Załączniki do Polityki Bezpieczeństwa Informacji. Wzory dokumentów wewnętrznych

Transkrypt

1 Załączniki do Polityki Bezpieczeństwa Informacji Wzory dokumentów wewnętrznych

2 Załącznik nr.1 Upoważnienie Nr 01/ Działając na podstawie uprawnień nadanych mi w Urzędzie Gminy w sprawie ochrony danych osobowych oraz w oparciu o art. 37 ustawy o Ochronie Danych Osobowych, upoważniam: Panią/ Pana Imię i Nazwisko.. do przetwarzania danych/obsługi: systemu informatycznego / nieinformatycznego oraz urządzeń wchodzących w jego skład zlokalizowanych w Urzędzie Gminy służących do przetwarzania danych osobowych zawartych w zbiorze noszącym nazwę Wszystkie zbiory w Urzędzie Gminy na okres. nadania/ustania.. Identyfikator. Wyżej wymieniona osoba została zapoznana z obecnie obowiązującymi przepisami dotyczącymi ochrony danych osobowych i dopuszczona jest do ich przetwarzania jedynie w zakresie określonym w Ustawie z dnia r, o ochronie danych osobowych (tekst jednolity Dz. U z roku 2002 nr 101, poz. 926 z póżn. zm.) i wydanych do niej przepisach wykonawczych oraz w Zarządzeniu Nr.z dnia. w sprawie ochrony danych osobowych. Wymieniona osoba została wpisana do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w Urzędzie Gminy miejscowość, data administrator dany osobowych

3 Załącznik 2, dnia... Oświadczenie* Ja niżej podpisany(a).. zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam/ będę miał(a) dostęp w związku z wykonywaniem przeze mnie zadań służbowych i obowiązków pracowniczych w Urzędzie Gminy, zarówno w trakcie obecnie wiążącego mnie stosunku pracy, stażu, praktyki jak i po ustaniu zatrudnienia. Zobowiązuję się przestrzegać regulaminów, instrukcji i procedur obowiązujących w Urzędzie Gminy wiążących się z ochroną danych osobowych, a w szczególności nie będę bez upoważnienia służbowego wykorzystywał (a) danych osobowych ze zbiorów Urzędu Gminy. Stwierdzam, że zostałem (am) przeszkolony (a) i zrozumiałem (am) treść definicji danych osobowych w rozumieniu art. 6 Ustawy z dnia r, o ochronie danych osobowych (tekst jednolity Dz. U z roku 2002 nr 101, poz. 926) oraz aktów wykonawczych i instrukcji polityki bezpieczeństwa informacji w Urzędzie Gminy. Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane za naruszenie obowiązków pracowniczych w rozumieniu Kodeksu Pracy podpis składającego przyjmujący oświadczenie oświadczenie * oświadczenie dotyczy umów o pracę

4 Załącznik 3.., dnia... Oświadczenie* Ja niżej podpisany(a).. zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam/ będę miał(a) dostęp w związku z wykonywaniem umowy zawartej z Urzędu Gminy, zarówno w trakcie trwania umowy jak i po jej wygaśnięciu lub rozwiązaniu. Zobowiązuję się do ścisłego przestrzegania warunków ww. umowy, które wiążą się z ochroną danych osobowych, a w szczególności nie będę bez upoważnienia służbowego wykorzystywał (a) danych osobowych ze zbiorów w Urzędzie Gminy w celach nie związanych z wykonywaniem tej umowy. Stwierdzam, że jest mi znana definicja danych osobowych w rozumieniu art. 6 Ustawy z dnia r, o ochronie danych osobowych (tekst jednolity Dz. U z roku 2002 nr 101, poz. 926) oraz zostałem (am) zaznajomiony (a) z przepisami o ochronie danych osobowych. Przyjmuję do wiążącej wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami oznacza naruszenie warunków umowy zawartej z Urzędu Gminy podpis składającego przyjmujący oświadczenie oświadczenie *oświadczenie dotyczy umów cywilno - prawnych

