POLITYKA BEZPIECZESTWA STAROSTWA POWIATOWEGO W PABIANICACH Załcznik do Zarzdzenia Nr 25 /08 Starosty Pabianickiego z dnia 16 czerwca 2008 roku ROZDZIAŁ I WSTP Starosta Pabianicki - Administrator Danych, wiadomy wagi zagroe prywatnoci, w tym zwłaszcza zagroe danych osobowych przetwarzanych w zwizku z wykonywaniem zada Administratora Danych, deklaruje podejmowanie wszelkich moliwych działa koniecznych do zapobiegania zagroeniom, m. in. takim jak: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewntrznych na zasoby systemu, jak np. poar, zalanie pomieszcze, katastrofa budowlana, napad, kradzie, włamanie, działania terrorystyczne, niepodana ingerencja ekipy remontowej; 2) niewłaciwe parametry rodowiska, zakłócajce prac urzdze komputerowych (nadmierna wilgotno lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne); 3) awarie sprztu lub oprogramowania, które wyranie wskazuj na umylne naruszenia ochrony danych, niewłaciwe działanie serwisantów, w tym pozostawienie
serwisantów bez nadzoru, a take przyzwolenie na napraw sprztu zawierajcego dane poza siedzib Administratora Danych; 4) podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych, np. praca osoby, która nie jest upowaniona do przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby upowanione; 5) celowe lub przypadkowe rozproszenie danych w internecie z ominiciem zabezpiecze systemu lub wykorzystaniem błdów systemu informatycznego Administratora Danych; 6) ataki z internetu; 7) naruszenia zasad i procedur okrelonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upowanione do przetwarzania danych osobowych, zwizane z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza: niezgodne z procedurami zakoczenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wyłczenie komputera, niezablokowanie wywietlenia treci pracy na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy, pozostawienie po zakoczeniu pracy nieschowanych do zamykanych na klucz szaf dokumentów zawierajcych dane osobowe, niezamknicie na klucz pokoju po jego opuszczeniu, nieoddanie klucza na portierni), naruszenie bezpieczestwa danych przez nieautoryzowane ich przetwarzanie, ujawnienie osobom nieupowanionym procedur ochrony danych stosowanych u Administratora Danych, ujawnienie osobom nieupowanionym danych przetwarzanych przez Administratora Danych, w tym równie nieumylne ujawnienie danych osobom postronnym, przebywajcym bez nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach Administratora Danych, niewykonywanie stosownych kopii zapasowych, przetwarzanie danych osobowych w celach prywatnych, wprowadzanie zmian do systemu informatycznego Administratora Danych i instalowanie programów bez zgody Administratora Systemu. ROZDZIAŁ II POSTANOWIENIA OGÓLNE 1 Ilekro w niniejszej Polityce Bezpieczestwa jest mowa o: 1. Administratorze Bezpieczestwa Informacji rozumie si przez to osob, której Administrator Danych powierzył pełnienie obowizków Administratora Bezpieczestwa Informacji, 2. Administratorze Danych rozumie si przez Administratora Danych Starostwa Powiatowego w Pabianicach reprezentowanego przez Starost Pabianickiego, 3. Administratorze Systemu rozumie si przez to informatyka zatrudnionego w Biurze Zarzdu Powiatu realizujcego zadania w zakresie zarzdzania i biecego nadzoru nad systemem informatycznym Administratora Danych, 4. danych osobowych rozumie si przez to wszelkie informacje dotyczce zidentyfikowanej lub moliwej do zidentyfikowania osoby fizycznej, 5. hale - rozumie si przez to cig znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
6. identyfikatorze uytkownika - rozumie si przez to cig znaków literowych, cyfrowych lub innych jednoznacznie identyfikujcy osob upowanion do przetwarzania danych osobowych w systemie informatycznym, 7. integralnoci danych rozumie si przez to właciwo zapewniajc, e dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 8. odbiorcy danych rozumie si przez to kadego, komu udostpnia si dane osobowe, z wyłczeniem: - osoby, której dane dotycz, - osoby upowanionej do przetwarzania danych osobowych, - przedstawiciela, o którym mowa w art. 31a ustawy, - podmiotu, o którym mowa w art. 31ustawy, - organów pastwowych lub organów samorzdu terytorialnego, którym dane s udostpniane w zwizku z prowadzonym postpowaniem. 