Załącznik do Zarządzenia nr 89 Burmistrza Łaz z dnia 27.08.2014r. Zatwierdzam POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE MIEJSKIM W ŁAZACH Opracował: Administrator Bezpieczeństwa Informacji. Michał Utracki Łazy - stan prawny na dzień 27.08.2014r.
SPIS TREŚCI DEKLARACJA WŁAŚCICIELA... 3 I. POSTANOWIENIA OGÓLNE... 4 II. ZAKRES... 5 III. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH... 5 IV. DOSTĘP DO INFORMACJI... 6 V. ZARZĄDZANIE DANYMI OSOBOWYMI... 6 VI. ZAKRESY ODPOWIEDZIALNOŚCI... 7 VII. PRZETWARZANIE DANYCH OSOBOWYCH... 9 VIII. SYSTEM ZABEZPIECZEŃ DANYCH OSOBOWYCH... 9 IX. PRZEGLĄDY I AKTUALIZACJE POLITYKI... 12 X.POSTANOWIENIA KOŃCOWE... 12 Załącznik nr 1 Wzór - Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe... 13 Załącznik nr 2 Wzór - Wykaz zbiorów danych osobowych wraz ze wskazaniem aplikacji i sposobów zastosowanych do przetwarzania tych danych... 14 Załącznik nr 3 Wzór - Opis struktury zbiorów danych... 15 Załącznik nr 4 Wzór - Sposób przepływu danych pomiędzy poszczególnymi systemami teleinformatycznymi... 16 Załącznik nr 5 - Wzór - Karta aktualizacyjna Polityki Bezpieczeństwa"... 17 Załącznik nr 6 - Wzór - Wykaz pracowników którzy zostali zapoznani z Polityką Bezpieczeństwa przetwarzania danych osobowych" oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych" oraz otrzymali upoważnienie od Administratora Danych Osobowych. 18 Załącznik nr 7 - Wzór Raportu o naruszeniu zasad Bezpieczeństwa Informacji"... 19 Załącznik nr 8 - Wzór oświadczenia dotyczącego przestrzegania przepisów o korzystaniu z legalności oprogramowania teleinformatycznego oraz opieki nad zestawem komputerowym przydzielonym do wypełniania powierzonych obowiązków pracy"... 20 Załącznik nr 9 - Wzór upoważnienia imiennego do przetwarzania danych osobowych"... 21 Załącznik nr 10 - Wzór oświadczenia stażysty / praktykanta dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach"... 22 Załącznik nr 11 - Wzór oświadczenia pracownika dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach"... 23 Załącznik nr 12 - Wzór zobowiązania pracownika, wykonawcy, użytkowników reprezentujących stronę trzecią do przestrzegania zapisów Polityki Bezpieczeństwa"... 24 Załącznik nr 13 - Wykaz kluczy do pomieszczeń służbowych"... 25 Załącznik nr 14 Wzór Zbiór opisów i kodów dostępu dotyczących zakresu przetwarzania danych."... 26 Załącznik nr 15 - Wzór Umowa powierzenia przetwarzania danych osobowych"... 27 2
DEKLARACJA WŁAŚCICIELA Dla zapewnienia zgodności z przepisami obowiązującego prawa oraz poprawy i utrzymania jakości usług świadczonych przez Gminę Łazy, a w szczególności dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych, Administrator Danych Osobowych dąży do utrzymania wysokiego poziomu bezpieczeństwa informacji oraz stara się minimalizować ryzyko zagrażające poufności, integralności i dostępności, a także w szczególnych przypadkach autentyczności, rozliczalności, nie zaprzeczalności i niezawodności informacji. Pracownicy i współpracownicy Urzędu Miejskiego w Łazach są zobowiązani do przestrzegania i stosowania zasad wynikających z niniejszej Polityki Bezpieczeństwa przetwarzania danych osobowych. Dokument ten jest zgodny z wymaganiami obowiązującego prawa i będzie systematycznie nadzorowany i w razie potrzeb aktualizowany... Podpis Administratora Danych Osobowych 3
I. POSTANOWIENIA OGÓLNE Celem Polityki Bezpieczeństwa przetwarzania danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest zdefiniowanie kierunków działań oraz wsparcia dla zapewnienia bezpieczeństwa przetwarzania zbiorów danych osobowych zarządzanych przez Urząd Miejski w Łazach, zwany dalej Urzędem. Dokument ten ma charakter nadrzędny w stosunku do innych wewnętrznych aktów dotyczących bezpieczeństwa. Ma on zastosowanie w stosunku do wszystkich pracowników, wykonawców, konsultantów, praktykantów, stażystów, osób zatrudnionych na umowę zlecenie lub umowę o dzieło, którzy wykonują zadania związane z przetwarzaniem danych osobowych. Urząd Miejski w Łazach zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnego i zgodnego z przepisami prawa, wykonywania własnych zadań, zadań wykonywanych na podstawie umów lub innych powierzonych na podstawie porozumień. Polityka Bezpieczeństwa jest zgodna z obowiązującymi przepisami prawa, w szczególności z ustawą z dnia 29 sierpnia 1997r., o ochronie danych osobowych z późniejszymi zmianami wraz z wydanymi na jej podstawie aktami wykonawczymi, m.in. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024) ze szczególnym uwzględnieniem jego 4. Zapewnienie bezpieczeństwa danych przetwarzanych przez Urząd, rozumiemy jako zapewnienie ich poufności, integralności i dostępności na prawidłowym poziomie. Miarą bezpieczeństwa jest poziom ryzyka związanego z zasobem stanowiącym przedmiot tego dokumentu. Poniżej opisane zostały definicje w/w pojęć w odniesieniu do aplikacji oraz informacji: poufność informacji - właściwość polegająca na tym, że informacja nie jest udostępniana nieupoważnionym osobom, podmiotom lub procesom, integralność informacji - rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania, dostępność informacji - rozumiana jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów zawsze wtedy, gdy tego potrzebują, zarządzanie ryzykiem - rozumiane jako skoordynowane działania kierowania i zarządzania organizacją w procesie identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem: niezaprzeczalności odbioru - rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie, niezaprzeczalności nadania - rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie, rozliczalności działań - rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał. Definicje: komórka organizacyjna - wydziały, samodzielne stanowiska Urzędu. dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 4
przetwarzanie danych osobowych - gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych, użytkownik - osoba upoważniona do przetwarzania danych osobowych, administrator systemu informatycznego (ASI) - osoba upoważniona do zarządzania systemem informatycznym, system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, zabezpieczenie systemu informatycznego - należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą. II. ZAKRES Zakres przedmiotowy stosowania niniejszej Polityki Bezpieczeństwa obejmuje wszystkie zbiory danych osobowych przetwarzane w Urzędzie, zarówno w formie elektronicznej, jak i w formie tradycyjnej (papierowej). W zakresie podmiotowym Polityka Bezpieczeństwa obowiązuje wszystkich pracowników Urzędu oraz pozostałe osoby przetwarzające dane osobowe, w tym stażystów, praktykantów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło itp. Informacje niejawne nie są objęte zakresem niniejszej Polityki. III. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH Dokumenty Polityki Bezpieczeństwa ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji i składają się z: Polityki Bezpieczeństwa wraz z załącznikami: Załącznik nr 1 - Wzór - Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe"; Załącznik nr 2 - Wzór - Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych"; Załącznik nr 3 - Wzór - Opis struktury zbiorów danych"; Załącznik nr 4 - Wzór - Sposób przepływu danych pomiędzy poszczególnymi systemami"; Załącznik nr 5 - Wzór - Karta aktualizacyjna Polityki Bezpieczeństwa"; Załącznik nr 6 - Wzór - Wykaz pracowników którzy zostali zapoznani z Polityką Bezpieczeństwa przetwarzania danych osobowych" oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych" oraz otrzymali upoważnienie od Administratora Danych Osobowych; Załącznik nr 7 - Wzór Raportu o naruszeniu zasad bezpieczeństwa informacji"; Załącznik nr 8 - Wzór oświadczenia dotyczącego przestrzegania przepisów o korzystaniu z legalności oprogramowania teleinformatycznego oraz opieki nad zestawem komputerowym przydzielonym do wypełniania powierzonych obowiązków pracy"; 5
Załącznik nr 9 - Wzór upoważnienia imiennego do przetwarzania danych osobowych"; Załącznik nr 10 - Wzór oświadczenia stażysty / praktykanta dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach"; Załącznik nr 11 - Wzór oświadczenia pracownika dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach"; Załącznik nr 12 - Wzór zobowiązania pracownika, wykonawcy, użytkowników reprezentujących stronę trzecią do przestrzegania zapisów Polityki Bezpieczeństwa"; Załącznik nr 13 - Wykaz kluczy do pomieszczeń służbowych"; Załącznik nr 14 - Wzór Zbiór opisów i kodów dostępu dotyczących zakresu przetwarzania danych."; Załącznik nr 15 - Wzór umowy powierzenia przetwarzania danych osobowych". IV. DOSTĘP DO INFORMACJI 1) Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Urzędzie zasad ochrony danych osobowych wynikających z Polityki Bezpieczeństwa. 2) Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Burmistrza. 3) Wszystkie osoby dopuszczone do przetwarzania danych muszą zostać wpisane do ewidencji osób dopuszczonych do przetwarzania danych osobowych prowadzonej przez ABI 4) Wszystkie osoby, przed dopuszczeniem do przetwarzania danych, muszą otrzymać upoważnienie wskazujące zakres działań przy przetwarzaniu danych, do którego będą uprawnione 5) Wszystkie osoby dopuszczone do przetwarzania danych zobowiązane są do zapoznania się z treścią przeznaczonych dla nich dokumentów zawierających zasady bezpieczeństwa przetwarzania. 6) Wszystkie osoby dopuszczone do przetwarzania danych podpisują oświadczenie o: a. znajomości obowiązujących przepisów prawa, Polityki Bezpieczeństwa, oraz innych aktów dotyczących bezpieczeństwa i ochrony informacji obowiązujących w Urzędzie Miejskim w Łazach i zobowiązaniu się do przestrzegania i stosowania przepisów ww. aktów. b. zachowaniu tajemnicy treści danych i sposobów ich zabezpieczenia podczas zatrudnienia oraz po jego ustaniu. c. przestrzeganiu przepisów o korzystaniu z legalności oprogramowania teleinformatycznego oraz opieki nad zestawem komputerowym przydzielonym do wypełniania powierzonych obowiązków pracy. 7) Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych. 8) Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur postępowania. V. ZARZĄDZANIE DANYMI OSOBOWYMI Za bezpieczeństwo danych osobowych Urzędu, odpowiadają: 1) Administrator Danych Osobowych (ADO) - Burmistrz, 6
2) Administrator Bezpieczeństwa Informacji (ABI) Główny Specjalista ds. Informatyzacji, 3) Lokalni Administratorzy Danych (LAD)- kierownicy komórek organizacyjnych, 4) Administrator Systemu Informatycznego (ASI) Inspektor ds. Informatyzacji, 5) Pracownicy Urzędu. Administrator Bezpieczeństwa Informacji Urzędu realizując Politykę Bezpieczeństwa ma prawo określać procedury i wydawać instrukcje regulujące kwestie ochrony danych osobowych w Urzędzie. W umowach zawieranych przez Urząd winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych udostępnionych przez Urząd. Obowiązki wynikające z ustawy o ochronie danych osobowych w Urzędzie Miejskim w Łazach powierza się Lokalnym Administratorom Danych w zakresie podległych im pracowników, którzy odpowiadają za przestrzeganie obowiązujących przepisów prawa, z obowiązkiem współdziałania z Administratorem Bezpieczeństwa Informacji w zakresie swoich właściwości. ABI na wniosek kierowników komórek organizacyjnych Urzędu zobowiązany jest do zapoznania podległych pracowników z treścią ustawy z dnia 29 sierpnia 1997 r. o ochronie danych, Polityką Bezpieczeństwa w zakresie przetwarzania danych osobowych, Instrukcją zarządzania systemem informatycznym, służącymi do przetwarzania danych osobowych. Zapoznanie się z dokumentami określonymi powyżej, pracownicy Urzędu potwierdzają podpisem na Oświadczeniu", którego wzór stanowi załącznik 11 do Polityki Bezpieczeństwa i przekazują Administratorowi Bezpieczeństwa Informacji. Ochrona zasobów danych osobowych Urzędu jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników. VI. ZAKRESY ODPOWIEDZIALNOŚCI Administrator Bezpieczeństwa Informacji (ABI). 1) Odpowiada za przestrzeganie ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora Bezpieczeństwa Informacji. 2) W razie zmiany obowiązujących przepisów prawa powodujących niezgodność niniejszego dokumentu z nimi, dostosowuje Politykę Bezpieczeństwa do obowiązujących przepisów. 3) Sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób. 4) Określa strategię zabezpieczania systemów informatycznych. 5) Sprawuje nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych. 6) Sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe. 7) Identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych. 8) Określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe. 9) Odpowiada za instalację i konfigurację oprogramowania systemowego, sieciowego, oprogramowania bazodanowego. 10) Sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, palmtopach, pamięciach przenośnych i innych nośnikach, w których przetwarzane są dane osobowe. 7
11) Sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe. 12) Monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych. 13) Sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych. 14) Zatwierdza wniosek kierownika komórki organizacyjnej o przyznaniu danemu użytkownikowi identyfikatora oraz prawa dostępu do informacji chronionych w danym systemie przetwarzania. 15) Powiadamia Administratora Systemu Informatycznego o konieczności utworzenia identyfikatora użytkownika w systemie oraz zmianie lub nadaniu uprawnień dostępu użytkownika do systemu. 16) Prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe. 17) Prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych. 18) Prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych. 19) Prowadzi rejestr zbiorów danych osobowych urzędu (przetwarzanych metodą tradycyjną lub w systemach informatycznych). 20) Nadzoruje profilaktykę antywirusową. 21) Nadzoruje pracą Lokalnych Administratorów Danych. Lokalni Administratorzy Danych. 1) Określają indywidualne obowiązki i odpowiedzialność osób zatrudnionych przy przetwarzaniu danych osobowych. 2) Zapoznają osoby zatrudnione przy przetwarzaniu danych osobowych z obowiązującymi w tym zakresie przepisami. 3) Wykonują zalecenia Administratora Bezpieczeństwa Informacji Urzędu Miejskiego w Łazach w zakresie ochrony danych osobowych. 4) Nadzorują przestrzeganie Polityki Bezpieczeństwa". 5) Nadzorują przestrzeganie Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych". 6) Stwarzają warunki organizacyjno-techniczne umożliwiające spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych. 7) Odpowiadają za poprawność merytoryczną danych gromadzonych w systemach informacyjnych. 8) Określają, które osoby i na jakich zasadach mają dostęp do danych informacji. 9) Przygotowywują zgłoszenia rejestracji zbiorów danych do Generalnego Inspektoratu Ochrony Danych Osobowych, i przekazują je do Administratora Bezpieczeństwa Informacji. Administrator Systemu Informatycznego. 1) Zgłasza zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. 2) Zgłasza każdą zmianę informacji zawartych w zbiorze danych Generalnemu Inspektorowi Ochrony Danych Osobowych. 3) Monitoruje i zapewnia ciągłość działania systemu informatycznego oraz baz danych. 4) Optymalizuje wydajność systemów informatycznych oraz baz danych. 5) Zarządza kopiami awaryjnymi danych, w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie. 6) Przeciwdziała próbom naruszenia bezpieczeństwa informacji. 8
7) Przyznaje na wniosek Lokalnego Administratora Danych, za zgodą Administratora Bezpieczeństwa Informacji ściśle określone prawa dostępu do informacji w danym systemie. 8) Wnioskuje do Administratora Bezpieczeństwa Informacji w sprawie procedur bezpieczeństwa i standardów zabezpieczeń. 9) Zarządza licencjami i procedurami ich dotyczącymi. 10) Prowadzi profilaktykę antywirusową. VII. PRZETWARZANIE DANYCH OSOBOWYCH Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych osobowych. Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą indywidualne systemy archiwizowania dla poszczególnych systemów przetwarzania. Kopie bezpieczeństwa oraz dokumenty papierowe zawierające dane osobowe przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieuprawnionym. Pozostałe informacje dotyczące przetwarzania danych osobowych zawarte są w Instrukcji zarządzania systemami informatycznymi służącym do przetwarzania danych osobowych. VIII. SYSTEM ZABEZPIECZEŃ DANYCH OSOBOWYCH 1) Ochrona zbiorów danych polega na zabezpieczeniu informacji wprowadzonej, przetwarzanej, przesyłanej w systemie informatycznym oraz na nośnikach informacji przed nielegalnym ujawnieniem, kradzieżą oraz nieuprawnioną modyfikacją lub usunięciem. 2) W celu ochrony danych przechowywanych w systemach informatycznych należy wykorzystywać wchodzące w ich skład mechanizmy zarówno sprzętowe jak i programowe oraz inne rozwiązania zwiększające bezpieczeństwo danych. 3) Dane osobowe mogą przetwarzać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych mają obowiązek zachować w tajemnicy dane, które przetwarzają, oraz sposoby ich zabezpieczenia. 4) Fakt modyfikacji zbioru danych: struktury, lokalizacji, a także utworzenia zbioru Lokalny Administrator Danych ma obowiązek zgłosić Administratorowi Bezpieczeństwa Informacji. 5) Obszary przetwarzania danych osobowych oznaczone są w załączniku Polityki Bezpieczeństwa 6) Osoby nieupoważnione do przetwarzania danych osobowych mogą przebywać w obszarach przetwarzania danych osobowych jedynie za zgodą Administratora Bezpieczeństwa Informacji lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 7) Wszystkie pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych - także w godzinach pracy. 8) Klucze do pomieszczeń służbowych mogą pobierać tylko te osoby, które są uprawnione do przetwarzania danych osobowych a nadzór na nimi prowadzą upoważnieni do tego pracownicy. 9) Dane osobowe przechowywane w wersji tradycyjnej (papierowej) są przechowywane po zakończeniu pracy w zamykanych na klucz meblach biurowych, a tam gdzie jest to możliwe - w szafach metalowych lub pancernych. Klucze od szaf należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych. 10) Dokumenty zawierające dane osobowe, w wyjątkowych sytuacjach( np. sesja Rady Miejskiej) mogą być wynoszone poza miejsce przetwarzania jedynie w wypadku otrzymania akredytacji Administratora Danych Osobowych z jednoczesnym zapewnieniem ochrony fizycznej przed niepożądanym dostępem osób nieupoważnionych. Odpowiedzialność za dokumentację 9
ponosi pracownik, który otrzymał akredytację. Akredytacje przechowuje LAD który powiadamia ABI oraz wnioskuje o udzielenie instruktarzu odnośnie bezpieczeństwa informacji do ABI. 11) Po zakończonej pracy klucze do pomieszczeń w których przetwarza się dane osobowe, oddaje się upoważnionym pracownikom, którzy zabezpieczają je przed nieuprawnionym dostępem w odpowiednim miejscu do tego wyznaczonym. 12) Dane osobowe w wersji papierowej, wydruki i kopie a także, w wersji elektronicznej na nośnikach typu płyty CD, DVD, dyskach przenośnych należy niszczyć w niszczarkach lub przekazywać do zniszczenia wynajętej do tego celu firmie. 13) Sprzątanie pomieszczeń gdzie przetwarzane są dane osobowe odbywa się po godzinach pracy przez personel sprzątający, który przeszedł procedurę sprawdzającą bezpieczeństwa osobowego. Sprzątanie odbywa się tylko z założeniem, że zostaną zachowane przez pracowników przetwarzających dane osobowe zasady czystego biurka i ekranu". 14) Przy przetwarzaniu danych osobowych w systemach teleinformatycznych stosuje się zasady czystego biurka i ekranu", realizowane poprzez stosowanie wygaszaczów ekranu, klawiatury odwieszanych za pomocą indywidualnych haseł lub kodów oraz ustawianie monitorów w taki sposób aby nie była widoczna informacja dla osób postronnych. Zasada czystego biurka", sprowadza się do zabezpieczenia w czasie i po pracy danych osobowych w formie papierowej w taki sposób, aby uniemożliwiało ich odczyt przez osoby nieuprawnione. 15) Zabrania się udostępniania indywidualnego kodu dostępu i haseł innym osobom. 16) Zabronione jest usuwanie danych przez wyrzucenie ich do kosza na odpadki. 17) Zabrania się korzystania z prywatnych nośników informacji w systemach przetwarzających dane osobowe. Służbowe nośniki informacji są zewidencjonowane przez Administratora Systemu Informatycznego (ASI). 18) Zabrania się korzystania z sieci publicznej (World Wide Webside) poprzez nieautoryzowane przeglądarki internetowe lub nieznajomego pochodzenia witryny internetowe (domeny zagraniczne tj. com itp), których treść wskazuje na duże ryzyko występowania oprogramowania szpiegowskiego, hakerskiego, spamowego, wirusowego. 19) Przeglądanie sieci publicznej w zakresie tematyki nie związanej z zakresem wykonywanych czynności następuje za zgodą LAD, który to tematykę tych stron ustalił z ABI. 20) W przypadku żądania udostępniania danych pracownicy Urzędu postępują zgodnie z przepisami ustawy o ochronie danych osobowych. Decyzję podejmuje Lokalny Administrator Danych po powiadomieniu Administratora Bezpieczeństwa Informacji. 21) Udostępnianie danych jest odnotowywane w systemach informatycznych, a w przypadku zbiorów danych w formie tradycyjnej odnotowanie informacji o udostępnianiu przechowuje Administrator Bezpieczeństwa Informacji. 22) Szczegółowe procedury zarządzania systemem informatycznym reguluje Instrukcja Zarządzania Systemami Informatycznymi Służącymi do Przetwarzania Danych Osobowych " 23) Dla danych osobowych przetwarzanych w systemach informatycznych stosuje się następujące zasady: a. kontrola dostępu do zbiorów danych osobowych; b. indywidualne identyfikatory użytkowników (pracowników przetwarzających dane osobowe); c. uwierzytelnianie użytkowników (potwierdzanie ich tożsamości); 24) W celu zabezpieczenia danych osobowych przed ich utratą lub uszkodzeniem: a. dla wszystkich systemów wdrożono procedury tworzenia kopii zapasowych; b. wszystkie systemy informatyczne wyposażono w awaryjne zasilanie; c. wdrożono oprogramowanie antywirusowe; d. dostęp do systemów z sieci publicznej jest kontrolowany za pomocą zapory sieciowej oraz filtrów antyspamowych i oprogramowania antywirusowego; 10
e. poszczególne lokalizacje są połączone za pomocą sieci LAN; f. przy przesyłaniu danych osobowych przez sieć publiczną użytkownicy są zobowiązani stosować oprogramowanie szyfrujące; g. dopuszczalny jest dostęp spoza sieci Urzędu przy wykorzystaniu programowej usługi za pomocą protokołu SSL; h. zastosowano środki fizyczne chroniące urządzenia przed osobami nieupoważnionymi przez Administratora Bezpieczeństwa Informacji do dostępu do danych osobowych oraz zagrożeniami ze strony sił natury; 25) Użytkowników systemów przetwarzających dane osobowe obowiązuje następująca polityka haseł: a. minimalna długość hasła wynosi 8 (osiem) znaków; b. zmiana hasła następuje nie rzadziej niż co 30 dni; c. hasło może się powtórzyć dopiero po 3 zmianie; d. hasło zawiera małe i wielkie litery oraz cyfry lub znaki specjalne; 26) Jeżeli system informatyczny środkami technicznymi nie wymusza zasad ujętych powyżej, użytkownik zobowiązany jest do przestrzegania powyższych zasad, a tym samym do okresowej zmiany hasła i dobrania odpowiedniej jego długości; 27) Użytkownik, który utracił hasło, zobowiązany jest zgłosić ten fakt bezzwłocznie Administratorowi Systemu Informatycznego, który ustali nowe hasło; 28) Zabezpieczanie danych przed ich utratą uszkodzeniem, lub nieupoważnionym przetworzeniem w pozostałych przypadkach: a. W przypadku naprawy, przekazania, likwidacji nośnika (papier, dysk twardy, płyta CD, pamięć przenośna, dyskietka, taśma magnetyczna itp.), który zawiera dane osobowe podmiotowi nieupoważnionemu do przetwarzania danych, należy zapewnić trwałe wymazanie informacji stanowiących dane osobowe; b. W przypadku korzystania z komputerów przenośnych zawierających dane osobowe należy zachować szczególną ostrożność podczas używania komputera poza obszarem przetwarzania danych wyszczególnionym w załączniku do niniejszej Polityki. W szczególności należy stosować mechanizmy szyfrowania plików lub baz danych, wbudowanych w system operacyjny. Po ustaniu konieczności przetwarzania danych na komputerze przenośnym, należy je trwale usunąć z nośnika danych; c. Ekrany komputerów, na których przetwarzane są dane osobowe, są chronione wygaszaczami zabezpieczonymi hasłem. Monitory należy ustawić tak, aby ograniczyć dostęp do danych osobom nieupoważnionym do przetwarzania danych; d. W pomieszczeniach gdzie przetwarzane dane osobowe są szczególnie narażone na ich przetworzenie przez osoby nieuprawnione stosuje się zabezpieczenia fizyczne w postaci odgrodzenia stref przetwarzania danych osobowych poprzez montaż np.: - nieprzezroczystych szyb, drzwi. - drewnianych półek, lad, blatów. Powyższe odgrodzenia mają na celu zabezpieczenie stref szczególnie narażonych na przetwarzanie danych osobowych przed nieuprawnionym dostępem do strefy więcej niż jednej osoby bez wiedzy upoważnionego pracownika do przetwarzania danych osobowych, w pomieszczeniach gdzie zachowanie zasady czystego biurka" jest ze względów logistycznych, fizycznych (brak miejsca) nie jest możliwe do zrealizowania. Wstęp do strefy przetwarzania danych osobowych następuje za zgodą upoważnionego pracownika lub ABI. 11
IX. PRZEGLĄDY I AKTUALIZACJE POLITYKI Polityka Bezpieczeństwa podlega regularnemu przeglądowi pod kątem przydatności, adekwatności i skuteczności, nie rzadziej niż raz do roku. Przeglądu dokonuje Administrator Bezpieczeństwa Informacji. Polityka Bezpieczeństwa lub jej załączniki podlegają aktualizacji każdorazowo w przypadku: 1) likwidacji, utworzenia lub zmiany zawartości informacyjnej zbioru, 2) zmiany lokalizacji zbioru, 3) zmiany opiekuna zbioru lub Lokalnego Administratora Danych, 4) zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji Polityki Bezpieczeństwa, 5) innych znaczących zmian dotyczących danych osobowych w funkcjonowaniu Urzędu. Aktualizacji Polityki Bezpieczeństwa dokonuje Administrator Bezpieczeństwa Informacji, wpisując ten fakt w karcie aktualizacyjnej. X.POSTANOWIENIA KOŃCOWE 1. Administrator Bezpieczeństwa Informacji przeprowadzi szkolenie pracowników dotychczas zatrudnionych w Urzędzie w zakresie przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa danych osobowych w ciągu 2 miesięcy od dnia wejścia w życie niniejszej Polityki Bezpieczeństwa. Dla nowo zatrudnionych pracowników, którzy mają być dopuszczeni do przetwarzania zbiorów danych osobowych szkolenie przeprowadza się najpóźniej w ciągu 1 miesiąca od daty zawarcia umowy. 2. Ze szkolenia Administrator Bezpieczeństwa Informacji sporządzi protokół jak również dołączy listę obecności pracowników biorących udział w szkoleniu. 3. Po zakończeniu szkolenia pracownik podpisuje stosowne oświadczenie o zapoznaniu się z zasadami Polityki Bezpieczeństwa lub jej zmianami. 4. W sprawach nieuregulowanych Polityką Bezpieczeństwa mają zastosowanie przepisy ustawy o ochronie danych osobowych, kodeksu pracy, ustawy o pracownikach samorządowych, Regulaminu Organizacyjnego Urzędu oraz Regulaminu Pracy Urzędu. 5. Politykę Bezpieczeństwa oraz istotne zmiany Polityki Bezpieczeństwa wprowadza się w życie w formie zarządzenia Burmistrza Łaz. 6. Polityka Bezpieczeństwa przechowywana jest przez ABI 12
Załącznik nr 1 - Wzór - Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe L.p. Budynek, lub część budynku Pomieszczenia tworzące obszar PDO Stan na dzień :. 13
Załącznik nr 2 - Wzór - Wykaz zbiorów danych osobowych wraz ze wskazaniem aplikacji i sposobów zastosowanych do przetwarzania tych danych Lp Zbiory danych - Nazwa Forma gromadzenia danych Poziom bezpieczeństwa System informatyczny do przetwarzania danych Lokalizacja fizyczna Opiekun zbioru, Upoważniony Lokalny Administrator Danych Stan na dzień :. 14
Załącznik nr 3 - Wzór - Opis struktury zbiorów danych Lp Zbiór danych (nazwa) Zawartość informacyjna (opis zbioru, zakres danych, zasady powiązań) Stan na dzień :. 15
Załącznik nr 4 - Wzór - Sposób przepływu danych pomiędzy poszczególnymi systemami teleinformatycznymi l.p. Nazwa Systemu źródłowego Nazwa Systemu Docelowego Zakres Danych Częstotliwość przepływu Uwagi Stan na dzień :.. 16
Załącznik nr 5 - Wzór - Karta aktualizacyjna Polityki Bezpieczeństwa" URZĄD MIEJSKI W ŁAZACH KARTA AKTUALIZACYJNA WPROWADZANYCH ZMIAN POLITYKI BEZPIECZEŃSTWA w Urzędzie Miejskim w Łazach Nr zmiennej (poprzedni / następny) lub wprowadzony zapis Powód i krótki opis wprowadzonych zmian Data wprowadzenia / wycofania zapisu Nazwisko i podpis wykonawcy Uwagi 17
Załącznik nr 6 - Wzór - Wykaz pracowników którzy zostali zapoznani z Polityką Bezpieczeństwa przetwarzania danych osobowych" oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych" oraz otrzymali upoważnienie od Administratora Danych Osobowych Wykaz pracowników którzy zostali zapoznani z Polityką Bezpieczeństwa przetwarzania danych osobowych", Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych" oraz otrzymali stosowne upoważnienie od Administratora Danych Osobowych do przetwarzania danych osobowych Lp. Nazwisko Imię Komórka organizacyjna Stanowisko Zapoznano z Polityką bezp.(tak/nie) Zapoznano z Instrukcją zarz.(tak/nie) Data Podpis 18
Załącznik nr 7 - Wzór Raportu o naruszeniu zasad Bezpieczeństwa Informacji" Wzór RAPORT o naruszeniu zasad bezpieczeństwa informacji I. Wypełnia osoba zgłaszająca Data...godzina... Osoba powiadamiająca o zaistniałym zdarzeniu... (Imię, Nazwisko, stanowisko służbowe,) Lokalizacja zdarzenia... Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:... Podjęte działania... Przyczyny wystąpienia zdarzenia... Data i podpis czytelny osoby zgłaszającej... II. Wypełnia Administrator Bezpieczeństwa Informacji Postępowanie wyjaśniające... Wnioski... Administrator Bezpieczeństwa Informacji.... (data,pieczęć, podpis) 19
Załącznik nr 8 - Wzór oświadczenia dotyczącego przestrzegania przepisów o korzystaniu z legalności oprogramowania teleinformatycznego oraz opieki nad zestawem komputerowym przydzielonym do wypełniania powierzonych obowiązków pracy". (miejscowość, data) (imię i nazwisko pracownika)... (stanowisko, nazwa komórki organizacyjnej) OŚWIADCZENIE dotyczące przestrzegania przepisów o korzystaniu z legalności oprogramowania teleinformatycznego oraz opieki nad zestawem komputerowym przydzielonym do wypełniania powierzonych obowiązków pracy Pracownik zobowiązuje się: wykorzystywać przydzielony mu zestaw komputerowy/laptop wraz z oprogramowaniem tylko w zakresie czynności przydzielonych przez pracodawcę; nadzorować powierzony mu zestaw, i w razie jakiejkolwiek sytuacji która będzie miała wpływ na sprawność zestawu, niezwłocznie zgłosić ten fakt Administratorowi Bezpieczeństwa Informacji lub Administratorowi Systemu Informatycznego; do korzystania tylko z zainstalowanego oprogramowania i wyłącznie w celach wykonywania powierzonych obowiązków, jednocześnie nie może, korzystać z innego oprogramowania komputerowego, do używania którego Pracodawca nie jest uprawniony. Pracownik oświadcza, iż jest świadomy odpowiedzialności karnej, o której mowa w artykułach: 278 2, 293 w związku z 291 oraz 292 ustawy z dnia 6 czerwca 1997 roku Kodeks karny, (tekst jednolity - Dz. U. z 1997, Nr 88, poz. 553, z późn. zm.) oraz odpowiedzialności karnej i cywilnej przewidzianych w artykułach 116 i nast. ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity - Dz. U. z 2006, Nr 90, poz. 631, ze zmianami) za niezgodne z prawem korzystanie, rozpowszechnianie, utrwalanie, uzyskiwanie lub zwielokrotnianie oprogramowania; Pracownik przyjmuje do wiadomości, że naruszenie zasad wskazanych powyżej, może stanowić podstawę do rozwiązania przez Pracodawcę umowy o pracę. Czytelny Podpis Pracownika 20
Załącznik nr 9 - Wzór upoważnienia imiennego do przetwarzania danych osobowych" UPOWAŻNIENIE IMIENNE NR... DO PRZETWARZANIA DANYCH OSOBOWYCH Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. U. 2014.1182) Upoważniam Panią /Pana... (imię i nazwisko osoby upoważnionej) zatrudnioną (ego) w... (nazwa jednostki i komórki organizacyjnej) odbywa staż/praktykę** w... (nazwa jednostki i komórki organizacyjnej) na stanowisku:... do przetwarzania od dnia... r. danych osobowych w zakresie *: (zakres upoważnienia, wskazanie kategorii danych, które może przetwarzać określona w upoważnieniu osoba lub rodzaj czynności jakich może dokonywać na danych osobowych)* Nadaję identyfikator:... (w systemie informatycznym) (podpis Administratora Danych Osobowych ) * Przykładowe zakresy upoważnienia: nazwiska i imiona, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobyt, numer ewidencji PESEL, numer identyfikacji Podatkowej, miejsce pracy, zawód, wykształcenie, seria i numer dowodu osobistego, numer telefonu. Inne. ** Niepotrzebne skreślić 21
Załącznik nr 10 - Wzór oświadczenia stażysty / praktykanta dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach"... (miejscowość, data).. (imię i nazwisko pracownika). (stanowisko, nazwa komórki organizacyjnej) OŚWIADCZENIE STAŻYSTY / PRAKTYKANTA dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach 1. Zostałam/em przeszkolona/y w zakresie przepisów prawa dotyczących ochrony danych osobowych oraz przyjąłem do wiadomości i stosowania zapisy obowiązujących w Urzędzie zasad ochrony danych osobowych wynikających z Polityki bezpieczeństwa przetwarzania danych osobowych" w Urzędzie Miejskim w Łazach. 2. Zobowiązuje się do zachowania w tajemnicy treści danych osobowych i sposobów ich zabezpieczenia podczas wykonywania zadań w UM w Łazach oraz po jego ustaniu. 3. Jestem świadoma/y ciążących na mnie obowiązków oraz skutków dyscyplinarno-karnych za nieprzestrzeganie zasad i postanowień zawartych w w/w dokumentach wynikających z obowiązujących przepisów prawa, co przy rażącym naruszeniu tych zapisów może stanowić podstawę do odpowiedzialności na zasadach określonych w Ustawie z dnia 23 kwietnia 1964 r. Kodeks cywilny (j.t. Dz.U z 2014 poz. 121 z późn. zm.), oraz do odpowiedzialności zgodnie z Ustawą z dnia 6 czerwca 1997 roku Kodeks karny - Rozdział XXXIII Przestępstwa przeciwko ochronie informacji (t.j. Dz.U. z 1997 r. Nr 88, poz. 553 z późn. zm. ).. ( data i czytelny podpis ) 22
Załącznik nr 11 - Wzór oświadczenia pracownika dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach"... (miejscowość, data).. (imię i nazwisko pracownika). (stanowisko, nazwa komórki organizacyjnej) OŚWIADCZENIE PRACOWNIKA dotyczące ochrony danych osobowych w Urzędzie Miejskim w Łazach 4. Zostałam/em przeszkolona/y w zakresie przepisów prawa dotyczących ochrony danych osobowych oraz przyjąłem do wiadomości i stosowania zapisy obowiązujących w Urzędzie Miejskim zasad ochrony danych osobowych wynikających z Polityki bezpieczeństwa przetwarzania danych osobowych" i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych" w Urzędzie Miejskim w Łazach. 5. Zobowiązuje się do zachowania w tajemnicy treści danych osobowych i sposobów ich zabezpieczenia podczas zatrudnienia w Urzędzie Miejskim w Łazach oraz po jego ustaniu. 6. Jestem świadoma/y ciążących na mnie obowiązków oraz skutków dyscyplinarno-karnych za nieprzestrzeganie zasad i postanowień zawartych w w/w dokumentach wynikających z obowiązujących przepisów prawa, co przy rażącym naruszeniu tych zapisów może stanowić podstawę do rozwiązania przez Pracodawcę umowy o pracę.. (data i czytelny podpis pracownika ) 23
Załącznik nr 12 - Wzór zobowiązania pracownika, wykonawcy, użytkowników reprezentujących stronę trzecią do przestrzegania zapisów Polityki Bezpieczeństwa". (miejscowość, data).. (imię i nazwisko pracownika)... (nazwa i adres firmy ).. (adres pracownika ) ZOBOWIĄZANIE pracownika, wykonawcy, użytkowników reprezentujących stronę trzecią do przestrzegania zapisów Polityki Bezpieczeństwa przetwarzania danych osobowych Urzędu Miejskiego w Łazach 1. Zobowiązuję się do: przestrzegania zapisów Polityki Bezpieczeństwa przetwarzania danych osobowych Urzędu Miejskiego w Łazach przez cały okres realizacji Umowy Nr... z dnia.... 2. Niniejsze Zobowiązanie stanowi integralną część Umowy określonej w pkt 1. 3. Przyjmuję do wiadomości, że nie przestrzeganie zapisów Polityki Bezpieczeństwa przetwarzania danych osobowych Urzędu Miejskiego w Łazach będzie stanowić podstawę do odpowiedzialności cywilnej i karnej na zasadach określonych w Ustawie z dnia 29 sierpnia 1997 r o ochronie danych osobowych (j.t. Dz. U. 2014.1182); Ustawie z dnia 27 lipca 2001 roku o ochronie baz danych Dz.U.2001.128.1402, Kodeks Cywilny (Dz. U z 1964. Nr16, poz.93 z późniejszymi zmianami) oraz do odpowiedzialności z Ustawy z dnia 6 czerwca 1997 roku Kodeks Karny Rozdział XXXIII - Przestępstwa przeciwko ochronie informacji (j.t. Dz. U. 1997. 88. 553 z późn. zm.).. Podpis pracownika Podpis i pieczęć osoby upoważnionej do reprezentowania Pracodawcy któremu przetwarzanie danych powierzono zgodnie z art.31.1.ustawy o ochronie danych osobowych. 24
Załącznik nr 13 - Wykaz kluczy do pomieszczeń służbowych" WYKAZ KLUCZY DO POMIESZCZEŃ SŁUŻBOWYCH Lp. Numer klucza NAZWA POMIESZCZENIA Numer budynku Numer pokoju ODPOWIEDZIALNY (Nazwisko Imię osoby mogącej pobrać klucze) Administrator Obiektu.... (data, pieczęć, podpis ) 25
Załącznik nr 14 Wzór Zbiór opisów i kodów dostępu dotyczących zakresu przetwarzania danych." Kod Opis kodu dostępu (zakresu przetwarzania danych) Uwagi Stan na dzień: 26
Załącznik nr 15 - Wzór Umowa powierzenia przetwarzania danych osobowych" Wzór Umowa powierzenia przetwarzania danych osobowych Zawarta w... w dniu... r. pomiędzy: Gminą Łazy z siedzibą w Łazach, posiadającą numer NIP 649-22-68-348, reprezentowaną przez:..., zwaną/ym dalej.zleceniodawcą, a z siedzibą w..., zarejestrowaną/ym w... pod numerem..., posiadającą/ym numer NIP... oraz numer REGON..., reprezentowaną/ym przez:..., zwaną/ym dalej Zleceniobiorcą 1 Oświadczenia stron 1. Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych objętych zbiorem danych osobowych o nazwie:. 2. Zleceniobiorca oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 3. Zleceniobiorca oświadcza, iż przygotował stosowną dokumentację wymaganą od podmiotu, któremu powierzono przetwarzanie danych osobowych, zgodnie z postanowieniami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 2 Zakres i cel przetwarzania danych osobowych 1. Zleceniobiorca może przetwarzać dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie i w celu określonych w niniejszej umowie. 27
2. Dane osobowe będą przetwarzane przez Zleceniobiorcę tylko i wyłącznie w celu... 3. Zakres przetwarzania obejmuje następujące dane osobowe:.. 4. Poprzez przetwarzanie danych rozumie się: zbieranie, zapisywanie, modyfikację oraz utrwalanie danych osobowych. 3 Zobowiązania podmiotu, któremu powierzono przetwarzanie danych osobowych (zobowiązania Zleceniobiorcy) 1. Zleceniobiorca zobowiązuje się przed przystąpieniem do przetwarzania danych powierzonych przez Zleceniodawcę wdrożyć i utrzymywać przez czas przetwarzania wszelkie środki i zabezpieczenia związane z przetwarzaniem danych, zgodnie z wymaganiami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 2. Zleceniobiorca odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem przez Zleceniobiorcę powierzonych danych osobowych. Postanowienia końcowe 4 1. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy o ochronie danych osobowych, rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz innych przepisów. 2. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron....... Administrator Danych Zleceniobiorca 28