REGULAMIN. organizacji i przetwarzania danych osobowych.



Podobne dokumenty
REGULAMIN. organizacji i przetwarzania danych osobowych.

REGULAMIN organizacji i przetwarzania danych osobowych.

REGULAMIN. organizacji i przetwarzania danych osobowych.

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

Formularze. Załącznik do zarządzenia nr 22/2009

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Instrukcja organizacji przetwarzania danych w Żłobku Publicznym w Lutyni

POLITYKA BEZPIECZEŃSTWA

Polityki bezpieczeństwa danych osobowych w UMCS

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

WYKAZ WZORÓW FORMULARZY

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Zarządzenie nr.~ ~2015

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

osobowych i ich zbiorów stanowiącą załącznik nr 1 do niniejszego zarządzenia.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Protokół kontroli problemowej przeprowadzonej w Urzędzie Gminy Łomża Ul. Skłodowskiej 1a, Łomża NIP , REGON

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Samodzielny Publiczny Zespół Opieki Zdrowotnej w Kędzierzynie-Koźlu OŚWIADCZENIE UŻYTKOWNIKA BI-114 A. DANE UŻYTKOWNIKA 1. Identyfikator użytkownika*

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Załącznik nr 8 do SIWZ

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Ustawa o ochronie danych osobowych po zmianach

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W KSIĄŻKACH

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

4) Gabinet zastępcy dyrektora i pedagoga 2 osoby znajdujący się na I piętrze budynku

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia r.

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Geokompetencje w praktyce drogą do sukcesu II

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

D R U K I I Z A Ł Ą C Z N I K I

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie

DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ POLICJI. Warszawa, dnia 12 czerwca 2012 r. Poz. 32 DECYZJA NR 196 KOMENDANTA GŁÓWNEGO POLICJI

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

POLITYKA BEZPIECZEŃSTWA INFORMACJI I OCHRONY DANYCH OSOBOWYCH W URZĘDZIE MIEJSKIM W RADOMIU

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Zmiany w ustawie o ochronie danych osobowych

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

I. PODSTAWY PRAWNE II. CELE GROMADZENIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa przetwarzania danych osobowych

PolGuard Consulting Sp.z o.o. 1

w sprawie prowadzenia centralnego zbioru informacji o kandydatach do służby w Policji

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

w n i o s k u j ę o udzielenie Pani /Panu/**......

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Transkrypt:

1 Załącznik nr 3 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. REGULAMIN organizacji i przetwarzania danych osobowych. Rozdział 1. Postanowienia ogólne. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. Rozdział 3. Procedury tworzenia, rejestrowania i zmian w przetwarzaniu danych osobowych w zbiorach. Rozdział 4. Szkolenie oraz prowadzenie dokumentacji przetwarzania danych osobowych. Rozdział 5. Obowiązki osób upoważnionych przez Administratora. Rozdział 6. Postanowienia końcowe. Załączniki.

2 Rozdział 1 Postanowienia ogólne. 1 1. Regulamin organizacji i przetwarzania danych osobowych" zwany dalej Regulaminem, określa ogólne zasady, cele przetwarzania danych i wskazuje działania podejmowane przez Administratora oraz osoby przez niego upoważnione, w zakresie organizacji przetwarzania i ochrony danych osobowych w Urzędzie Miejskim w Michałowie. 2. Regulamin został opracowany w wykonaniu dyspozycji art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), dalej jako Ustawa, w celu określenia zadań organizacyjnych i technicznych, realizowanych w zakresie ochrony danych przez użytkowników, ich przełożonych oraz inne osoby wskazane przez Administratora. 2 Określenia i skróty użyte w Regulaminie oznaczają: 1. Administrator Danych Osobowych Burmistrz Michałowa, zwany dalej Administratorem. 2. Administrator Bezpieczeństwa Informacji, zwany dalej ABI osoba wyznaczona przez Administratora, w rozumieniu art. 36 ust. 3 Ustawy. 3. Administrator Systemu Informatycznego, zwany dalej ASI osoba wyznaczona przez Administratora, pracownik odpowiedzialny za wdrożenie i stosowanie zasad bezpieczeństwa danych osobowych w zakresie technicznych zabezpieczeń systemu informatycznego w Urzędzie Miejskim w Michałowie. 4. Osoba upoważniona, zwana dalej użytkownikiem osoba posiadająca upoważnienie nadane przez Administratora lub osobę wskazaną przez niego i uprawniona do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu. 5. Przełożony użytkownika, zwany dalej przełożonym kierownik referatu, osoba odpowiedzialna za przestrzeganie zasad przetwarzania i ochrony danych osobowych przez podległych mu pracowników.urzędu Miejskiego w Michałowie. 6. Urząd Miejski w Michałowie zwany dalej Urzędem. 7. Dane sensytywne dane w rozumieniu art. 27 Ustawy, podlegające szczególnej ochronie. 8. GIODO Biuro Generalnego Inspektora Ochrony Danych Osobowych. 9. Zarządzenie Burmistrza Michałowa w sprawie wdrożenia dokumentacji przetwarzania i ochrony danych osobowych w Urzędzie Miejskim w Michałowie, zwane dalej Zarządzeniem. 3

3 1. Administrator może upoważnić osoby zatrudnione w Urzędzie do wykonywania określonych czynności, znajdujących się w zakresie zadań Administratora. 2. Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1, należy do Administratora. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. 4 1. Dane osobowe są przetwarzane w Urzędzie w celu realizacji zadań określonych przepisami prawa. 2. Cel, o którym mowa w ust. 1, należy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą. 5 1. Zasadą obowiązującą w Urzędzie jest zachowanie przez użytkowników w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania. 2. Możliwość wystąpienia zagrożeń bezpieczeństwa danych przetwarzanych w systemach lub kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych nakłada na użytkowników i ich przełożonych obowiązek zapewnienia danym skutecznej ochrony. 3. Przesyłanie danych osobowych za pomocą urządzeń telekomunikacyjnych lub transmisji danych w sieci publicznej wymaga wykorzystania odpowiednich urządzeń i przedsięwzięć zapewniających poufność i integralność ich przekazu. 4. Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba że konieczność ich sporządzania wynika z nałożonych na użytkownika obowiązków i dozwolona jest przepisami prawa. 6 1. Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które spełniają wymagania zawarte w art. 37 Ustawy. 2. Procedury nadawania (wycofywania) w Urzędzie upoważnień do przetwarzania danych osobowych obejmują: a) złożenie przez przełożonego wniosku o nadanie (wycofanie) upoważnienia do przetwarzania danych osobowych; b) podpisanie przez osobę ubiegającą się o nadanie upoważnienia, oświadczenia o zachowaniu w tajemnicy zasad przetwarzania danych oraz sposobów ich zabezpieczania, obejmującej także okres po ustaniu stosunku pracy; c) nadanie przez Administratora lub osobę przez niego wskazaną, upoważnienia do przetwarzania danych osobowych. 3. Regulamin zawiera także załączniki, które stanowią:

4 a) załącznik nr 1 wzór wniosku przełożonego o nadanie (pozbawienie) lub zmianę upoważnienia do przetwarzania danych osobowych; b) załącznik nr 2 wzór oświadczenia osoby ubiegającej się o nadanie upoważnienia do przetwarzania danych osobowych; c) załącznik nr 3 wzór upoważnienia do przetwarzania danych osobowych. 4. Kopie upoważnień oraz inne dokumenty, o których mowa w ust. 2, przechowuje ABI. 5. ABI prowadzi kontrolę realizacji obowiązku, o którym mowa w ust. 1. 7 1. Pomieszczenia lub ich część, w których przetwarzane są dane osobowe tworzą obszary przetwarzania danych osobowych w Urzędzie. Przebywanie osób nieuprawnionych w tych obszarach jest ograniczone i odbywać się może tylko w obecności użytkowników i za zgodą przełożonych. 2. Administrator zapewnia ochronę obszarów przetwarzania danych osobowych w Urzędzie, według zasad określonych w Polityce bezpieczeństwa, stanowiącej załącznik nr 1 do Zarządzenia. 3. Do obszarów podlegających szczególnej ochronie Administrator zalicza serwerownię oraz pomieszczenia, w których przetwarzane są dane sensytywne. Rozdział 3 Procedury tworzenia, rejestrowania i dokonywania zmian w przetwarzaniu danych osobowych w zbiorach. 8 1. Tworzy się zbiory danych osobowych przez nadanie danym osobowym odpowiedniej struktury, dostępnej według określonych kryteriów, niezależnie od tego, czy zestaw danych jest rozproszony lub podzielony funkcjonalnie. 2. Przetwarzanie danych osobowych może odbywać się metodą: a) papierową, w rozumieniu art. 2 ust. 2 pkt 1) Ustawy; b) informatyczną, w rozumieniu art. 2 ust. 2 pkt 2) Ustawy; 3. Zgodnie z potrzebami realizacji zadań służbowych, przełożeni użytkowników tworzą zbiory lub wnioskują o ich wycofanie (zmianę), według następujących reguł: a) nazwa zbioru powinna odzwierciedlać cel przetwarzania danych i być zgodna z nazewnictwem stosowanym w przepisach prawa; b) należy wskazać podstawy prawne do przetwarzania danych; c) należy określić sposób i miejsca przetwarzania danych oraz użytkowników; d) należy przekazać informację ABI w celu określenia poziomu bezpieczeństwa systemu, w którym przetwarzane są dane; e) należy zapewnić ochronę danym osobowym.

5 9 Przełożeni użytkowników mają obowiązek zgłaszania ABI aktualnych wykazów zbiorów danych osobowych przetwarzanych przez podległych im pracowników. 10 1. Administrator ma obowiązek zgłosić zbiór danych do rejestracji w GIODO, z wyjątkiem przypadków określonych w art. 43 ust. 1 Ustawy. 2. Przełożeni mają obowiązek wypełnienia wniosku zgłoszenia zbioru do rejestracji i przekazania go ABI. 3. Wzór wniosku, o którym mowa w ust. 2, stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025). 4. Dane osobowe w zbiorze można przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, że zbiór nie zawiera danych sensytywnych. Zbiór zawierający dane sensytywne można przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania. Rozdział 4 Szkolenie oraz prowadzenie dokumentacji z zakresu przetwarzania danych osobowych. 11 1. Każda osoba przed rozpoczęciem przetwarzania danych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony danych osobowych. Przełożony zobowiązany jest umożliwiać podwładnym zapoznanie się z tymi przepisami. 2. W przypadku wdrażania w Urzędzie nowych procedur przetwarzania i ochrony danych osobowych, Administrator na wniosek osób, o których mowa w 15 ust 3, może polecić zorganizowanie dodatkowych szkoleń dla wskazanych przez przełożonych grup użytkowników. 3. Szkolenia, o których mowa w ust. 2 organizuje ABI. 12 Dokumentacja przetwarzania i ochrony danych osobowych w Urzędzie obejmuje: 1. Politykę bezpieczeństwa przetwarzania danych osobowych, 2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ; 3. Regulamin organizacji i przetwarzania danych osobowych. 13

6 1. W procesie przetwarzania i ochrony danych osobowych prowadzi się następujące ewidencje i wykazy: a) Ewidencja osób upoważnionych do przetwarzania danych osobowych b) Wykaz zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania ; c) Wykaz pomieszczeń tworzących obszary przetwarzania danych osobowych. 2. Ewidencję i wykazy, o których mowa w ust. 1, prowadzi ABI w formie elektronicznej lub papierowej. 14 1. Ewidencja, o której mowa w 13 ust. 1 lit. a), zawiera: a) imię i nazwisko użytkownika; b) datę nadania i ustania oraz zakres upoważnienia; c) nazwę komórki organizacyjnej; d) identyfikator użytkownika. 2. Wykaz, o którym mowa w 13 ust. 1 lit. b), zawiera: a) nazwę zbioru danych; b) nr rejestru GIODO; c) sposób przetwarzania; d) nazwę programu użytego do przetwarzania w systemie; e) nadany poziom bezpieczeństwa; f) nazwę komórki organizacyjnej, w której przetwarzane są dane. 3. Wykaz, o którym mowa w 13 ust. 1 lit. c), zawiera: a) nazwę komórki organizacyjnej; b) nazwę zbioru danych c) numer pomieszczenia. Rozdział 5. Obowiązki osób upoważnionych przez Administratora. 15 1. Administrator wykonuje zadania z zakresu przetwarzania i ochrony danych osobowych zgodnie z przepisami Ustawy. 2. Administrator stosuje środki techniczne i przedsięwzięcia organizacyjne zapewniające skuteczną realizację zadań w zakresie bezpieczeństwa i ochrony danych przetwarzanych w Urzędzie. 16 1. Zadania organizacji, koordynacji, kontroli i nadzoru przestrzegania przepisów o ochronie danych osobowych w Urzędzie wykonuje ABI na podstawie upoważnień nadanych przez Administratora lub osobę przez niego wskazaną. 2. Do zadań ABI należy:

7 a) koordynowanie przedsięwzięć kierowników komórek organizacyjnych, o których mowa w ust. 1, w zakresie przetwarzania i ochrony danych osobowych; b) nadzorowanie sposobu wykonywania zadań przez osoby, o których mowa w ust. 3, oraz osobę pełniącą funkcje ABI; c) cofanie, ograniczanie lub niewyrażanie zgody na przyznanie uprawnień do przetwarzania danych osobowych osobom niespełniającym warunków, o których mowa w 6 oraz sprawcom zdarzeń, o których mowa w 5 ust. 5 Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, będącej załącznikiem nr 2 do Zarządzenia; d) przygotowywanie projektów zarządzeń, instrukcji i wytycznych Administratora; e) opiniowanie umów dotyczących udostępniania lub powierzenia przetwarzania danych podmiotom zewnętrznym lub osobom, które nie są pracownikami Urzędu; f) organizowanie szkolenia w zakresie ochrony danych osobowych dla osób, o których mowa w 15 ust. 3. 17 1. Administrator realizuje czynności techniczne związane z zapewnieniem skutecznej ochrony danym osobowym przetwarzanym w Urzędzie. 2. Do Administratora należy: a) wydawanie (wycofywanie) lub zmiana upoważnień do przetwarzania danych osobowych, zgodnie z art. 37 Ustawy; b) prowadzenie ewidencji i wykazów, o których mowa w 13; c) zgłaszanie lub aktualizowanie zbiorów danych osobowych do rejestracji w GIODO zgodnie z art. 40 i art. 41 Ustawy; d) decydowanie o przekazywaniu danych osobowych do państwa trzeciego, zgodnie z art. 47 Ustawy; e) koordynowanie i nadzorowanie wykonywania zadań w Urzędzie w zakresie zgodności z prawem, celowości, poprawności i adekwatności przetwarzania danych osobowych, zgodnie z art. 26 Ustawy; f) nadzorowanie i kontrolowanie wykonywania w Urzędzie zadań określonych w dokumentacji przetwarzania i ochrony danych osobowych poprzez inspirowanie działań ABI; g) prowadzenie korespondencji z GIODO w imieniu Administratora h) zapewnienie technicznego zabezpieczenia i wyposażenia pomieszczeń i obiektów, które tworzą obszary przetwarzania danych ze szczególnym uwzględnieniem zadań określonych w 20 ust. 2 lit. c) e) Polityki bezpieczeństwa stanowiącej załącznik nr 1 do Zarządzenia. 3. Czynności, o których mowa w ust. 2, wykonuje się na wniosek ABI lub właściwego Kierownika komórki organizacyjnej Urzędu. 18 1. ASI realizuje czynności techniczne związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych.

8 2. Do zadań ASI w szczególności należy: a) dostosowywanie systemów do wymogów prawa, o których mowa w 22 ust 2; b) w porozumieniu z ABI, planowanie i wdrażanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; c) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; d) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposażenia pomieszczeń, w których znajdują się serwery. 3. Do zadań ASI w szczególności należy: a) administrowanie systemami, w których przetwarzane są dane osobowe; b) dostosowywanie systemów do wymogów prawa, o których mowa w 22 ust 2; c) w porozumieniu z ABI, planowanie i wdrażanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; d) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; e) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposażenia pomieszczeń, w których znajdują się serwery. f) przyznawanie użytkownikom identyfikatorów i przyznawanie im uprawnień, które wynikają z nadanego upoważnienia do przetwarzania danych osobowych; g) instalowanie, aktualizowanie i konfigurowanie oprogramowania systemowego i aplikacyjnego oraz urządzeń, o ile czynności te nie są wykonywane przez upoważnionych przedstawicieli dostawcy systemu na podstawie zawartej umowy; h) instalowanie i aktualizowanie oprogramowania antywirusowego; i) reagowanie w przypadku naruszenia bądź powstania zagrożenia bezpieczeństwa danych przetwarzanych w systemie; j) tworzenie, rejestrowanie, przechowywanie i archiwizowanie kopii zapasowych baz danych osobowych; k) przygotowywanie urządzeń, dysków i innych elektronicznych nośników informacji, zawierających dane osobowe, do likwidacji, przekazania innemu podmiotowi, konserwacji lub naprawy; l) przekazywania do ABI opisów struktur zbiorów danych, schematów przepływu danych pomiędzy systemami, zawartości poszczególnych pól informacyjnych w aplikacjach oraz wszelkich zmian w tym zakresie; m) zakładanie, modyfikacja lub usuwanie baz danych w systemie oraz realizowanie migracji danych pomiędzy nimi; n) natychmiastowe informowanie ABI o zdarzeniach, o których mowa w lit. i); o) wykonywanie bieżącej konserwacji i przeglądu systemu; p) uaktualnianie kont i uprawnień użytkowników systemu w porozumieniu z ABI. 19 1. Kierownicy referatów są odpowiedzialni za przestrzeganie przepisów dotyczących przetwarzania i ochrony danych osobowych w podległych im komórkach organizacyjnych w zakresie upoważnień nadanych przez Administratora. 2. Do zadań osób, o których mowa w ust. 1, należy: a) decydowanie o udostępnianiu danych osobowych, zgodnie z art. 29 Ustawy; b) wnioskowanie o rejestrację (aktualizację) zbiorów w GIODO - wypełnianie wniosków zgłoszenia; c) przedkładanie ABI wniosków o nadanie (wycofanie) lub zmianę upoważnień do

9 przetwarzania danych osobowych dla pracowników i innych osób; d) zachowanie szczególnej staranności przy przetwarzaniu danych osobowych, zgodnie art. 26 Ustawy oraz zapewnienie kontroli wprowadzania i przekazywania danych, zgodnie z art. 38 Ustawy; e) zabezpieczanie danych osobowych zgodnie z przepisami zawartymi w dokumentacji przetwarzania i ochrony danych osobowych; f) udzielanie informacji, o której mowa w art. 24, art. 25 oraz art. 32 ust. 1 pkt. 1 5 a Ustawy oraz uzupełnianie, uaktualnianie lub prostowanie danych osobowych w przypadkach, o których mowa w art. 32 ust. 1 pkt 6 Ustawy; g) zawieranie umów dotyczących udostępniania lub powierzenia przetwarzania danych osobom i podmiotom zewnętrznym, zgodnie z art. 31 Ustawy; h) wskazywanie osoby wykonującej w komórce organizacyjnej czynności administracyjne związane z przetwarzaniem i ochroną danych osobowych; i) przekazywanie ABI wykazu zbiorów danych i programów zastosowanych do ich przetwarzania oraz lokalizacji obszarów ich przetwarzania; j) w porozumieniu z ABI rozpatrywanie skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych; k) na żądanie Administratora lub osoby przez niego upoważnionej przeprowadzenie okresowych analiz ryzyka dla poszczególnych systemów i na tej podstawie przedstawianie Administratorowi propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych. 3 Osoby, o których mowa w ust. 1, realizując zadania w imieniu Administratora współpracują z ABI, ASI oraz innymi osobami upoważnionymi przez Administratora. 20 Kierownik Kadr zobowiązany jest do przekazywania ABI informacji dotyczących osób biorących udział w procesie przetwarzania i ochrony danych osobowych w Urzędzie. Informacje te zawierać powinny: a) zmiany w nawiązaniu i rozwiązaniu stosunku pracy; b) zmiany miejsc świadczenia pracy; c) oddelegowanie lub przeniesienie pracownika do innej jednostki organizacyjnej; d) przebywania na urlopie macierzyńskim lub urlopie bezpłatnym powyżej miesiąca; e) przebywanie na zwolnieniu lekarskim powyżej miesiąca; f) zmiany kierowników referatów. 21 1. Osoby upoważnione przez Administratora do podpisywania umów z osobami lub podmiotami, o których mowa w 1 ust. 2 Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowiącej załącznik nr 2 do Zarządzenia, zobowiązane są do umieszczania postanowień umownych, gwarantujących bezpieczeństwo i ochronę danych osobowych przetwarzanych w Urzędzie. 2. Postanowienia, o których mowa w ust. 1, dotyczą udostępniania lub powierzenia danych do przetwarzania i zawierają: a) określenie przedmiotu i celu umowy;

10 b) zobowiązanie zleceniobiorcy do zapewnienia bezpieczeństwa i właściwej ochrony przetwarzanych danych osobowych; c) zobowiązanie zleceniobiorcy do przestrzegania procedur, o których mowa w 6; d) oświadczenie zleceniobiorcy dotyczące dostosowania systemów informatycznych wykorzystywanych w procesie przetwarzania danych osobowych do wymogów rozporządzenia, o którym mowa w 22 ust. 2; e) zapewnienie zleceniodawcy nadzoru i kontroli nad przetwarzaniem i ochroną danych osobowych; f) określenie kar umownych za nieprzestrzeganie zapisów umownych; g) możliwość rozwiązania umowy w trybie natychmiastowym w przypadku stwierdzenia omijania przez zleceniobiorcę przepisów dotyczących bezpieczeństwa i ochrony przetwarzanych danych osobowych. Rozdział 6 Postanowienia końcowe. 22 W sprawach nie uregulowanych niniejszym Regulaminem zastosowanie znajdują: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.); 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024); 3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025). 4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923).

11 Załącznik nr 1 do Regulaminu organizacji i przetwarzania danych osobowych... (pieczęć komórki organizacyjnej) Michałowo, dn.... Burmistrz Michałowa W N I O S E K Zgodnie z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w n i o s k u j ę o nadanie /pozbawienie/zmianę/* Pani /Panu/*...stanowisko służbowe.. upoważnienia do przetwarzania danych osobowych w Urzędzie Miejskim w Michałowie z powodu: /przyjęcia do pracy, przejścia na inne stanowisko, zwolnienia z pracy, zmiany uprawnień, lub innego - jakiego/*:...... Upoważnienie wydaje się na okres: /stały/czasowy do dnia/*...... 1. Zakres przetwarzania danych osobowych... /zbieranie, utrwalanie, opracowywanie, wprowadzanie, przechowywanie, zmiana, usuwanie, udostępnianie/* 2. Nazwa zbioru danych osobowych:......... 3. Sposób przetwarzania danych osobowych: /papierowy/ informatyczny/* 4. Obszar przetwarzania danych osobowych / nr pokoju/... 5. Uprawnienia obejmują przetwarzanie danych sensytywnych /art. 27 Ustawy/ /tak/nie/* 6. Osoba została zapoznana z przepisami o ochronie danych osobowych: /tak/nie/*... (przełożony osoby ) -------------------------------- /* niepotrzebne proszę skreślić

12 Załącznik nr 2 do Regulaminu organizacji i przetwarzania danych... (imię i nazwisko osoby)... (stanowisko i nazwa komórki organizacyjnej) O Ś W I A D C Z E N I E Ja, niżej podpisana(y), oświadczam, że zapoznała(e)m się z przepisami dotyczącymi przetwarzania i ochrony danych osobowych i zobowiązuję się do przestrzegania: 1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), 3. Procedur dotyczących bezpieczeństwa przetwarzania i ochrony danych osobowych, określonych w zarządzeniach Administratora Danych Osobowych. Jednocześnie oświadczam, że: a) zapewnię ochronę danym osobowym przetwarzanym w Urzędzie Miejskim w Michałowie, a w szczególności zabezpieczę je przed dostępem osób nieupoważnionych, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem, b) zachowam w tajemnicy, także po ustaniu stosunku pracy, wszelkie informacje dotyczące przetwarzania oraz sposobów zabezpieczenia danych osobowych w Urzędzie Miejskim w Michałowie, c) natychmiast zgłoszę przełożonemu i Administratorowi Bezpieczeństwa Informacji, stwierdzenie próby lub faktu naruszenia ochrony lub bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe.... (podpis osoby ubiegającej się o dostęp) Michałowo, dnia... --------------------------------------------------------------------------------------------------------------------- Oświadczenie wypełnia osoba, która wykonując swoje obowiązki musi posiadać dostęp do danych osobowych przetwarzanych w Urzędzie Miejskim w Michałowie. Oświadczenie jest zgodne z art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

13 Załącznik nr 3 do Regulaminu organizacji i przetwarzania danych Michałowo, dnia Pan/Pani zatrudniony/a w Urzędzie Miejskim w Michałowie na stanowisku.. UPOWAŻNIENIE Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) u p o w a ż n i a m Pana/Panią do dostępu do danych osobowych przetwarzanych w Urzędzie Miejskim w Michałowie, w zakresie niezbędnym do wykonywania obowiązków służbowych, określonych w zakresie obowiązków z dnia Zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych, ma Pan/Pani obowiązek zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Niniejsze upoważnienie: 1) zostało wydane na czas 2) może być w każdym czasie cofnięte, 3) wygasa z dniem rozwiązania stosunku pracy z upoważnionym pracownikiem. Otrzymuje:. Do wiadomości: 1) Sekretarz Gminy 2) Administrator Bezpieczeństwa Informacji

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres