Załącznik nr 1 do Zarządzenia nr 0152/11/05 Wójta Gminy Nędza z dnia 5 września 2005 r. POLITYKA BEZPIECZEŃSTWA I. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe Dane osobowe przetwarzane są w budynku UG Nędza, ul. Sobieskiego 5. lp. nazwa zbiorów danych osobowych pomieszczenia w których przetwarzane są zbiory danych osobowych stanowisko przetwarzające zbiory danych 1 Ewidencja ludności Pok. Nr 2 Inspektor ds. ewidencji ludności, dowodów osobistych, ewidencji działalności gospodarczej i mienia gminy i kadr 2. Dowody osobiste Pok. Nr 2 Inspektor ds. ewidencji ludności, dowodów osobistych, ewidencji działalności gospodarczej i mienia gminy i kadr 3. Urząd Stanu Cywilnego Pok. Nr 15 Kierownik Urzędu Stanu Cywilnego Referent ds. obsługi USC 4. Podatki Pok. Nr 5 Inspektor ds. księgowości podatkowej Inspektor ds. wymiaru 5. System Informacji Oświatowej Pok. Nr 11 Kierownik Referatu Oświaty i Sportu 6. Stypendia szkolne Pok. Nr 11 Kierownik Referatu Oświaty i Sportu 7. Ochrona środowiska Pok. Nr.21 Inspektor ds. ochrony środowiska i pozyskiwania środków publicznych 8. Rejestr poborowych i przedpoborowych Pok. Nr 12 Referent ds. obrony cywilnej i działań kryzysowych 9. Rejestr wydanych decyzji o wycince drzew 10. Rejestr wydanych decyzji o warunkach zabudowy i zagospodarowaniu terenu Pok. Nr 22 Pok. Nr 22 Inspektor ds. Planowania Przestrzennego, Budownictwa i Dróg Inspektor ds. Planowania Przestrzennego, Budownictwa i Dróg
II. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Dane osobowe przetwarzane są w budynku UG Nędza, ul. Sobieskiego 5 Lp. Nazwa zbioru danych osobowych Nazwa programu zastosowanego do przetwarzania zbioru Autor programu 1 Ewidencja ludności EWIDENCJA CLANET 42-620 Makło Śląskie ul. Dworcowa 35 2. Dowody osobiste System obsługi obywatela IDL System 3. Urząd Stanu Cywilnego System Obsługi USC Pb-USC Komputerowy System Rejestracji Aktów Stanu Cywilnego 4. Podatki Program księgowo podatkowy Program wymiar Program rozliczenie podatku od środków transportowych Przedsiębiorstwo Techniczno Handlowe Technika sp. z o.o. ul. Jagiellońska 4 44-100 GLIWICE CLANET 42-620 Makło Śląskie ul. Dworcowa 35 Zakład Elektronicznej Techniki Obliczeniowej 40-158 Katowice ul. Owocowa 1 Program Geodezja Przedsiębiorstwo Geodezyjno Informatyczne INFOGEO ul. Rzemieślnicza 1 42-500 Będzin 5. System Informacji Oświatowej System Informacji Oświatowej Ministerstwo Edukacji Narodowej i Sportu 00-918 Warszawa Al. Szucha 25 6. Stypendia szkolne - - 7. Ochrona środowiska - - 8. Rejestr poborowych i przedpoborowych 9. Rejestr wydanych decyzji o wycince drzew 10. Rejestr wydanych decyzji o warunkach zabudowy i zagospodarowaniu terenu - - - - - -
III. Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi 1. Zbiór danych Ewidencja ludności zawiera następujące pola: dane osobowe /nazwiska i imiona, nazwisko rodowe i z poprzedniego małŝeństwa, imiona rodziców, data urodzenia, miejsce urodzenia, akta urodzenia, data i nr USC/ dane osobowe archiwalne / nazwiska i imiona, nazwisko rodowe i z poprzedniego małŝeństwa/ adres zamieszkania lub pobytu stałego oraz data zameldowania; archiwalne adresy zamieszkania lub pobytu stałego oraz data zameldowania; adres czasowy oraz czas pobytu czasowego archiwalne adresy czasowe oraz okresy pobytów czasowych dokument toŝsamości /rodzaj dokumentu, seria i numer dowodu, wystawca dokumentu, rysopis: wzrost, kolor oczu, znaki szczególne/ numer ewidencyjny PESEL, USC i nr aktu urodzenia, stan cywilny /imię i nazwisko współmałŝonka, nazwisko rodowe i nazwisko z poprzedniego małŝeństwa, data zawarcia małŝeństwa, USC i numer aktu małŝeństwa, data wydania i wydający dokument toŝsamości/ stan cywilny archiwalny /imię i nazwisko współmałŝonka, nazwisko rodowe i nazwisko z poprzedniego małŝeństwa, data zawarcia małŝeństwa, USC i numer aktu małŝeństwa / data wydania i wydający dokument toŝsamości, archiwalne dokumenty toŝsamości, obowiązek wojskowy / czy podlega obowiązkowi, nazwa i nr wojskowego dokumentu toŝsamości, stopień wojskowy/ data zgonu, USC i numer aktu zgonu, imiona i nazwiska rodowe, narodowość, obywatelstwo (data zmiany, podstawa prawna) adnotacje o rozwodzie. 2. Zbiór danych Dowody osobiste zawiera następujące pola: imiona i nazwiska, imiona i nazwiska rodowe rodziców, nazwisko rodowe, data urodzenia, miejsce urodzenia, numer PESEL, kolor oczu, wzrost w cm, płeć, rodzaj zameldowania, kod pocztowy, posiadany dotychczasowy dokument toŝsamości (seria, nr, nazwa i siedziba wystawcy), przyczyna wystawienia dowodu, data i przyczyna utraty, podpis osoby, fotografia.
3. Zbiór danych USC zawiera następujące pola: imiona i nazwiska, imiona i nazwiska rodowe rodziców, nazwisko rodowe, data urodzenia, zgonu, małŝeństwa miejsce urodzenia, zgonu, zawarcia związku małŝeńskiego numer PESEL, kod pocztowy, posiadany dotychczasowy dokument toŝsamości (seria, nr, nazwa i siedziba wystawcy), podpis osoby zgłaszającej urodzenie, zgon, podpisy małŝonków, świadków i osób składających zapewnienie, godzina zgonu, urodzenia, data i miejsce złoŝenia zapewnienia, imiona i nazwiska świadków wzmianki ( decyzje, rozwody, uniewaŝnienia małŝeństwa). 4. Zbiór danych Podatki zawiera następujące pola: imię i nazwisko podatnika, numer NIP, numer PESEL, numer NIP współmałŝonka; numer PESEL współmałŝonka; informacje dot. nieruchomości / obiektów / budynków i ich powierzchnia, informacje dot. posiadanych środków transportowych /rodzaj, przeznaczenie, marka, typ, poj. silnika, masa, ładowność, ilość miejsc, paliwo, data nabycia, data rejestracji, data wyrejestrowania/ informacje dot. księgowości podatkowej 5. Zbiór danych System Informacji Oświatowej zawiera następujące pola: nr PESEL płeć rok urodzenia formy i wymiar zatrudnienia stopień awansu zawodowego wykształcenie przygotowanie pedagogiczne, formy kształcenia i doskonalenia, sprawowane funkcje i zajmowane stanowiska, rodzaj prowadzonych zajęć albo przyczyny nieprowadzenia zajęć, staŝ pracy, wysokość wynagrodzenia, z wyszczególnieniem jego składników, wysokość dodatków, o których mowa w art. 54 ust 3 i 5 Karty Nauczyciela nauczycieli, wychowawców i innych pracowników pedagogicznych, w tym niebędących obywatelami polskimi, zatrudnionych w szkołach i placówkach oświatowych
6. Zbiór danych Stypendia szkolne zawiera następujące pola: nazwisko imiona ucznia / słuchacza imię ojca, matki adres zamieszkania; PESEL ucznia / słuchacza data i miejsce urodzenia ucznia/ słuchacza informacja o szkole do której uczęszcza uczeń / słuchacz /nazwa, typ, adres szkoły/, adres stałego zamieszkania sytuacja rodzinna ucznia, / w tym: imię nazwisko członka rodziny, data urodzenia poszczególnych członków rodziny, miejsce pracy, nauki poszczególnych członków rodziny, wysokość dochodu netto poszczególnych członków rodziny, i ich źródło / 7. Zbiór danych Ochrona środowiska zawiera następujące pola: nazwisko i imię mieszkańca, nazwa firmy, z którą mieszkaniec zawarł u7mowę na wywóz odpadów komunalnych, ew. nr kosza. 8. Zbiór danych Rejestr poborowych i przedpoborowych zawiera następujące pola: nazwisko i imię przedpoborowych, imię ojca, data urodzenia, seria nr dowodu osobistego, miejsce aktualnego pobytu: stałego, czasowego ponad 2 miesiące wezwano na dzień; zgłosił się dnia, nr pozycji rejestru przedpoborowych data zgłoszenia się do poboru i nr ksiąŝeczki wojskowej; 9. Zbiór danych Rejestr wydanych decyzji o wycince drzew zawiera następujące dane: nazwisko i imię ; adres zamieszkania lub pobytu; lokalizacja drzew przeznaczonych do wycinki; nazwiska i imiona członków komisji ; 10. Zbiór danych Rejestr wydanych decyzji o wycince drzew zawiera następujące dane: nazwisko i imię ; adres zamieszkania lub pobytu; rodzaj, charakterystyka i lokalizacja zamierzonej inwestycji IV. Sposób przepływu danych pomiędzy poszczególnymi systemami brak przepływu danych pomiędzy poszczególnymi systemami;
V. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych A. Środki ochrony fizycznej 1. Budynek Urzędu, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest zamykany po zakończeniu pracy oraz zabezpieczony alarmem. 2. Urządzenia słuŝące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi. 3. Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności Wójta Gminy. 4. Pomieszczenia, o których mowa wyŝej, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemoŝliwiający dostęp do nich osób trzecich. 5. W przypadku przebywania osób postronnych w pomieszczeniach, o których mowa wyŝej, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, aby uniemoŝliwić tym osobom wgląd w dane. 6. Do przebywania w pomieszczeniu serwera uprawnieni są: Administrator Bezpieczeństwa Informacji, osoby odpowiedzialne za obsługę informatyczną Urzędu oraz kierownik urzędu. 7. Przebywanie w pomieszczeniu serwera osób nieuprawnionych (konserwator, elektryk, sprzątaczka) dopuszczalne jest tylko w obecności jednej z osób upowaŝnionych, o których mowa w pkt. 6 a w przypadku ich nieobecności w obecności osoby pisemnie upowaŝnionej przez kierownika urzędu. B. Środki sprzętowe, informatyczne i telekomunikacyjne 1. KaŜdy dokument papierowy przeznaczony do wyrzucenia powinien być uprzednio zniszczony w sposób uniemoŝliwiający jego odczytanie (np. przy pomocy niszczarki dokumentów) 2. Urządzenia wchodzące w skład systemu informatycznego podłączone są do odrębnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej centralnym UPS-em. 3. Zastosowano odrębny komputer w celu archiwizacji danych z poszczególnych komputerów uŝytkowników. 4. Na wszystkich serwerach oraz stacjach roboczych zainstalowano oprogramowanie antywirusowe. Poczta elektroniczna wpływająca do Urzędu skanowana jest programem antywirusowym przed przesłaniem jej do UŜytkownika. 5. Archiwizacja wykonywana jest na płytach CD, oraz na odrębnym komputerze zabezpieczone hasłem w zamykanym pomieszczeniu.
C. Środki ochrony w ramach oprogramowania systemu 1. Dostęp fizyczny do baz danych osobowych zastrzeŝony jest wyłącznie dla osób zajmujących się obsługą informatyczną Urzędu. 2. Konfiguracja systemu umoŝliwia UŜytkownikom końcowym dostęp do danych osobowych jedynie za pośrednictwem aplikacji. 3. System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu. 4. W sieciowym systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do sieci. D. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych 1. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji, chyba Ŝe program tego nie przewiduje wówczas jedynym środkiem zabezpieczenia jest hasło systemowe. 2. Dla kaŝdego UŜytkownika systemu jest ustalony odrębny identyfikator 3. Zdefiniowano UŜytkowników i ich prawa dostępu do danych osobowych na poziomie aplikacji (unikalny identyfikator i hasło) E. Środki ochrony w ramach systemu UŜytkowego 1. Zastosowano wygaszanie ekranu w przypadku dłuŝszej nieaktywności UŜytkownika. 2. Komputer, z którego moŝliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym. F. Środki organizacyjne 1. Wyznaczono Administratora Bezpieczeństwa Informacji, który przyznaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego upowaŝnienia kierownika urzędu określającego zakres uprawnień pracownika. 2. Osoby upowaŝnione do przetwarzania danych osobowych są przed dopuszczeniem ich do pracy z tymi danymi szkolone w zakresie obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagroŝeniach związanych z przetwarzaniem danych w systemie informatycznym. 3. Prowadzona jest ewidencja osób upowaŝnionych do przetwarzania danych osobowych. 4. Wprowadzono instrukcję zarządzania systemem informatycznym. 5. Wprowadzono obowiązek rejestracji wszystkich przypadków awarii systemu, działań konserwacyjnych w systemie oraz naprawy systemu. 6. Określono sposób postępowania z nośnikami informacji.