I. Wstęp. II. Definicje

Transkrypt

1 Załącznik Nr 1 do Zarządzenia Nr Or Wójta Gminy Damasławek z dnia 16 lutego 2017 r. POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DAMASŁAWEK I. Wstęp 1. W systemie informatycznym oraz tradycyjnym w Urzędzie Gminy Damasławek przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r., poz. 922 ze zm.). Osobami odpowiedzialnymi za właściwy i niezakłócony przebieg przetwarzania danych w tych systemach są Administrator Sytemu Informatycznego i Sekretarz Gminy. 2. Celem utworzenia dokumentacji jest podniesienie bezpieczeństwa dokumentów i systemów informatycznych, w których są gromadzone i przetwarzane dane oraz określenie odpowiedzialności pracowników za prawidłowe działanie tych systemów i bezpieczeństwo przetwarzanych w nim danych. 3. Administratorem Danych jest Gmina Damasławek reprezentowana przez Wójta Gminy Damasławek. II. Definicje 1. Urząd w tym dokumencie jest rozumiany, jako Urząd Gminy Damasławek, z siedzibą w Damasławku przy ul. Rynek Administrator Danych/Administrator Danych Osobowych rozumie się przez to Gminę Damasławek reprezentowaną przez Wójta Gminy Damasławek. 3. Pracownik odpowiedzialny za realizację zadań związanych z ochroną danych osobowych- Sekretarz Gminy- wyznaczony przez Administratora Danych Osobowych (Wójta) do nadzorowania, przestrzegania zasad ochrony danych osobowych, oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych w Urzędzie Gminy Damasławek. 4. Użytkownik systemu osoba upoważniona do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona w urzędzie, osoba wykonująca 1

2 pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, a także osoba odbywająca staż, praktykę w urzędzie. 5. Identyfikator użytkownika jest to ciąg znaków jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. 6. Administrator Systemu Informatycznego (ASI)- pracownik odpowiedzialny za funkcjonowanie systemu teleinformatycznego, oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie, powołany odrębnym zarządzeniem Wójta Gminy Damasławek. 7. Sieć lokalna połączenie komputerów pracujących w urzędzie w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych. 8. Sieć publiczna sieć telekomunikacyjna, niebędąca siecią wewnętrzną służąca do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (tekst jednolity Dz. U. z 2016 r., poz ze zm.). 9. System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 10. Przetwarzanie danych rozumie się to w tym dokumencie, jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. 11. Zabezpieczenie danych w systemie informatycznym wdrożenie i wykorzystywanie stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 12. Integralność danych właściwość zapewniająca, że dane osobowe nie zostały zmienione, lub zniszczone w sposób nieautoryzowany. 13. Rozliczalność właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. 14. Aplikacja program komputerowy wykonujący konkretne zadanie. 15. Wysoki poziom bezpieczeństwa musi występować wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną. 16. Komórka organizacyjna rozumie się przez to referat, samodzielne stanowisko pracy. 2

3 III. Organizacja przetwarzania danych osobowych 1. Administrator Danych realizuje zadania w zakresie ochrony danych osobowych, w tym w szczególności: 1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji administratora danych, oraz technik zabezpieczania danych osobowych, 2) upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnym zakresie, odpowiadającym zakresowi jej obowiązków, 3) wyznacza osobę odpowiedzialną za realizację zadań związanych z ochroną danych osobowych w Urzędzie i Administratora Systemu Informatycznego określa zakres ich zadań i obowiązków, 4) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpieczeństwa przetwarzania danych osobowych. 2. Sekretarz Gminy- realizuje zadania związane z ochroną danych osobowych w Urzędzie oraz nadzoruje przestrzeganie zasad ochrony danych osobowych. 3. Administrator Systemu Informatycznego realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym Administratora Danych, w tym w szczególności: 1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z poziomu administratora, 2) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, 3) zakłada konta oraz przydziela uprawnienia upoważnionym użytkownikom, 4) wyrejestrowuje użytkowników z systemu informatycznego, 5) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych, 6) w sytuacjach stwierdzenia naruszenia zabezpieczeń systemu informatycznego, informuje Sekretarz Gminy oraz Administratora Danych o naruszeniu i współdziała z nimi przy usuwaniu skutków naruszenia, 7) sprawuje nadzór nad: a) wykonywaniem napraw, konserwacji oraz likwidacji urządzeń komputerowych, 3

4 b) wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego, 8) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji. 4. Pracownicy Urzędu, którzy zbierają i przetwarzają dane osobowe, są odpowiedzialni za poinformowanie osób, których dane przetwarzają o: 1) adresie siedziby urzędu, pod którym dane są zbierane i przetwarzane, 2) celu zbierania danych, dobrowolności lub o podstawie prawnej, jeżeli istnieje obowiązek przetwarzania danych, 3) prawie wglądu do treści swoich danych oraz możliwości ich poprawiania. 5. W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy poinformować ponadto o: 1) źródle danych, 2) uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 Ustawy, 3) Administrator danych zwolniony jest z obowiązku wynikającego z ppkt. 1 i 2 w przypadkach, gdy: a) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, b) osoba, której dane dotyczą, posiada informacje, o których mowa w ppkt 1 i Materiały dotyczące innej niż ustawowa działalność Urzędu mogą być wysyłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu. 7. Kandydaci do pracy w Urzędzie w procesie rekrutacji muszą podpisać pisemną zgodę na przetwarzanie ich danych osobowych lub umieścić i podpisać w składanych dokumentach odpowiednią klauzulę zezwalającą na przetwarzanie swoich danych osobowych. 8. Pracownicy Urzędu zobowiązani są do ochrony danych osobowych, w tym do zachowania szczególnej ostrożności przy wykonywaniu swoich obowiązków służbowych. Niedopuszczalne jest ujawnianie danych osobowych osobą nieuprawnionym. Zabrania się pozostawiania stanowiska pracy (użytkowanego sprzętu) bez nadzoru pracownika. 4

5 9. Pracownicy Urzędu w razie czasowego opuszczenia miejsca pracy zobowiązani są do ochrony danych osobowych tak, aby nie dopuścić do nieupoważnionego dostępu do danych m. in. poprzez wylogowanie się z systemu komputerowego. 10. Pracownicy po zakończeniu pracy zobowiązani są do zabezpieczania dokumentów zawierających dane osobowe poprzez umieszczenie ich w zamykanych na klucz szafach. Powyższe ma zastosowanie do laptopów i przenośnych nośników pamięci. IV. Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe 1. Dane osobowe przetwarzane są w budynku Urzędu Gminy Damasławek. 2. Budynek, o którym mowa w pkt 1 znajduje się przy ulicy Rynek 8 w Damasławku Dane osobowe mogą być przetwarzane we wszystkich pomieszczeniach Urzędu Gminy Damasławek. 4. Dane osobowe zbioru danych Rejestr meldunkowy wczasowiczów i turystów przetwarzane są również w budynku socjalnym położonym na terenie kąpieliska gminnego w Kozielsku. V. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i wyćwiczalności danych przetwarzanych w systemie 1. Środki ochrony fizycznej: Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami. Dostęp do pokoi jest kontrolowany za pomocą wydawania kluczy tylko osobom uprawnionym. Szafka na klucze jest kodowana i znajduje się w pomieszczeniu, do którego wejście jest w sekretariacie, przez co pracownik ds. obsługi kancelarii lub osoba zastępująca (w godzinach pracy) stale monitoruje pobieranie kluczy z szafki. 5

6 Zastosowano sejf do przechowywania nośników z kopiami zapasowymi zawierających dane osobowe. Dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe ma tylko Sekretarz Gminy oraz Administrator Systemu Informatycznego. Okna w pomieszczeniach nr 1,3, 4 i 6 budynku Urzędu na parterze zabezpieczone są kratami. W pomieszczeniach są zainstalowane systemy alarmowe. Ekrany monitorów komputerów ustawione są w taki sposób, aby nie udostępniać danych osobom nieupoważnionym. 2. Środki sprzętowe, informatyczne i telekomunikacyjne: Stosuje się niszczarki dokumentów. Urządzenia wchodzące w skład infrastruktury sieciowej, serwera oraz komputery, na których przetwarzane są dane osobowe podłączone są do lokalnych awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania. Sieć lokalna skonfigurowana jest w topologii gwiazdy. Sieć lokalna podłączona jest do Internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną. Kopie zapasowe wykonywane są raz w tygodniu na nośnikach DVD oraz przechowywane są na serwerze replikacyjnym. 3. Środki ochrony w ramach oprogramowania urządzeń teletransmisji: Na komputerach użytkowników systemu działa program antywirusowy. Na komputerach użytkowników systemu działa programowy firewall. Dostęp do serwera zawierającego dane osobowe zabezpieczony jest hasłem. 4. Środki ochrony w ramach oprogramowania systemu: Dostęp do baz danych osobowych zastrzeżony jest wyłącznie dla uprawnionych pracowników. Konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem aplikacji wymienionych w polityce bezpieczeństwa. System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu odrębnie dla każdego pracownika. Zastosowano działający w tle program antywirusowy na komputerach użytkowników. 6

7 W systemie sieciowym stosuje się mechanizm wymuszający okresową zmianę haseł dostępu. 5. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych: Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji. Dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator. Identyfikator składa się z sześciu znaków, z których dwa pierwsze odpowiadają dwóm pierwszym literom imienia użytkownika, a cztery kolejne odpowiadają czterem pierwszym literom jego nazwiska. W identyfikatorze pomija się polskie znaki diakrytyczne. Użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych danych osobowych, do których mają uprawnienia. 6. Środki ochrony w ramach systemu użytkowego: Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym. Zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika. Zastosowano blokadę hasłem podczas dłuższej nieaktywności użytkownika. 7. Środki organizacyjne: Tymczasowe wydruki z danymi osobowymi są po ustaleniu ich przydatności niszczone. Do przetwarzania danych osobowych przy użyciu systemu informatycznego dopuszczane są osoby na podstawie indywidualnego pozwolenia na dostęp do przetwarzania danych osobowych wydawanego przez Administratora Danych Osobowych. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania ich w tajemnicy. Osoby przetwarzające dane osobowe są przed dopuszczeniem ich do tych danych zaznajamiane w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych w systemie informatycznym. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. Ustalono Instrukcję Zarządzania Systemem Informatycznym służącą do przetwarzania danych osobowych. 7

8 Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. Rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy. W przypadku, gdy uszkodzenie sprzętu zawierającego nośnik danych, na którym zapisane są dane osobowe wymusza konieczność przekazania go poza siedzibę urzędu, nośnik ten należy wymontować. VI. Procedura postępowania w przypadku naruszenia ochrony danych osobowych 1. Każdy pracownik Urzędu, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązany niezwłocznie zgłosić to Sekretarzowi Gminy. 2. W razie braku możliwości zawiadomienia Sekretarza Gminy, należy zawiadomić bezpośredniego przełożonego. 3. Do czasu przybycia na miejsce Sekretarza Gminy należy: niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony (o ile to możliwe), ustalić przyczynę i sprawcę naruszenia ochrony, rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, o ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia, podjąć stosowne działania, jeśli zaistniały przypadek został przewidziany w dokumentacji systemu operacyjnego, bazy danych, czy instrukcji aplikacji użytkowej, nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia. 4. Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Sekretarz Gminy podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy urzędu, 8

9 może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, powiadamiania o zaistniałym naruszeniu Administratora Danych Osobowych, nawiązuje kontakt ze specjalistami spoza Urzędu (jeśli zachodzi taka potrzeba). 5. Sekretarz Gminy dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport wg wzoru stanowiącego załącznik Nr 3, który zawiera następujące informacje: wskazanie osoby zawiadamiającej o naruszeniu, oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa, określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile da się ustalić), określenie okoliczności towarzyszących i rodzaju naruszenia, opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania, wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa, ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego. Raport z wystąpienia zdarzenia przekazuje do wiadomości Administratorowi Danych Osobowych. 6. Sekretarz Gminy zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania danych osobowych). 7. Zaistniałe naruszenie bezpieczeństwa może stać się przedmiotem zespołowej analizy przeprowadzanej przez kierownictwo Urzędu, Administratora Danych Osobowych, Sekretarza Gminy i Pełnomocnika ds. Ochrony Informacji Niejawnych. 8. Analiza ta powinna zawierać wszechstronną ocenę zaistniałego naruszenia bezpieczeństwa, wskazanie odpowiedzialnych wnioski, co do ewentualnych działań proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości. 9. Dopuszcza się czasowe odebranie pracownikowi uprawnień do przetwarzania danych osobowych, w przypadku podejrzenia pracownika o przyczynienie się do naruszenia bezpieczeństwa danych. 10. Czasowego odebrania uprawnień dokonuje Administrator Danych na wniosek kierownika komórki organizacyjnej. 9

10 11. Czasowe odebranie uprawnień może nastąpić do czasu wyjaśnienia faktu naruszenia bezpieczeństwa danych osobowych. VII. Postanowienia końcowe 1. Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne. 2. Wykaz zbiorów danych osobowych przetwarzanych w Urzędzie Gminy Damasławek stanowi załącznik nr Struktura zbiorów danych osobowych, sposób przepływu danych w systemie i zakres przetwarzania danych stanowi załącznik nr Sekretarz Gminy zobowiązany jest prowadzić wykaz osób, które zostały zapoznane z Polityką Ochrony Danych Osobowych w Urzędzie Gminy Damasławek oraz Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Damasławek wg wzoru określonego w załączniku nr Administrator Danych Osobowych wydaje upoważnienia do przetwarzania danych osobowych wg wzoru określonego w załączniku nr Sekretarz Gminy zobowiązany jest prowadzić ewidencje osób upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Damasławek wg wzoru określonego w załączniku nr Sekretarz Gminy zobowiązany jest do zbierania i przechowywania oświadczeń pracowników zatrudnionych na podstawie umowy o pracę i umów cywilno-prawnych do zachowania w tajemnicy danych osobowych, do których mają dostęp. Wzory oświadczeń stanowią załącznik nr 7 i Sekretarz Gminy prowadzi Rejestr wniosków o nadanie upoważnienia do przetwarzania danych osobowych, o którym mowa w Instrukcji zarządzania system informatycznym służącym do przetwarzania danych osobowych wg wzoru określonego w załączniku nr Radca prawny lub kancelaria prawna prowadząca obsługę prawną Urzędu Gminy informuje Wójta Gminy o zmianach w obowiązującym stanie prawnym w zakresie ochrony danych osobowych. 10

11 VIII. Załączniki Załącznik Nr 1. Wykaz zbiorów danych osobowych przetwarzanych w Urzędzie Gminy Damasławek. Załącznik nr 2. Struktura zbiorów danych osobowych, sposób przepływu danych w systemie i zakres przetwarzania danych. Załącznik Nr 3. Wzór raportu z naruszenia bezpieczeństwa danych osobowych w Urzędzie Gminy Damasławek. Załącznik Nr 4. Wzór wykazu osób, które zostały zapoznane z Polityką Ochrony Danych Osobowych w Urzędzie Gminy Damasławek oraz Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Damasławek. Załącznik Nr 5. Wzór upoważnienia imiennego do przetwarzania danych osobowych. Załącznik Nr 6. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Damasławek. Załącznik Nr 7. Wzór oświadczenia do zachowania w tajemnicy danych osobowych, osoby zatrudnionej na podstawie umowy o pracę. Załącznik Nr 8. Wzór oświadczenia do zachowania w tajemnicy danych osobowych, osoby zatrudnionej na podstawie umowy cywilno prawnej. Załącznik Nr 9. Wzór rejestru wniosków o nadanie upoważnienia do przetwarzania danych osobowych. 11