5 Załącznik 4 umowa powierzenia i zabezpieczenia powierzonych danych osobowych przetwarzanych w procesie realizacji Projektu zawarta w dniu.. w... pomiędzy: Zamawiającym: Urzędem Gminy a Wykonawcą: 1 Wykonawca zobowiązuje się do ochrony danych, a w szczególności stosowania przepisów ustawy o ochronie danych osobowych, oraz zgodnie z powszechnie przyjętymi standardami i ustalonymi przez Strony warunkami. Obowiązek zachowania tajemnicy obejmuje wszystkich uczestników procesu realizacji umowy w szczególności wszelkich informacji, danych, a także materiałów uzyskanych w związku z zawarciem i realizacją Umowy / Projektu. 2 Zamawiający jest administratorem danych osobowych w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 (Dz.U z póź. zm. ) o ochronie danych osobowych zwanej dalej Ustawą, jednocześnie w pełni realizuje odpowiednią ochronę danych zgodnie z dyspozycją art Ustawy. 3 Zamawiający powierza a Wykonawca zobowiązuje się przetwarzać powierzone mu na podstawie art. 31 Ustawy dane osobowe wyłącznie w zakresie oraz celu związanym z realizacją postanowień niniejszej Umowy. 4 Przetwarzanie przez Wykonawcę danych osobowych w zakresie oraz celach innych niż wyraźnie wskazane powyższymi postanowieniami oraz objęte upoważnieniem udzielanym w treści niniejszej Umowy jest niedopuszczalne. 5 Dane osobowe stanowiące zbiór danych udostępniane Wykonawcy w warunkach niniejszego paragrafu, określa się w następującym zakresie: 1. nazwiska; 2. imienia; 3. nr PESEL; 4. inne niezbędne dane OBSŁUGA IT PROGRAM LUB APLIKACJA 6 Wykonawca zobowiązuje się do: 1. zastosowania przy przetwarzaniu danych osobowych, środki techniczne i organizacyjne zapewniające ochronę danych, w zakresie określonym w art a Ustawy, przedkładając Zamawiającemu oświadczenie wykazujące stosowanie właściwych środków zabezpieczenia danych osobowych (Polityki Bezpieczeństwa Informacji - PBI).

6 2. Zapewnienia, aby urządzenia i systemy informatyczne służące do przetwarzania powierzonych mu kopii danych osobowych były zgodne z wymogami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 3. Przestrzegania zasad poufności, integralności i rozliczalności powierzonych mu danych. 4. Przesłania Zamawiającemu kopii imiennych upoważnień osób, które będą przetwarzały dane osobowe zgodnie z postanowieniami niniejszej Umowy oraz przepisami prawa. 7 Wykonawca oraz Zamawiający oświadczają, że na funkcję administratorów bezpieczeństwa informacji wyznaczono następujące osoby: Strona umowy Imię i nazwisko oraz funkcja Identyfikator Zamawiający: Wykonawca: 8 W przypadku wygaśnięcia niniejszej Umowy, Wykonawca jest bezwzględnie zobowiązany do usunięcia (zwrotu lub zniszczenia potwierdzonego protokółem powierzonych mu danych osobowych) oraz skasowania wszelkich kopii tych danych będących w posiadaniu Wykonawcy oraz podjąć stosowne działania w celu wyeliminowania możliwości dalszego przetwarzania danych powierzonych na podstawie niniejszej Umowy. 9 Obowiązek zachowania tajemnicy nie dotyczy obowiązku ujawniania, wynikającego z bezwzględnie obowiązujących przepisów prawa, jak również w przypadku, gdy jest potrzebne celem wszczęcia lub prowadzenia postępowania karnego, cywilnego, administracyjnego lub innego podobnego. 10 Strony zobowiązane są zorganizować oraz utrzymywać środki bezpieczeństwa i sposoby postępowania, zapewniające bezpieczne przechowywanie danych, a także dołożą wszelkich starań by zapobiec jakiemukolwiek nieautoryzowanemu wykorzystaniu, ujawnieniu, lub dostępowi do tych danych.

7 Załącznik 5 Rejestr wydanych upoważnień do przetwarzania danych osobowych w Urzędzie Gminy w Grębocicach Lp. Imię i nazwisko Stanowisko Zakres Data nadania upoważnienia Data ustania upoważnienia Identyfikator Uwagi

8 Załącznik 6 Raport o naruszeniu danych osobowych Sporządzający raport: Imię i nazwisko... stanowisko (funkcja)... 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):... 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych):... 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych:... 4) Informacje o danych, które zostały lub mogły zostać ujawnione:... 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem:... 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania):... Data:... Podpis:...

9 I. Wykaz budynków i pomieszczeń w których przetwarzane są dane osobowe 1. W budynkach mieszczących się przy: a) Ul.. 2. W pomieszczeniach : a) b) 3. W systemach informatycznych: a) Kadry i Płace - b). c).. 4. W systemach nieinformatycznych : w formie dokumentów papierowych..

10 II. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych NSI. IIa.W systemach informatycznych: a) system Kadrowo-Płacowy : b) przetwarzanie danych dla ZUS : IIb. W systemach nieinformatycznych a) akta osobowe b) umowy cywilno-prawne c) oświadczenia z danymi osobowymi III. Opis struktury zbiorów danych wskazujący zawartość NSI poszczególnych pól informacyjnych i powiązania między nimi Lp. Nazwa zbioru/zasob u danych osobowych System przetwarzani a /nazwa systemu/ Lokalizacja miejsca przetwarzani a Zastosowane oprogramowani e Pełny zakres danych osobowych w systemie Pola informacyjne w systemie 1 Program Płatnik Baza danych w formacie MS Access Dział / wykonawca Oprogramowanie Płatnik używane na stacji roboczej pracownikom udział Imię, nazwisko, NIP, PESEL, data urodzenia, adres zamieszkania. Identyfikator osoby wprowadzające j dane, data wprowadzenia danych do

11 systemu 2 Program Własna baza danych MS.. Zarząd,. Oprogramowanie klienckie kontakt, używane na stacja roboczych Nazwa firmy / instytucji lub Imię i nazwisko, NIP, adres, nr konta. Identyfikator osoby wprowadzające j dane, data wprowadzenia danych do systemu 3 Program.. dane w formacie. Oprogramowanie klienckie Łącze zainstalowane na stacji roboczej. Nazwa firmy / instytucji lub Imię i nazwisko, NIP, adres zamieszkania, adres korespondencyjn y Identyfikator osoby pobierającej dane IV. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami Programy: zbudowane są w architekturze klient-server. Przetwarzanie odbywa się częściowo na serwerze, częściowo na stacjach roboczych użytkowników. Program pracuje na zbiorze znajdującym się fizycznie na serwerze który to zbiór jest udziałem udostępnionym wyłącznie uprawnionym użytkowników. W systemach informatycznych obowiązują zabezpieczenia na poziomie wysokim. Najważniejszymi zastosowanymi środkami zabezpieczenia danych w systemach informatycznych: a) hasła dostępu do systemu, b) hasła dostępu do aplikacji.

12 V. Przepływ danych w poszczególnych systemach : PRZYKŁAD a) System Kadrowo- Płacowy a Płatnik, Kontakt i analizy FK. System Kadrowo- Płacowy Płatnik Dan ZUS FK Symfonia b) System Faktury a FK Faktury Dane Faktury Przepływ danych FK Dane FK c) system obiegu wniosku WNIOSEK Kancelaria program Przepływ danych Archiwum Aktualne informacje dotyczące możliwości szybkiego skontaktowania się z:

13 1. Administratorem Danych Osobowych Imię i nazwisko: Numer telefonu służbowego: Numer telefonu komórkowego: 2. Administratorem Bezpieczeństwa Informacji Imię i nazwisko: Numer telefonu służbowego: Numer telefonu komórkowego: 3. Administrator Systemu Informatycznego Imię i nazwisko: Numer telefonu służbowego: Numer telefonu komórkowego: