Zarządzenie nr.~ ~2015 Starosty Ko~cierskiego d ') Q..lU.Cl.VIiOv 2015 z n1a 11.4 ;- r. w sprawie zabezpieczenia danych osobowych w Starostwie. Powiatowym w Kościerzynie. Na podstawie art. 35 ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorząd z ie powiatowym (t.j. Dz. U. z 2015 r., poz. 1445 ze zm. ) oraz 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182 ze zm.), zarządzam, co następuje: 1. Ustalam zasady postępowania w sprawie organizacji zabezpieczenia danych osobowych przetwarzanych w Starostwie Powiatowym w Kościerzynie. 2. Ilekroć w zarządzeniu mowa jest o: 1) ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 2) rozporządzeniu - rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, 3) Administratorze Danych Osobowych - rozumie się przez to Starostę Kościerskiego, zwanego dalej "ADO"; 4) Administratorze Bezpieczeń s twa Informacji - rozumie się przez to pracownika Biura Informatycznego wyznaczonego w drodze zarządzenia do nadzorowania oraz wdrażania prawnie określonych zasad bezpieczeństwa przetwarzania danych osobowych oraz wymagań zapewniających ochronę przetwarzanych danych osobowych, zwanego dalej "ABI ", 5) Zastępcą Administratora B e zpieczeństwa Informacji - rozumie si ę przez to pracownikal-ów urzędu wyznaczonego/-ych w drodze zarządzenia do współpracy z ABI w zakresie nadzoru oraz przestrzegania prawnie określonych zasad bezpieczeństwa przetwarzania danych osobowych oraz wymagań zapewniających ochronę przetwarzanych danych osobowych, zwanego/-ych dalej " Zastępcą ", 6) zbiorze danych osobowych - rozumie się przez to każdy posiadaj ą cy strukt urę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 7) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak gromadzenie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie a zwłaszcza te, które wykonuje się w systemach informatycznych, 8) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedury, przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych, 9) urzędzie- rozumie się przez to Starostwo Powiatowe w Kościerzynie, 1 O) osobie upoważnionej do przetwarzania danych- rozumie się przez to osobę upoważnioną do przetwarzania danych w formie teleinformatycznej (przy wykorzystaniu systemu informatycznego) lub manualnej (przy wykorzystywaniu zewnętrznych nośników danych). 3. Naczelnicy oraz pracownicy zatrudnieni na samodzielnych stanowiskach realizują według właściwości, niezastrzeżone dla innych podmiotów następujące zadania: 1) prowadzą własne wykazy zbiorów danych osobowych, zgodnie ze wzorem określonym przez ADO, 2) prowadzą własną ewidencję osób upoważnionych do przetwarzania danych osobowych, zgodnie ze wzorem stanowiącym załącznik Nr 1 do niniejszego zarządzenia, 3) przekazują ABI lub Zastępcy ABI dane konieczne do opracowania dokumentów o których mowa w 3 rozporządzenia, w terminach przez niego ustalonych, 4) aktualizują w niezbędnym zakresie odpowiednie formularze i wnioski wykorzystywane w Urzędzie przy zbieraniu danych osobowych i dostosowują je do wymogów ustawy, 5) sporządzają oraz przedkładają ABI lub Zastępcy ABI projekt upoważnienia do przetwarzania danych osobowych. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik Nr 2 do niniejszego zarządzenia, 6) przedkładają oraz aktualizują projekty indywidualnych zakresów czynności podległych im pracowników, w szczególności poprzez określenie indywidualnych obowiązków i odpowiedzialności w zakresie przetwarzania danych osobowych - w stopniu odpowiednim do merytorycznych zadań pracownika, 7) sprawują stały i bezpośredni nadzór nad przetwarzaniem danych, w szczególności nad ich zabezpieczeniem przed dostępem osób nieupoważnionych, 8) wykonują zalecenia ABI oraz Zastępcy ABI w zakresie ochrony danych osobowych, 9) wdrażają oraz przestrzegają postanowienia "Polityki bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym w Kościerzynie " oraz "Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Starostwie Powiatowym w Kościerzynie " oraz innych aktów prawnych regulujących zasady postępowania przy przetwarzaniu danych osobowych, 1 O) zapewniają warunki organizacyjne i techniczne umożliwiające spełnianie wymogów wynikających z ustawy oraz aktów wykonawczych, 11) zapewniają poprawność merytoryczną danych gromadzonych w systemie informatycznym, 12) przygotowują oraz dostarczają ABI lub Zastępcy ABI, projekt zgłoszenia danego zbioru danych do rejestracji, a w przypadku każdej zmiany informacji stanowiącej podstawę zgłoszenia - aktualizacji danego zgłoszenia; przygotowanie oraz dostarczenie projektu zamiany w istniejącym zbiorze powinno nastąpić, nie później niż w ciągu 1 O dni od dnia zamierzenia dokonania w/w zmiany, (wzór zgłoszenia zbioru danych osobowych do rejestracji określa Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru ogłoszenia zabioru danych do rejestracji Generalnemu Inspektorowi Danych Ochrony Danych Osobowych (Dz.U.2008.229.1536); dostępny jest na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych www.giodo.gov.pl), 13) informują ABI lub Zastępcę ABI o zaprzestaniu przetwarzania danych w zarejestrowanych zbiorach. 4. Zobowiązuje się osoby, o których mowa w 3 do zapoznania z treścią niniejszego zarządzenia wszystkich podległych im pracowników. 5. Wykonanie zarządzenia powierzam osobom wymienionym w 3 niniejszego zarządzenia. 6. Traci moc Zarządzenie Nr 52/2008 Starosty Kościerskiego z dnia 30 października 2008 r. w sprawie ochrony danych osobowych w Starostwie Powiatowym w Kościerzynie. 7......:... r. 1 po ega prze azan1u wszys 1m komórkom organizacyjnym Starostwa Powiatowego w Kościerzynie. Z arzą d zenie wc h o d z1 w zyc1e z d n1em... 1-. AJ-. WAG' dl k tk.
Uzasadnienie Na podstawie ustawy o ochronie danych osobowych administrator danych osobowych zobowiązany jest do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń i kategorii danych podlegających ochronie. Przede wszystkim powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy, zmianą lub zniszczeniem. Mając na uwadze powyższe, podjęcie niniejszego zarządzenia uznaje się za zasadne i konieczne. GŁÓWNY SPECJALI.STA ds. obstugi prawnej Al e4k.~
) )! Załącznik nr 1 do Zarządzenia nr... -~ -~ 1 )pas Starosty Kościerskiego z dnia..;t. ~-:L. V:P\\1\<~...?:-()~(r. EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Lp. Imię i nazwisko osoby Nazwa zbioru Data nadania Data utraty mocy upoważ n ionej danych ( 1 ) upoważnienia u p oważ n i en i a Zakres up oważnie n ia Identyfikator Uwagi 1. 2. 3. 4. 5. l l ( 1 ) Nazwa zwyczajowa lub własna zbioru, określona zgodnie z załącznikiem nr 3 do Polityki bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym w Kościerzynie, stanowiącej załącznik nr 1 do Zarządzenia nr...... Starosty Kościerskiego z dnia....................... r. Dane aktualne na dzień:...../...../.. (data i podpis osoby prowadzącej ewidencję)
Załącznik nr 2 (Ot?\.J.p,t ( do Zarządzen ta nr....... Starosty Kościer~ iego z dnia. l. q~\a. 0... i~..?..()ąs:'... r. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Na podstawie art. 35 ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (t.j. Dz. U. z 2015 r., poz. 1445 ze zm.) oraz 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182 ze zm.), nadaję: (imię i nazwisko osoby upoważn i anej) (stanowisko słu ż bowe ) (nazwa komórki organizacyjnej) (data, od której obowiązuje/okres na jaki zostało udzielone) upoważnienie do przetwarzania danych w niżej wymienionym zakresie: (data, czytelny podpis Administratora Bezpieczeństwa l nformacji) (data, czytelny podpis Administratora Danych Osobowych) Nadany numer upoważnienia : - --- ----- ---- 1 Nazwa zwyczajowa lub własna zbioru, określona zgodnie z załącznikiem nr 2 do Polityki bezpieczeństwa przetwarzania danych osobowych w Starostwie powiatowym w Kościerzynie, stanowiącej załącznik nr 1 do Zarządzenia nr... Starosty Kościerskiego z dnia........................... r. 2 Forma manualna (przy wykorzystywaniu zewnętrznych nośników danych) lub teleinformatyczna (przy wykorzystaniu systemu informatycznego). 3 System informatyczny korzystający z danego zbioru danych. 4 Identyfikator w systemie informatycznym - wpisujemy identyfikator do poszczególnego systemu informatycznego (nie dotyczy zbiorów przetwarzanych w formie manualnej) 5 Zapis l odczyt - zapis (zbieranie, utrwalanie, opracowywanie, przeglądanie, udostępnianie, zmienianie, przechowywanie, usuwanie), odczyt - tylko przeglądanie bez możliwości usuwania, zmieniania, udos tępniania, zbierania, utrwalania, opracowywania. Otrzymują : 1. Adresat. 2. Akta osobowe. 3. ABI. 4. a/a Komórki Administracyjnej.