników uwag o spostrzeżonych nieprawidłowościach w działaniu systemu informatycznego oraz podejmowanie działań zmierzających do zapewnienia sprawności systemu informatycznego; 11) przyjmowanie informacji o przypadkach naruszenia bezpieczeństwa przetwarzania danych osobowych, niezwłoczne podejmowanie działań zmierzających do zapobieżenia powstania szkód, w tym

7 Dziennik Urzędowy Komendy Głównej Straży Granicznej 7 Poz. 90 w szczególności utraty poufności, integralności i dostępności danych osobowych oraz ustalenia przyczyn ich powstania; 12) informowanie lokalnego administratora danych o naruszeniach zasad bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, podjętych działaniach, dokonanych ustaleniach oraz propozycjach mających na celu wyeliminowanie zagrożenia w przyszłości; 13) nadzór nad przekazywaniem przez użytkowników uszkodzonych informatycznych nośników danych osobowych do właściwej kancelarii w celu zniszczenia; 14) udział w prowadzonych szkoleniach dotyczących ochrony danych osobowych w zakresie bezpieczeństwa systemów informatycznych, a w szczególności przedstawianie uregulowań zawartych w Instrukcji; 15) wykonywanie zaleceń ABI KGSG lub lokalnego ABI w zakresie ochrony danych osobowych; 16) prowadzenie dziennika działań ATI i ewidencjonowanie w nim wykonywanych czynności. 2. Zadania ATI może wykonywać, w zależności od potrzeb, jedna osoba lub zespół osób w danej jednostce organizacyjnej lub komórce organizacyjnej Zadania lokalnego ABI oraz ABZ mogą być realizowane przez tę samą osobę. 2. Zadania ABZ oraz ATI mogą być realizowane przez tę samą osobę. 3. Zadania lokalnego ABI oraz ATI nie mogą być realizowane przez tę samą osobę. 4. Ewidencje, o których mowa w 13 pkt 4 i 14 ust. 1 pkt 8, ABZ i ATI, w porozumieniu, mogą prowadzić jako jedną ewidencję. Rozdział 5. Wymagania w zakresie przetwarzania danych osobowych Przetwarzanie danych osobowych jest dopuszczalne w zbiorach danych: 1) zawartych w wykazie zbiorów danych; 2) utworzonych przez kierowników jednostek organizacyjnych - w celu i zakresie, w jakim zbiory danych zostały utworzone. 2. Przetwarzanie danych osobowych jest dopuszczalne również poza zbiorami danych, w przypadku gdy spełnione są przesłanki wynikające z art. 23 lub 27 ustawy i jednocześnie dane osobowe nie stanowią zbioru danych. 3. Do przetwarzania danych osobowych mogą być dopuszczone osoby, które spełniają łącznie następujące warunki: 1) realizują zadania służbowe wymagające przetwarzania danych osobowych; 2) odbyły szkolenie z zakresu ochrony danych osobowych; 3) posiadają upoważnienie do przetwarzania danych osobowych. 4. Upoważnienie do przetwarzania danych osobowych nadaje się osobie, która w ramach realizowanych zadań służbowych przetwarza dane osobowe. Proponowany zakres uprawnień oraz nazwę zbiorów danych, do których osoba ma otrzymać upoważnienie i czas, na jaki ma być ono udzielone określa się na podstawie analizy zakresu obowiązków i uprawnień danej osoby. 5. Upoważnienie do przetwarzania danych osobowych traci ważność w przypadku: 1) zmiany przez osobę upoważnioną komórki organizacyjnej, jednostki organizacyjnej, granicznej jednostki organizacyjnej, w której pełni służbę lub jest zatrudniona; 2) zmiany zakresu obowiązków, w wyniku której osoba utraciła prawo do przetwarzania danych osobowych; 3) zawieszenia osoby w czynnościach służbowych;

8 Dziennik Urzędowy Komendy Głównej Straży Granicznej 8 Poz. 90 4) zwolnienia osoby ze służby lub pracy w SG; 5) zakończenia przez osobę upoważnioną świadczenia usług lub nauki w SG; 6) odwołania upoważnienia; 7) upływu czasu, na który upoważnienie zostało udzielone Wzór upoważnienia do przetwarzania danych osobowych określa załącznik nr 3 do decyzji. 2. Wzoru upoważnienia, o którym mowa w ust. 1, można nie stosować w uzasadnionych przypadkach, w szczególności gdy: 1) istnieje potrzeba zbiorowego wydawania upoważnienia; 2) upoważnienie jest wydawane przy wykorzystaniu wbudowanej funkcjonalności systemu teleinformatycznego; 3) upoważnienie jest wydawane osobom świadczącym usługi na podstawie umów cywilnoprawnych lub uczącym się u administratora danych. 3. Zakres upoważnienia może być określony poprzez podanie nazwy profilu (grupy roboczej), do której użytkownik będzie dopisany w przypadku, gdy dane osobowe będą przetwarzane w systemie informatycznym. 4. W indywidualnym zakresie obowiązków i uprawnień funkcjonariuszy i pracowników SG upoważnionych do przetwarzania danych osobowych zamieszcza się informację o upoważnieniu ich do przetwarzania danych osobowych przetwarzanych w związku z realizacją zadań Osoba upoważniona do przetwarzania danych osobowych jest odpowiedzialna za zapewnienie bezpieczeństwa przetwarzanych danych osobowych na swoim stanowisku służby lub pracy. 2. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do: 1) zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym decyzją, oraz z innymi dokumentami opisującymi sposób przetwarzania danych osobowych, do których przetwarzania zostały upoważnione oraz do ich przestrzegania; 2) dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności są obowiązane zapewnić, aby dane te były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, z uwzględnieniem przepisów odrębnych dotyczących zasad przechowywania informacji i danych osobowych; 3) zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia; 4) zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem, w szczególności po zakończeniu służby lub pracy; 5) korzystania z dostępu wyłącznie do tych zbiorów danych, w tym przetwarzanych w systemach informatycznych, do których dostęp ten wynika z powierzonych jej przez przełożonego obowiązków służbowych i z zakresu upoważnienia; 6) nie tworzenia i nie przechowywania zbędnych kopii zbiorów danych oraz dokumentów zawierających dane osobowe;

9 Dziennik Urzędowy Komendy Głównej Straży Granicznej 9 Poz. 90 7) zabezpieczenia dokumentów i informatycznych nośników danych z danymi osobowymi w przeznaczonych do tego szafach lub pomieszczeniach zgodnie z obowiązującymi w tym zakresie przepisami; 8) przetwarzania danych osobowych w taki sposób, aby osoby nieupoważnione nie widziały oraz nie słyszały treści danych osobowych; 9) opuszczania stanowiska służby lub pracy po aktywowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób; 10) informowania przełożonych oraz ABZ i ATI o przypadkach naruszeniach zasad bezpieczeństwa przetwarzania danych osobowych, przyczynach ich powstania, podjętych działaniach mających na celu zapobieżenie powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności danych osobowych oraz propozycjach mających na celu wyeliminowanie zagrożenia dla bezpieczeństwa danych osobowych w przyszłości; 11) udziału w organizowanych szkoleniach z zakresu ochrony danych osobowych, do odbycia których, zostali wyznaczeni. 3. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do przestrzegania tajemnicy, o której mowa w ust. 2 pkt 3, przez cały czas realizacji zadań, a także po ustaniu stosunku służby lub pracy, odwołaniu z pełnionej funkcji, zrealizowaniu umowy lub porozumienia. 19. Osoby kontrolujące zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, na podstawie imiennego upoważnienia do kontroli, mają prawo wglądu do zbioru danych zawierającego dane osobowe w zakresie niezbędnym do przeprowadzenia kontroli. są: Rozdział 6. Organizacja i prowadzenie szkoleń z zakresu ochrony danych osobowych Za organizację i przeprowadzenie szkoleń z zakresu ochrony danych osobowych odpowiedzialni 1) dyrektor BOI KGSG; 2) kierownicy jednostek organizacyjnych; 3) kierownicy granicznych jednostek organizacyjnych. 2. Dyrektor BOI KGSG organizuje i przeprowadza szkolenia z własnej inicjatywy lub na wniosek kierowników komórek organizacyjnych dla funkcjonariuszy pełniących służbę i pracowników zatrudnionych w tych komórkach. 3. Kierownicy komórek organizacyjnych, w zakresie właściwości, udzielają dyrektorowi BOI KGSG niezbędnej pomocy w organizacji i przeprowadzeniu szkoleń. 4. Dyrektor BOI KGSG może zapewnić przeszkolenie funkcjonariuszy pełniących służbę i pracowników zatrudnionych w jednostkach organizacyjnych lub granicznych jednostkach organizacyjnych, na wniosek kierowników tych jednostek. 5. Kierownicy jednostek organizacyjnych oraz granicznych jednostek organizacyjnych organizują i przeprowadzają szkolenia dla funkcjonariuszy i pracowników w podległych im jednostkach. 6. Kierownicy jednostek organizacyjnych oraz granicznych jednostek organizacyjnych mogą zapewnić przeszkolenie funkcjonariuszy pełniących służbę i pracowników zatrudnionych w innych jednostkach organizacyjnych lub granicznych jednostkach organizacyjnych, a także komórkach organizacyjnych, na wniosek kierowników tych jednostek lub komórek. 7. Kierownicy jednostek organizacyjnych udzielą kierownikom granicznych jednostek organizacyjnych pomocy w organizacji i przeprowadzeniu szkolenia, w tym w przygotowaniu instruktorów. 8. Komendanci ośrodków szkolenia, w których prowadzone jest szkolenie podstawowe, są zobowiązani do przeszkolenia w zakresie ochrony danych osobowych funkcjonariuszy odbywających to szkolenie. 9. Osoby, o których mowa w ust. 1:

10 Dziennik Urzędowy Komendy Głównej Straży Granicznej 10 Poz. 90 1) wydają dla przeszkolonych osób zaświadczenia potwierdzające odbycie szkolenia; 2) prowadzą ewidencję osób przeszkolonych. 10. Ewidencja, o której mowa w ust. 9 pkt 2, zawiera co najmniej: 1) imię i nazwisko; 2) datę urodzenia lub numer PESEL; 3) termin szkolenia; 4) temat szkolenia. 11. Ewidencja, o której mowa w ust. 9 pkt 2, może być jednocześnie wykorzystywana jako rejestr wydanych zaświadczeń Komendant Główny Straży Granicznej może zobowiązać funkcjonariuszy i pracowników SG przetwarzających dane osobowe do ukończenia, w wyznaczonym terminie, kursu doskonalącego w zakresie ochrony danych osobowych, organizowanego w trybie e-learningowym, zwanego dalej kursem doskonalącym. 2. Dyrektor BOI KGSG przygotowuje materiały niezbędne do przeprowadzenia kursu doskonalącego, uwzględniające w szczególności zidentyfikowane zagrożenia oraz zmiany w przepisach dotyczących ochrony danych osobowych. 3. Materiały, o których mowa w ust. 2, stanowią podstawę opracowania przez ośrodek szkolenia programu kursu doskonalącego. 4. Ośrodek szkolenia, o którym mowa w ust. 3, zamieszcza kurs doskonalący na platformie e- learningowej SG. 5. W uzasadnionych przypadkach, w szczególności braku możliwości udziału w kursie doskonalącym, Dyrektor BOI KGSG, na wniosek kierowników jednostek lub komórek organizacyjnych może wyrazić zgodę na odbycie kursu doskonalącego w innym trybie lub innym terminie. 6. Odbycie kursu doskonalącego nie wymaga wydania zaświadczenia. Ukończenie kursu dokumentuje się w formie wykazu osób, które ukończyły kurs. Rozdział 7. Powierzanie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych, których administratorem jest Komendant Główny Straży Granicznej oraz danych osobowych udostępnionych przez inne podmioty Komendantowi Głównemu Straży Granicznej lub SG, podmiotowi zewnętrznemu, zwanemu dalej Podmiotem, może nastąpić tylko po uzyskaniu zgody Komendanta Głównego Straży Granicznej lub osoby przez niego upoważnionej, na podstawie pisemnej umowy. 2. Umowa, o której mowa w ust. 1, powinna określać w szczególności: 1) zakres i cel powierzenia Podmiotowi przetwarzania danych osobowych; 2) zakres odpowiedzialności Podmiotu z tytułu niewykonania lub nienależytego wykonania umowy; 3) zobowiązanie Podmiotu, przed rozpoczęciem przetwarzania danych osobowych, do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, co najmniej na poziomie określonym w SG, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem; 4) prawo SG do kontroli realizacji przez Podmiot ochrony powierzonych przetwarzaniu danych osobowych w zakresie wynikającym z realizacji przedmiotu umowy w miejscu, w których Podmiot przetwarza powierzone dane osobowe, w tym w siedzibie Podmiotu.

11 Dziennik Urzędowy Komendy Głównej Straży Granicznej 11 Poz Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności administratora danych, w tym lokalnych administratorów danych, za zgodne z prawem przetwarzanie powierzonych danych osobowych. Rozdział 8. Przepisy końcowe 23. Ilekroć w dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych opracowanej w SG mowa jest o decyzji, Polityce bezpieczeństwa lub Instrukcji należy przez to rozumieć niniejszą decyzję wraz z Polityką bezpieczeństwa i Instrukcją, stanowiącymi załączniki do decyzji. 24. Osoby, które posiadają zaświadczenia o przeszkoleniu z zakresu bezpieczeństwa i ochrony danych SIS i VIS odbytym po dniu 20 maja 2008 r. na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 6 maja 2008 r. w sprawie sposobu przeprowadzania szkoleń z zakresu bezpieczeństwa i ochrony danych wykorzystywanych poprzez Krajowy System Informatyczny (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń (Dz. U. Nr 80, poz. 482 oraz z 2011 r. Nr 143, poz. 844), uznaje się za osoby przeszkolone z zakresu ochrony danych osobowych Upoważnienia do przetwarzania danych osobowych nadane zgodnie z decyzją, o której mowa w 26, zachowują ważność przez okres, na który zostały nadane. 2. Wykaz zbiorów danych osobowych przetwarzanych w Straży Granicznej prowadzony zgodnie ze wzorem określonym w decyzji, o której mowa w 26, staje się wykazem zbiorów danych, o którym mowa w niniejszej decyzji. 26. Traci moc decyzja nr 3 Komendanta Głównego Straży Granicznej z dnia 10 stycznia 2005 r. w sprawie zabezpieczenia danych osobowych w Straży Granicznej (Dz. Urz. KGSG Nr 1, poz. 6, Nr 6, poz. 39 i Nr 9, poz. 63, z 2007 r. Nr 13, poz. 115, z 2009 r. Nr 8, poz. 56 oraz z 2014 r. poz. 26). 27. Decyzja wchodzi w życie po upływie 14 dni od dnia podpisania. Komendant Główny Straży Granicznej w z. gen. bryg. SG Jacek BAJGER

12 Dziennik Urzędowy Komendy Głównej Straży Granicznej 12 Poz. 90 Załączniki do decyzji nr 129 Komendanta Głównego Straży Granicznej z dnia 11 czerwca 2014 r. Załącznik nr 1 POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Straży Granicznej 1 / 5

13 Dziennik Urzędowy Komendy Głównej Straży Granicznej 13 Poz. 90 Rozdział 1. Budynki, pomieszczenia lub części pomieszczeń tworzące obszar, w którym są przetwarzane dane osobowe 1. Dane osobowe mogą być przetwarzane w budynkach i pomieszczeniach: 1) KGSG; 2) komend oddziałów SG; 3) ośrodków szkolenia; 4) ośrodków SG; 5) placówek i dywizjonów SG 1. - zgodnie z aktualnie obowiązującą strukturą organizacyjną. 2. Dane osobowe mogą być przetwarzane przez funkcjonariuszy i pracowników SG w budynkach i pomieszczeniach podmiotów innych niż SG, w których realizują oni zadania zgodnie z zawartymi z tymi podmiotami umowami, porozumieniami oraz dokonanymi uzgodnieniami lub gdy wynika to z charakteru realizowanych przez nich zadań. 3. Dane osobowe mogą być przetwarzane poza budynkami i pomieszczeniami, o których mowa w ust. 1 i 2, w szczególności za pomocą urządzeń mobilnych, w ramach wykonywania ustawowych zadań w miejscu ich realizacji. 4. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe, prowadzony jest przez lokalnych administratorów danych w formie pisemnej jako odrębny dokument. Wykaz stanowi integralną część Polityki bezpieczeństwa. Rozdział 2. Zbiory danych oraz ich struktura Komendant Główny Straży Granicznej z urzędu lub na pisemny wniosek kierowników jednostek organizacyjnych lub kierowników komórek organizacyjnych tworzy zbiory danych, których jest administratorem, zmienia ich strukturę lub je likwiduje. 2. Wniosek, o którym mowa w ust. 1, kierowany jest do Komendanta Głównego Straży Granicznej, za pośrednictwem dyrektora BOI KGSG. 3. Wniosek, o którym mowa w ust. 1, podlega uzgodnieniu przez dyrektora BOI KGSG z właściwymi kierownikami jednostek organizacyjnych lub kierownikami komórek organizacyjnych nadzorującymi realizację zadań związanych z przetwarzaniem danych osobowych objętych wnioskiem. 2 / 5

14 Dziennik Urzędowy Komendy Głównej Straży Granicznej 14 Poz Wniosek, o którym mowa w ust. 1, zawiera: 1) informacje, o których mowa w 4 ust. 1; 2) informacje określone we wzorze zgłoszenia zbioru danych do rejestracji do Generalnego Inspektora Danych Osobowych, w przypadku gdy zbiór podlega takiej rejestracji; 3) termin utworzenia, zmiany struktury lub likwidacji zbioru danych; 4) osoby odpowiedzialne za administrowanie i zapewnienie bezpieczeństwa zbioru. 5. Komisja powołana przez Komendanta Głównego Straży Granicznej usuwa dane ze zbioru zlikwidowanego przez Komendanta Głównego Straży Granicznej lub dokonuje ich archiwizacji. Komisja sporządza protokół z przeprowadzonych czynności. W protokole wskazuje się sposób usunięcia zgromadzonych danych lub sposób zarchiwizowania danych osobowych. 6. Przepisy ust. 1-5 stosuje się odpowiednio do zbiorów danych udostępnionych Komendantowi Głównemu Straży Granicznej lub SG Kierownicy jednostek organizacyjnych tworzą zbiory danych, których są administratorami, zmieniają ich strukturę lub je likwidują. 2. Kierownicy jednostek organizacyjnych są zobowiązani do poinformowania ABI KGSG o przesłanych do Generalnego Inspektora Ochrony Danych Osobowych zgłoszeniach zbiorów danych, o których mowa w ust. 1, do rejestracji oraz o ich zarejestrowaniu lub odmowie rejestracji. Zgłoszenie zbioru może nastąpić po uprzedniej konsultacji z Dyrektorem BOI KGSG Wykaz zbiorów danych stanowi odrębny dokument i zawiera: 1) nazwę zbioru danych; 2) administratora danych; 3) podstawę prawną przetwarzania danych; 4) cel przetwarzania danych; 5) zakres przetwarzanych danych; 6) maksymalną klauzulę tajności przetwarzanych danych; 7) formę prowadzenia zbioru; 8) wskazanie programów zastosowanych do przetwarzania tych danych w odniesieniu do zbioru danych przetwarzanych przy wykorzystaniu systemu informatycznego; 9) opis struktury zbiorów danych; 10) informację o realizacji obowiązku zgłoszenia zbioru do rejestracji do Generalnego Inspektora Ochrony Danych Osobowych. 3 / 5

15 Dziennik Urzędowy Komendy Głównej Straży Granicznej 15 Poz Opis struktury zbiorów danych, o którym mowa w ust. 1 pkt 9, może być prowadzony jako odrębny dokument, np. w dokumentacjach technicznych systemów informatycznych. 3. Wykaz zbiorów danych obejmuje zbiory danych: 1) których administratorem danych jest Komendant Główny Straży Granicznej; 2) o których mowa w 6 ust. 1 pkt 5 decyzji; 3) udostępnione Komendantowi Głównemu Straży Granicznej lub SG. 4. Wykaz zbiorów danych prowadzony jest w formie pisemnej. Rozdział 3. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych Podczas przetwarzania danych osobowych, należy stosować następujące środki bezpieczeństwa w zakresie ochrony fizycznej: 1) wszystkie operacje na danych osobowych, a w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie muszą się odbywać w miejscach zabezpieczonych przed dostępem osób nieupoważnionych; 2) budynki i pomieszczenia, w których odbywa się przetwarzanie danych osobowych oraz szafy do przechowywania informatycznych nośników danych i dokumentów, muszą spełniać wymagania przynajmniej jak dla informacji niejawnych o klauzuli zastrzeżone ; 3) budynki i pomieszczenia, w których są przetwarzane dane osobowe, powinny być zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych; 4) klucze do budynków i pomieszczeń powinny być przechowywane i wydawane zgodnie z procedurą przewidzianą w planie ochrony podmiotu, którego dotyczą; 5) przebywanie osób nieuprawnionych wewnątrz budynków i pomieszczeń, w których przetwarzane są dane osobowe, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych; 6) wydruki i inne dokumenty, w tym informatyczne nośniki danych, zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w budynkach i pomieszczeniach, w których przetwarzane są dane osobowe. Niepotrzebne wydruki lub inne dokumenty należy niszczyć w niszczarkach, z uwzględnieniem przepisów dotyczących obiegu informacji jawnych i niejawnych w SG. 4 / 5

16 Dziennik Urzędowy Komendy Głównej Straży Granicznej 16 Poz Podczas przetwarzania danych osobowych w systemie informatycznym, należy stosować środki techniczne i organizacyjne dotyczące urządzeń i systemów informatycznych służących do przetwarzania danych osobowych określone w przepisach odrębnych, w szczególności w rozporządzeniu. 1. Komputery przenośne używane do przetwarzania danych osobowych, powinny być zabezpieczone podczas transportu, przechowywania i użytkowania, przed dostępem do nich osób nieupoważnionych oraz poprzez: 1) zabezpieczenie hasłem dostęp do BIOS; 7. 2) zabezpieczenie dostępu do komputera poprzez zastosowanie jednej z dostępnych metod uwierzytelniania; 3) zaszyfrowanie plików z danymi osobowymi, jeżeli jest taka możliwość; 4) zainstalowanie oprogramowania antywirusowego, zgodne z zasadami obowiązującymi w SG i dbanie o jego bieżącą aktualizację. 2. Należy stosować środki ochrony kryptograficznej wobec przetwarzanych danych osobowych w przypadku transportu, przechowywania i użytkowania komputerów przenośnych poza budynkami i pomieszczeniami, o których mowa w 1 ust. 1 i 2. 5 / 5

17 Dziennik Urzędowy Komendy Głównej Straży Granicznej 17 Poz. 90 Załącznik nr 2 INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Straży Granicznej 1 / 13

18 Dziennik Urzędowy Komendy Głównej Straży Granicznej 18 Poz Przepisy ogólne 1. Instrukcja zawiera ogólne procedury zarządzania systemami informatycznymi oraz warunki i sposób postępowania przy wykorzystaniu systemów służących do przetwarzania danych osobowych w SG. 2. Procedury, warunki i sposób postępowania, o których mowa w ust. 1, obowiązują wszystkich użytkowników systemów informatycznych, stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. 3. W przypadkach uzasadnionych wymaganiami konkretnego systemu informatycznego mogą być tworzone do tych systemów szczególne wymagania bezpieczeństwa i procedury bezpiecznej eksploatacji oraz polityki bezpieczeństwa przetwarzania danych osobowych i instrukcje zarządzania systemem informatycznym służącym do przetwarzania danych lub inne dokumenty. 2. Procedura nadawania i odbierania uprawnień do przetwarzania danych osobowych, rejestrowania tych uprawnień w systemie informatycznym oraz osoby odpowiedzialne za te czynności 1. Nadanie uprawnień w systemie informatycznym może nastąpić na podstawie posiadanego przez użytkownika upoważnienia do przetwarzania danych osobowych, o którym mowa w 17 decyzji, lub wniosku o nadanie uprawnień, który zawiera: 1) zakres uprawnień - nazwę profilu (grupy roboczej), do której użytkownik będzie dopisany; 2) numer upoważnienia do przetwarzania danych osobowych, o którym mowa w 17 decyzji; 3) inne informacje niezbędne do nadania uprawnień. 2. ATI po nadaniu uprawnień w systemie informatycznym potwierdza ten fakt poprzez: 1) złożenie na upoważnieniu do przetwarzania danych osobowych, o którym mowa w 17 decyzji, czytelnego podpisu oraz wpisaniu daty i przydzielonego użytkownikowi identyfikatora użytkownika, albo 2) pisemne zawiadomienie wnioskującego zawierające informacje wskazujące osobę, której nadano uprawnienia oraz przydzielony jej identyfikator użytkownika. 3. W przypadku, o którym mowa w ust. 2 pkt 2, w upoważnieniu do przetwarzania danych osobowych, o którym mowa w 17 decyzji, identyfikator użytkownika oraz numer i datę pisemnego zawiadomienia wpisuje właściwy ABZ. 2 / 13

19 Dziennik Urzędowy Komendy Głównej Straży Granicznej 19 Poz Identyfikator użytkownika i hasło tymczasowe do systemu informatycznego lub inne przyjęte metody uwierzytelniania (np. elektroniczna karta Infrastruktury Klucza Publicznego - karta PKI wraz z kodem PIN) są przekazywane użytkownikowi systemu informatycznego przez ATI lub przez inną upoważnioną osobę, w sposób uniemożliwiający zapoznanie się z nimi osób postronnych. 5. Odebranie uprawnień użytkownikowi w systemie informatycznym następuje po utracie ważności upoważnienia do przetwarzania danych osobowych, o którym mowa w 17 decyzji, w przypadkach wymienionych w 16 ust. 5 decyzji, bądź na polecenie lokalnego administratora danych. 6. Odebranie uprawnień w systemie informatycznym może nastąpić na podstawie wniosku o odebranie uprawnień lub wpisu w treści upoważnienia do przetwarzania danych osobowych, o którym mowa w 17 decyzji. 7. ATI po odebraniu uprawnień w systemie informatycznym potwierdza ten fakt poprzez: 1) złożenie na upoważnieniu do przetwarzania danych osobowych, o którym mowa w 17 decyzji, czytelnego podpisu oraz wpisaniu daty odebrania uprawnień, albo 2) pisemne zawiadomienie wnioskującego zawierające informacje wskazujące osobę, której odebrano uprawnienia. 8. W przypadku, o którym mowa w ust. 7 pkt 2, w upoważnieniu do przetwarzania danych osobowych, o którym mowa w 17 decyzji, numer i datę pisemnego zawiadomienia wpisuje właściwy ABZ. 9. Wniosek, o którym mowa w ust. 1 i ust. 6 może złożyć każda osoba, która stwierdzi potrzebę nadania lub odebrania uprawnień użytkownikowi w systemie informatycznym w związku z realizacją lub zaprzestaniem realizacji czynności służbowych. 10. Na polecenie lokalnego administratora danych uprawnienia użytkownika w systemie informatycznym mogą zostać zablokowane. 11. Wnioski o nadanie i odebranie uprawnień użytkownikowi w systemie informatycznym przechowuje i archiwizuje ATI. Wnioski może przechowywać i archiwizować także ABZ, jeżeli takie rozwiązanie przyjęto dla danego systemu informatycznego. 3. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 1. BIOS należy zabezpieczyć hasłem. 2. ATI przydziela hasło tymczasowe (startowe) użytkownikowi, któremu nadano uprawnienia w systemie informatycznym i przypisano lub wygenerowano identyfikator. 3. W przypadku, gdy z systemu informatycznego korzysta więcej niż jeden użytkownik dostęp do systemu informatycznego powinien być zabezpieczony za pomocą przyjętych mechanizmów uwierzytelniania. Każdemu użytkownikowi przypisuje się odrębny, indywidualny identyfikator użytkownika oraz dane służące uwierzytelnieniu. 3 / 13

20 Dziennik Urzędowy Komendy Głównej Straży Granicznej 20 Poz Nie dopuszcza się przetwarzania danych osobowych w systemie informatycznym z uprawnieniami administracyjnymi. Zakaz nie dotyczy danych osobowych niezbędnych do nadania uprawnień. 5. W odniesieniu do systemów informatycznych, w których do uwierzytelniania użytkowników używa się identyfikatora użytkownika i hasła należy stosować następujące zasady: 1) identyfikator użytkownika i hasło tymczasowe do systemu informatycznego są przekazywane użytkownikowi systemu informatycznego osobiście przez ATI w sposób uniemożliwiający zapoznanie się z nimi przez osoby trzecie; 2) zmiana hasła tymczasowego jest wymuszona przy pierwszym zalogowaniu użytkownika; 3) hasła muszą spełniać poniższe wymagania: a) dla systemów informatycznych, w których nie są przetwarzane dane osobowe, o których mowa w art. 27 ustawy, oraz żadne z urządzeń tych systemów informatycznych nie są połączone z siecią publiczną: - minimalna długość 6 znaków (12 dla ATI), - maksymalny okres ważności 30 dni, - system informatyczny wymusza zmianę hasła, b) dla systemów informatycznych, w których są przetwarzane dane osobowe, o których mowa w art. 27 ustawy, oraz żadne z urządzeń tych systemów informatycznych nie są połączone z siecią publiczną: - minimalna długość 8 znaków (12 dla ATI), - maksymalny okres ważności 30 dni, - system informatyczny wymusza zmianę hasła, - hasło musi zawierać małe i wielkie litery oraz cyfry lub znaki specjalne, jeżeli system informatyczny to umożliwia, c) dla systemów informatycznych, w których przynajmniej jedno urządzenie systemu połączone jest z siecią publiczną, stosuje się zabezpieczenie wymienione w lit. b oraz wykorzystuje się środki ochrony kryptograficznej wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane do sieci publicznej; 4) zmiana hasła w systemie informatycznym powinna być wymuszana przez system informatyczny przy logowaniu po upływie jego okresu ważności; 5) hasła, w stosunku do których zaistniało podejrzenie ich ujawnienia, podlegają bezzwłocznej zmianie. 6. W odniesieniu do systemów informatycznych, w których do uwierzytelniania używa się karty PKI lub innej przyjętej metody uwierzytelniania należy stosować następujące zasady: 1) karta PKI i kod PIN do niej są przekazywane użytkownikowi systemu informatycznego w sposób uniemożliwiające zapoznanie się z nimi przez osoby trzecie; 4 / 13

21 Dziennik Urzędowy Komendy Głównej Straży Granicznej 21 Poz. 90 2) użytkownik jest zobowiązany zmienić kod PIN do karty na swój własny po pierwszym użyciu karty; 3) zabrania się udostępniania karty PKI oraz kodu PIN do niej innym osobom; 4) użytkownik powinien niezwłocznie po zagubieniu karty zawiadomić ATI. 7. Raz użyty identyfikator użytkownika nie może być ponownie nadany w danym systemie informatycznym innej osobie. 8. W przypadku odebrania uprawnień użytkownikowi w systemie informatycznym, identyfikator użytkownika powinien w tym systemie pozostać. 9. W celu zabezpieczenia awaryjnego dostępu do systemu informatycznego przetwarzającego dane osobowe, aktualne hasło ATI jest przechowywane w depozycie w miejscu wyznaczonym przez lokalnego administratora danych, w którym jest zapewniona integralność i poufność tego hasła oraz kontrola nad tym, kto się z nim zapoznał. 10. W uzasadnionych przypadkach lokalny administrator danych może wydać pisemne polecenie wykorzystania w trybie awaryjnym, przez upoważnioną osobę, uprawnień ATI w systemie informatycznym. Po wykorzystaniu uprawnień ATI w trybie awaryjnym sporządza się notatkę i informuje lokalnego ABI. 4. Procedura rozpoczęcia pracy przeznaczona dla użytkowników systemu informatycznego Rozpoczynając pracę użytkownik systemu informatycznego jest zobowiązany: 1) ustawić monitor w sposób uniemożliwiający podgląd ekranu osobom nieuprawnionym; 2) po włączeniu zasilania, obserwować monitor ekranowy, kontrolować proces uruchamiania systemu informatycznego, obserwować komunikaty wyświetlane na ekranie monitora i w razie stwierdzenia nieprawidłowości, w szczególności nietypowych komunikatów, zawieszenia systemu informatycznego, powiadomić ATI; 3) zalogować się, zwracając szczególną uwagę, aby uwierzytelnianie odbywało się w sposób dyskretny (nie było możliwości obserwacji klawiatury przez osoby przebywające w pomieszczeniu). 5. Procedura zawieszenia pracy przeznaczona dla użytkowników systemu informatycznego W przypadku krótkotrwałego opuszczenia stanowiska pracy lub pomieszczenia, w szczególności, gdy w pomieszczeniu pracuje więcej niż jedna osoba, użytkownik systemu informatycznego jest zobowiązany uaktywnić wygaszacz ekranu zabezpieczony hasłem lub w inny sposób zabezpieczyć system przed dostępem innych osób. 5 / 13