9. osobie upowanionej do przetwarzania danych osobowych rozumie si przez to osob, która została upowaniona została do przetwarzania danych osobowych przez Administratora Danych Starost Pabianickiego na pimie, 10. poufnoci danych rozumie si przez to właciwo zapewniajc, e dane osobowe nie s udostpniane nieupowanionym osob i podmiotom, 11. przetwarzajcym rozumie si przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy, 12. przetwarzaniu danych rozumie si przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych, 13. raporcie rozumie si przez to przygotowane przez system informatyczny zestawienia zakresu i treci przetwarzanych danych osobowych, 14. rozliczalnoci - rozumie si przez to właciwo zapewniajc, e działania podmiotu mog by przypisane w sposób jednoznaczny tylko temu podmiotowi, 15. rozporzdzeniu rozumie si przez to rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne słuce do przetwarzania danych osobowych, 16. sieci publicznej rozumie si przez to sie publiczn w rozumieniu art. 2 pkt.28 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, 17. sieci teleinformatycznej rozumie si przez to słuc do przetwarzania danych osobowych organizacyjnie i technicznie połczenie systemów teleinformatycznych wraz z łczcymi je urzdzeniami i liniami, 18. sieci telekomunikacyjnej rozumie si przez to sie telekomunikacyjn w rozumieniu art. 2 pkt.35 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, 19. serwisancie rozumie si przez to firm lub pracownika firmy zajmujcej si sprzeda, instalacj, napraw i konserwacj sprztu komputerowego, 20. systemie informatycznym Administratora Danych rozumie si przez sprzt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujcych ze sob urzdze, programów procedur przetwarzania informacji i narzdzi programowych; w systemie tym pracuje przynajmniej jeden komputer centralny i system ten tworzy sie teleinformatyczn Starostwa Powiatowego w Pabianicach, 21. teletransmisji rozumie si przez to przesyłanie informacji za porednictwem sieci telekomunikacyjnej,
22. ustawie - rozumie si przez to ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 23. usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich modyfikacj, która nie pozwoli na ustalenie tosamoci osoby, której dane dotycz, 24. uwierzytelnianiu rozumie si przez to działanie, której celem jest weryfikacja deklarowanej tosamoci podmiotu, 25. uytkowniku rozumie si przez to osob upowanion do dostpu i przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło, 26. zabezpieczeniu danych w systemie informatycznym - rozumie si przez to wdroenie i eksploatacj stosownych rodków technicznych i organizacyjnych zapewniajcych ochron danych przed ich nieuprawnionym przetwarzaniem, 27. zabezpieczeniu systemu informatycznego naley przez to rozumie wdroenie stosowanych rodków administracyjnych, technicznych oraz ochrony przed modyfikacj, zniszczeniem, nieuprawnionym dostpem i ujawnieniem lub pozyskaniem danych osobowych, a take ich utrat, 28. zbiorze danych rozumie si przez to kady posiadajcy struktur zestaw danych o charakterze osobowym, dostpnych według okrelonych kryteriów, niezalenie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2 1. Polityka Bezpieczestwa jest rozumiana jako całokształt działa, zmierzajcych do uzyskania i utrzymania wymaganego poziomu bezpieczestwa danych osobowych, tj. zapewnienie poufnoci, spójnoci i dostpnoci na kadym etapie tworzenia, przetwarzania, przechowywania i przesyłania danych osobowych. 2. W zwizku z tym, e w zbiorach Administratora Danych przetwarzane s midzy innymi dane wraliwe, a system informatyczny Administratora Danych posiada szerokopasmowe połczenie z Internetem, niniejsza Polityka Bezpieczestwa słuy zapewnieniu wysokiego poziomu bezpieczestwa danych w rozumieniu 6 rozporzdzenia. 3. Polityka Bezpieczestwa obejmuje zbiór zasad dotyczcych bezpieczestwa danych osobowych ustalonych w oparciu o wymagania wynikajce z przepisów prawa, z szacowania ryzyka w zwizku z wykonywaniem okrelonych prawem zada przez Starostwo Powiatowe w Pabianicach oraz wewntrzne wymogi i uwarunkowania lokalowe Starostwa Powiatowego w Pabianicach, zwanego dalej Starostwem. 4. Polityka Bezpieczestwa zapewnia: 1) spójno z wyznaczonymi zadaniami Starostwa, oraz pełn integracj z podstawowymi procedurami zdefiniowanymi w Starostwie, 2) skuteczniejsze działania w odniesieniu do zagroe poufnoci, integralnoci i dostpnoci danych osobowych, 3) realizacj zada Starostwa w taki sposób, aby podnie jako i wiarygodno wobec klientów Starostwa, 4) ochron danych osobowych tworzonych, przetwarzanych, przechowywanych i przesyłanych nie tylko za pomoc systemów informatycznych ale równie w innych obszarach ich przetwarzania i przechowywania (np. papierowej). 5. Celem Polityki Bezpieczestwa jest wskazanie działa, jakie naley podejmowa oraz ustanowienie zasad, jakie naley stosowa, aby prawidłowo były realizowane obowizki Starostwa jako Administratora Danych w zakresie zabezpieczenia danych osobowych.
6. Niniejsza Polityka Bezpieczestwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w ksigach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. 7. Procedury i zasady okrelone w niniejszym dokumencie stosuje si do wszystkich osób upowanionych do przetwarzania danych osobowych, zarówno zatrudnionych w Starostwie, jak i innych, np. staystów, praktykantów, wolontariuszy. 3 W Starostwie z uwagi na fakt, e urzdzenia systemu informatycznego słucego do przetwarzania danych osobowych połczone s z sieci publiczn, stosuje si wysoki poziom bezpieczestwa teleinformatycznego. Bezpieczestwo teleinformatyczne na poziomie wysokim zapewnia si przez: 1) Ochron fizyczn. 2) Ochron elektromagnetyczn. 3) Ochron kryptograficzn. 4) Bezpieczestwo teletransmisji. 5) Kontrol dostpu do urzdze systemu lub sieci teleinformatycznej. 4 5 Ochron fizyczn systemu lub sieci teleinformatycznej zapewnia si przez instalacj rodków zabezpieczajcych pomieszczenia, w którym znajduj si urzdzenia systemu lub sieci teleinformatycznej, w szczególnoci przed: 1) Nieuprawnionym dostpem. 2) Podgldem. 3) Podsłuchem. 6 Ochrona elektromagnetyczna polega na: 1) Wszelkie urzdzenia systemu i sieci teleinformatycznej winny znajdowa si w odległoci nie mniejszej ni 150 m od ródeł emisji elektromagnetycznej mogcej zakłóca prawidłow prac tych urzdze. 2) W trakcie pracy urzdze systemu i sieci teleinformatycznej w strefie bezpieczestwa naley wyłczy urzdzenia o wysokiej emisyjnoci fal elektromagnetycznych lub stosowa zastosowanie urzdze, połcze linii o obnionym poziomie emisji lub ich ekranowanie i filtrowanie zewntrznych linii zasilajcych lub sygnałowych. 3) Komputery na których przetwarzane s dane osobowe powinny spełnia warunek obnionej emisyjnoci. 7 1. Ochrona kryptograficzna systemu lub sieci teleinformatycznej polega na stosowaniu metod i rodków zabezpieczajcych dane osobowe przez ich szyfrowanie oraz stosowanie innych mechanizmów kryptograficznych gwarantujcych integralno i
zabezpieczenie przed nieuprawnionym ujawnieniem tych danych lub uwierzytelnienie podmiotów, lub uwierzytelnienie informacji. 2. Ochron kryptograficzn systemu lub sieci teleinformatycznej stosuje si przy przekazywaniu danych osobowych w formie elektronicznej, poza strefy bezpieczestwa. 3. Przemieszczanie komputerów przenonych, w których przetwarzane s dane osobowe, poza strefy bezpieczestwa wymaga stosowania kryptograficznych metod i rodków ochrony tych danych lub innych rodków ochrony, gwarantujcych ich zabezpieczenie przed nieuprawnionym ujawnieniem. 4. Przepis ust. 3 stosuje si do elektronicznych noników zawierajcych dane osobowe, przemieszczanych poza strefy bezpieczestwa. ROZDZIAŁ III ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH 1 Administrator Danych osobowych reprezentowany przez Starost Pabianickiego realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza: 1. Podejmuje decyzje o celach i rodkach przetwarzania danych osobowych uwzgldnieniem przede wszystkim zmian w obowizujcym prawie, organizacji Administratora Danych oraz technik zabezpieczenia danych osobowych; 2. Upowania poszczególne osoby do przetwarzania danych osobowych w okrelonym indywidualnie zakresie, odpowiadajcym zakresowi jej obowizków; 3. Wyznacza Administratora Bezpieczestwa Informacji oraz okrela zakres jego zada i czynnoci; 4. Wyznacza Administratora Systemu oraz okrela jego zakres zada i czynnoci 5. Wyznacza inspektora Biura Zarzdu Powiatu prowadzcego sprawy kadrowe jako właciwego do prowadzenia ewidencji osób upowanionych do przetwarzania danych osobowych oraz pozostałej dokumentacji z zakresu ochrony danych, o ile jako właciwy do jej prowadzenia nie zostanie wskazany w niniejszym dokumencie inny podmiot; 6. Zleca inspektorowi Biura Zarzdu Powiatu do którego obowizków nale sprawy zwizane z zaopatrzeniem, by we współpracy z Administratorem Systemu oraz Administratorem Bezpieczestwa Informacji zapewnił uytkownikom odpowiednie stanowiska pracy umoliwiajce bezpieczne przetwarzanie danych; 7. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych. 2 Administrator Bezpieczestwa Informacji realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza: 1. Sprawuje nadzór nad wdroeniem stosownych rodków fizycznych, a take organizacyjnych i technicznych w celu zapewnienia bezpieczestwa danych. 2. Sprawuje nadzór nad funkcjonowaniem systemu zabezpiecze, w tym take nad prowadzeniem ewidencji z zakresu ochrony danych osobowych. 3. Koordynuje wewntrzne audyty przestrzegania przepisów o ochronie danych osobowych. 4. Nadzoruje udostpnianie danych osobowych odbiorcom danych i innym podmiotom,
5. Przygotowuje wnioski zgłosze rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inn korespondencj z Generalnym Inspektorem Ochrony Danych Osobowych. 6. Zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczcych ochrony danych osobowych, przygotowywane przez wydziały i pozostałe komórki organizacyjne Administratora Danych. 7. Nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych osobowych przez inspektora Biura Zarzdu prowadzcego sprawy kadrowe. 8. Prowadzi oraz aktualizuje dokumentacj opisujc sposób przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych. 9. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia systemu informatycznego. 10. Przygotowuje wycigi z Polityki Bezpieczestwa, dostosowane do zakresów obowizków osób upowanianych do przetwarzania danych osobowych. 11. Przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia osób upowanianych do przetwarzania danych osobowych. 12. Przeprowadza szkolenie kadej osoby, która ma zosta upowaniona do przetwarzania danych osobowych. 13. W porozumieniu z Administratorem Danych osobowych oraz inspektorem Biura Zarzdu Powiatu prowadzcym sprawy kadrowe, na czas nieobecnoci (urlop, choroba) wyznacza swojego zastpc. 3 Administrator Systemu realizuje zadania w zakresie zarzdzania i biecego nadzoru nad systemem informatycznym administratora danych, w tym zwłaszcza: 1. Zarzdza systemem informatycznym, w którym przetwarzane s dane osobowe, posługujc si hasłem dostpu do wszystkich stacji roboczych z pozycji administratora. 2. Przeciwdziała dostpowi osób niepowołanych do systemu informatycznego, w którym przetwarzane s dane osobowe. 3. Na wniosek inspektora Biura Zarzdu Powiatu prowadzcego sprawy kadrowe przydziela kademu uytkownikowi identyfikator oraz hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnie, a take usuwa konta uytkowników zgodnie z zasadami okrelonymi w instrukcji zarzdzania systemem informatycznym słucym do przetwarzania danych osobowych. 4. Prowadzi w systemie elektronicznym ewidencj uytkowników upowanionych do przetwarzania danych osobowych w systemie informatycznym, która powinna zawiera: 1) nazwisko i imi uytkownika, 2) identyfikator uytkownika, 3) stanowisko uytkownika, 4) wydział lub inn komórk organizacyjn Starostwa, w którym uytkownik jest zatrudniony lub odbywa sta, praktyk lub wykonuje zadania jako wolontariusz, 5) wskazanie zbiorów danych osobowych, do którego uytkownik ma prawo dostpu, 6) zakres uprawnie uytkownika w zakresie przetwarzania danych osobowych stosownie do postanowie art. 7 pkt 2 ustawy,
7) dat przyznania uprawnie, 8) dat wyrejestrowania uytkownika z systemu informatycznego, gdy upowanienie utraciło wano z uwagi na okres na jaki zostało udzielone lub z uwagi na zakoczenie pracy uytkownika w Starostwie. 5. Nadzoruje działanie mechanizmów uwierzytelniania uytkowników oraz kontroli dostpu do danych osobowych. 6. Podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostpu do systemu informatycznego. 7. Wyrejestrowuje uytkowników na polecenie Administratora Danych lub inspektora Biura Zarzdu Powiatu prowadzcego sprawy kadrowe. 8. Zmienia w poszczególnych stacjach roboczych hasła dostpu, ujawniajc je wyłcznie danemu uytkownikowi oraz, w razie potrzeby, Administratorowi Bezpieczestwa Informacji lub Administratorowi Danych, 9. W sytuacji stwierdzenia naruszenia zabezpiecze systemu informatycznego informuje Administratora Bezpieczestwa Informacji o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia. 10. Prowadzi szczegółow dokumentacj narusze bezpieczestwa danych osobowych przetwarzanych w systemie informatycznym. 11. Sprawuje nadzór nad wykonywaniem napraw, konserwacj oraz likwidacj urzdze komputerowych, na których zapisane s dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod ktem ich dalszej przydatnoci do odtwarzania danych w przypadku awarii systemu informatycznego. 12. Podejmuje działania słuce zapewnieniu niezawodnoci zasilania komputerów, innych urzdze majcych wpływ na bezpieczestwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewntrznej i bezpiecznej teletransmisji. 4 Inspektor Biura Zarzdu Powiatu prowadzcy sprawy kadrowe realizuje przede wszystkim nastpujce zadania w zakresie ochrony danych osobowych: 1. Prowadzi ewidencj osób upowanionych do przetwarzania danych osobowych. 2. Wystpuje z wnioskiem do Administratora Bezpieczestwa Informacji o przeprowadzenie szkolenia osoby, która ma zosta upowaniona do przetwarzania danych osobowych 3. Wystpuje z wnioskiem do Administratora Danych o nadanie upowanienia do przetwarzania danych osobowych, 4. Wystpuje z wnioskiem do Administratora Systemu o nadanie identyfikatora i przyznanie hasła osobie upowanionej do przetwarzania danych osobowych. 5. Wystpuje z wnioskiem o odwołanie upowanienia do przetwarzania danych osobowych i/lub wyrejestrowania uytkownika z systemu informatycznego. 5 Osoba upowaniona do przetwarzania danych osobowych jest zobowizana przestrzega nastpujcych zasad: 1. Moe przetwarza dane osobowe wyłcznie w zakresie ustalonym indywidualnie przez Administratora Danych w upowanieniu i tylko w celu wykonywania nałoonych na
ni obowizków. Zakres dostpu do danych przypisany jest do niepowtarzalnego identyfikatora uytkownika, niezbdnego do rozpoczcia pracy w systemie. Rozwizanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wyganicie upowanienia do przetwarzania danych osobowych. 2. Musi zachowa tajemnic danych osobowych oraz przestrzega procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowizuje przez cały okres zatrudnienia u Administratora Danych, a take po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji. 3. Zapoznaje si z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej Polityki Bezpieczestwa i instrukcji zarzdzania systemem informatycznym słucym do przetwarzania danych osobowych. 4. Stosuje okrelone przez Administratora Danych oraz Administratora Bezpieczestwa Informacji procedury oraz wytyczne majce na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych. 5. Korzysta z systemu informatycznego Administratora Danych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urzdze wchodzcych w skład systemu informatycznego, oprogramowania i noników. 6. Zabezpiecza dane przed ich udostpnianiem osobom nieupowanionym. 6 W ramach struktury organizacyjnej Administratora Danych prowadzone s nastpujce ewidencje wchodzce w skład dokumentacji z zakresu ochrony danych osobowych: 1. inspektor Biura Zarzdu Powiatu prowadzcy sprawy kadrowe prowadzi ewidencj osób upowanionych do przetwarzania danych osobowych, 2. Administrator Bezpieczestwa Informacji prowadzi ewidencj udostpnie danych odbiorcom danych oraz innym podmiotom, 3. Administrator Systemu prowadzi przechowywan w kasie pancernej ewidencj haseł do stanowisk roboczych poszczególnych uytkowników oraz ich identyfikatorów, a take ewidencje: 1) komputerów przenonych, 2) noników przenonych, oraz 3) kluczy kryptograficznych. ROZDZIAŁ IV WYKAZ POMIESZCZE TWORZCYCH OBSZAR, W KTÓRYM PZETWARZANE S DANE OSOBOWE 1 1. Pomieszczeniami tworzcymi obszar, w którym znajduj si przetwarzane dane osobowe s pomieszczenia, w których znajduj si zbiory danych w formie kartotek, rejestrów i innych oraz stacjonarny sprzt komputerowy, w którym s przetwarzane dane osobowe. 2. Przebywanie w pomieszczeniach znajdujcych si wewntrz obszaru, o którym mowa w ust.1, osób nieuprawnionych do dostpu do danych osobowych, jest dopuszczalne tylko w obecnoci osoby zatrudnionej przy przetwarzaniu tych danych. 3. Pomieszczenia, w których przetwarzane s dane osobowe powinny by zamykane i chronione na czas nieobecnoci w nich osób upowanionych do przetwarzania danych osobowych, w sposób uniemoliwiajcy dostp do nich osób trzecich.
2 Wykaz pomieszcze tworzcych obszar, w którym przetwarzane s dane osobowe został okrelony w załczniku Nr 1 do niniejszej Polityki Bezpieczestwa. ROZDZIAŁ V WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMY ZASTOSOWANE DO PRZETWARZANIA TYCH DANYCH 1 Starostwo przetwarza dane osobowe w zbiorach, w zwizku z wykonywaniem zada wynikajcych z art. 4 ustawy o samorzdzie powiatowym i stosownych przepisów prawa materialnego i proceduralnego. 2 Wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych danych zawiera załcznik Nr 2 do Polityki Bezpieczestwa. ROZDZIAŁ VI OPIS STRUKTURY ZBIORÓW DANYCH Zbiory danych osobowych przetwarzanych w Starostwie maj nastpujce struktury: 1. W zbiorze danych Rejestr stowarzysze i fundacji przetwarzane s dane osobowe w zakresie: b) Data urodzenia c) Miejsce urodzenia d) Adres zamieszkania lub pobytu e) Numer ewidencyjny PESEL f) Seria i numer dowodu osobistego g) Numer telefonu 1 2. W zbiorze danych Zbiór zezwole na sprowadzenie zwłok i szcztków z zagranicy przetwarzane s dane osobowe w zakresie: c) Seria i numer dowodu osobistego d) Numer telefonu 3. W zbiorze danych Rejestr zwierzt podlegajcych ograniczeniom na podstawie przepisów UE przetwarzane s dane osobowe w zakresie: 4. W zbiorze danych Ewidencja kart wdkarskich przetwarzane s dane osobowe w zakresie:
b) Data urodzenia c) Miejsce urodzenia d) Adres zamieszkania lub pobytu e) Seria i numer dowodu osobistego 5. W zbiorze danych Ewidencja sprztu pływajcego do amatorskiego połowu ryb przetwarzane s dane osobowe w zakresie: c) Seria i numer dowodu osobistego 6. W zbiorze danych System obiegu dokumentów INTRADOK przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Miejsce pracy h) Zawód i) Wykształcenie j) Seria i numer dowodu osobistego k) Stan zdrowia l) Nałogi m) ycie seksualne 7. W zbiorze danych Stypendia z EFS Uczniowie przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Miejsce pracy i) Zawód j) Wykształcenie k) Seria i numer dowodu osobistego l) Numer telefonu m) Inne orzeczenia wydane w postpowaniu sdowym lub administracyjnym 8. W zbiorze danych Stypendia z EFS Studenci przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Miejsce pracy i) Zawód j) Wykształcenie k) Seria i numer dowodu osobistego l) Numer telefonu
m) Inne orzeczenia wydane w postpowaniu sdowym lub administracyjnym 9. W zbiorze danych Zbiór zezwole na przeprowadzenie zbiórki publicznej przetwarzane s dane osobowe w zakresie: c) Numer ewidencyjny PESEL d) Seria i numer dowodu osobistego e) Numer telefonu 10. W zbiorze danych Ewidencja pozwole wodnoprawnych przetwarzane s dane osobowe w zakresie: 11. W zbiorze danych Ewidencja decyzji w zakresie utrzymania urzdze melioracji wodnych przetwarzane s dane osobowe w zakresie: 12. W zbiorze danych Ewidencja osób posiadajcych uprawnienia do kierowania pojazdami przetwarzane s dane osobowe w zakresie: b) Data urodzenia c) Miejsce urodzenia d) Adres zamieszkania lub pobytu e) Numer ewidencyjny PESEL f) Numer telefonu g) Stan zdrowia h) Skazania i) Mandaty karne j) Orzeczenia o ukaraniu k) Inne orzeczenia wydane w postpowaniu sdowym lub administracyjnym 13. W zbiorze danych Ewidencja szkół nauki jazdy i instruktorów przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Wykształcenie h) Numer telefonu i) Skazania j) Orzeczenia o ukaraniu 14. W zbiorze danych Ewidencja stacji kontroli pojazdów i diagnostów przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL
g) Numer Identyfikacji Podatkowej h) Zawód i) Wykształcenie j) Seria i numer dowodu osobistego k) Numer telefonu 15. W zbiorze danych Ewidencja przedsibiorców wykonujcych krajowy transport drogowy, transport rzeczy osób i przewozy drogowe na potrzeby własne przetwarzane s dane osobowe w zakresie: c) Numer Identyfikacji Podatkowej d) Seria i numer dowodu osobistego 16. W zbiorze danych Krajowy system ewidencji pojazdów przetwarzane s dane osobowe w zakresie: c) Numer ewidencyjny PESEL 17. W zbiorze danych System Informacji Owiatowej przetwarzane s dane osobowe w zakresie: b) Miejsce pracy c) Zawód d) Wykształcenie 18. W zbiorze danych Rejestr skierowa uczniów do kształcenia specjalnego przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer telefonu g) Stan zdrowia 19. W zbiorze danych Rejestr decyzji o przyznaniu godzin indywidualnego nauczania przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer telefonu g) Stan zdrowia 20. W zbiorze danych Skierowania do orodków socjoterapeutycznych i młodzieowych orodków Wychowawczych przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Wykształcenie
h) Stan zdrowia i) Nałogi j) ycie seksualne k) Skazania l) Orzeczenia o ukaraniu m) Inne orzeczenia wydane w postpowaniu sdowym lub administracyjnym 21. W zbiorze danych Rejestr decyzji o przyznaniu godzin rewalidacyjno wychowawczych przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Wykształcenie g) Numer telefonu h) Stan zdrowia 22. W zbiorze danych Rejestr skierowa uczniów do kształcenia specjalnego w systemie kształcenia Integracyjnego przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer telefonu g) Stan zdrowia 23. W zbiorze danych Ewidencja nakazów płatniczych za wyłczenie gruntów z produkcji rolniczej przetwarzane s dane osobowe w zakresie: 24. W zbiorze danych Ewidencja gruntów wyłczonych z produkcji rolniczej przetwarzane s dane osobowe w zakresie: 25. W zbiorze danych Ewidencja zezwole na posiadanie i hodowl psów rasy chart polski przetwarzane s dane osobowe w zakresie: 26. W zbiorze danych Inwentaryzacja lasów nie stanowicych własnoci Skarbu Pastwa i decyzje okrelajce zadania z zakresu gospodarki lenej przetwarzane s dane osobowe w zakresie: 27. W zbiorze danych Ewidencja wniosków i decyzji zwizanych z zalesieniami gruntów rolnych oraz wypłat ekwiwalentów z tego tytułu przetwarzane s dane osobowe w zakresie: 28. W zbiorze danych Plany urzdzania lasów nie stanowicych własnoci Skarbu Pastwa przetwarzane s dane osobowe w zakresie:
29. W zbiorze danych Ewidencja decyzji na wykonanie rekultywacji przetwarzane s dane osobowe w zakresie: 30. W zbiorze danych Ewidencja decyzji zatwierdzajcych projekty prac geologicznych przetwarzane s dane osobowe w zakresie: 31. W zbiorze danych Ewidencja zawiadomie o przyjciu dokumentacji geologicznej przetwarzane s dane osobowe w zakresie: 32. W zbiorze danych Ewidencja wydanych koncesji na wydobywanie kopalin pospolitych przetwarzane s dane osobowe w zakresie: c) Numer Identyfikacji Podatkowej 33. W zbiorze danych Ewidencja zatwierdze organizacji ruchu na drogach powiatowych i gminnych przetwarzane s dane osobowe w zakresie: c) Numer telefonu 34. W zbiorze danych Rejestr wniosków pozwolenia na budow/rozbiórk przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Seria i numer dowodu osobistego g) Numer telefonu 35. W zbiorze danych Rejestr decyzji o pozwolenie na budow/rozbiórk przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Adres zamieszkania lub pobytu 36. W zbiorze danych Rejestr wszystkich decyzji administracyjnych przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Adres zamieszkania lub pobytu 37. W zbiorze danych Rejestr zgłosze budowy/rozbiórki/wykonania robót budowlanych nie wymagajcych uzyskania pozwolenia na budow przetwarzane s dane osobowe w zakresie:
38. W zbiorze danych Ewidencja decyzji o zwrocie wywłaszczonych nieruchomoci przetwarzane s dane osobowe w zakresie: c) Seria i numer dowodu osobistego 39. W zbiorze danych Ewidencja decyzji o wywłaszczeniu nieruchomoci i ustaleniu odszkodowania przetwarzane s dane osobowe w zakresie: c) Seria i numer dowodu osobistego 40. W zbiorze danych Ewidencja decyzji dotyczcych zajcia pasa drogowego na cele niezwizane z budow, przebudow, remontem, utrzymaniem i ochron dróg przetwarzane s dane osobowe w zakresie: c) Numer telefonu 41. W zbiorze danych Ewidencja decyzji karnych dotyczcych zajcia pasa drogowego przetwarzane s dane osobowe w zakresie: c) Numer telefonu 42. W zbiorze danych Ewidencja zezwole na umieszczenie urzdzenia obcego w pasie drogowym (uzgodnienia) przetwarzane s dane osobowe w zakresie: c) Numer telefonu 43. W zbiorze danych Ewidencja repatriantów przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Seria i numer dowodu osobistego 44. W zbiorze danych Ewidencja decyzji o przekształceniu prawa uytkowania wieczystego w prawo własnoci przetwarzane s dane osobowe w zakresie: c) Numer ewidencyjny PESEL d) Seria i numer dowodu osobistego 45. W zbiorze danych Ewidencja o zwrocie siedliska i działek doywotniego uytkowania przetwarzane s dane osobowe w zakresie: c) Numer ewidencyjny PESEL
46. W zbiorze danych Ewidencja uytkowników wieczystych, dzierawców, uytkowników, najemców, nabywców gruntów Skarbu Pastwa i Powiatu przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Adres zamieszkania lub pobytu d) Numer ewidencyjny PESEL e) Numer Identyfikacji Podatkowej f) Seria i numer dowodu osobistego 47. W zbiorze danych Ewidencja decyzji zezwalajcych na czasowe zajcie nieruchomoci (wywłaszczenie polegajce na ograniczeniu prawa własnoci) przetwarzane s dane osobowe w zakresie: c) Seria i numer dowodu osobistego 48. W zbiorze danych Ewidencja gruntów i budynków przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Adres zamieszkania lub pobytu d) Numer ewidencyjny PESEL 49. W zbiorze danych Ewidencja zaale konsumentów przetwarzane s dane osobowe w zakresie: 50. W zbiorze danych Ewidencja poborowych przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Seria i numer dowodu osobistego h) Stan zdrowia 51. W zbiorze danych Ewidencja postanowie przetwarzane s dane osobowe w zakresie: 52. W zbiorze danych Rejestr wydawanych dzienników budów przetwarzane s dane osobowe w zakresie: 53. W zbiorze danych Ewidencja zawiadcze przetwarzane s dane osobowe w zakresie: 54. W zbiorze danych Ewidencja spraw rónych przetwarzane s dane osobowe w zakresie: c) Numer telefonu
55. W zbiorze danych Rejestr analiz i studium zagospodarowania przestrzennego przetwarzane s dane osobowe w zakresie: 56. W zbiorze danych Rejestr pracowników Starostwa Powiatowego w Pabianicach oraz kierowników powiatowych jednostek organizacyjnych przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Wykształcenie i) Seria i numer dowodu osobistego j) Numer telefonu 57. W zbiorze danych Wykaz osób ubezpieczonych przetwarzane s dane osobowe w zakresie: b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Miejsce pracy i) Zawód j) Wykształcenie k) Seria i numer dowodu osobistego l) Numer telefonu m) Stan zdrowia 58. W zbiorze danych Wykaz pracowników pobierajcych wiadczenia z ZF S przetwarzane s dane osobowe w zakresie: b) Data urodzenia c) Miejsce pracy ROZDZIAŁ VII SPOSÓB PRZEPŁYWU DANYCH POMIDZY POSZCZEGÓLNYMI SYSTEMAMI W Starostwie nie istniej adne relacje pomidzy rónymi systemami informatycznymi. 1 Rozdział VIII ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENONYCH PRZETWARZAJCYCH DANE OSOBOWE 1
Przetwarzanie danych osobowych przy uyciu komputerów przenonych odbywa si moe wyłcznie za wiedz i zgod Administratora Bezpieczestwa Informacji. 2 1. Osoba uytkujca komputer przenony, w którym przetwarzane s dane osobowe, zobowizana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostpem do nich osób nieupowanionych oraz przed zniszczeniem. 2. Osoba uytkujca komputer przenony zawierajcy dane osobowe stosuje rodki ochrony kryptograficznej wobec przetwarzanych danych osobowych. 3 Uytkownik komputera przenonego zobowizany jest do: 1. Transportu komputera w sposób minimalizujcy ryzyko kradziey lub zniszczenia, a w szczególnoci : 1) transportowania komputera w bagau podrcznym, 2) niepozostawiania komputera w samochodzie, przechowalni bagau itp., 3) przenoszenia komputera w torbie przeznaczonej do przeznaczonej do przenoszenia komputerów przenonych. 2. Korzystania z komputera w sposób minimalizujcy ryzyko podejrzenia przetwarzania danych osobowych przez osoby nieupowanione, w szczególnoci zabrania si korzystania z komputera w miejscach publicznych i rodkach transportu publicznego. 3. Niezezwalania osobom nieupowanionym ( w tym równie członkom rodziny i znajomym) do korzystania z komputera przenonego, na którym przetwarzane s dane osobowe. Uytkownik powinien zachowa w tajemnicy wobec domowników identyfikator i hasło, których podanie jest konieczne do rozpoczcia pracy na komputerze przenonym Administratora Danych. 4. Niepodłcznia komputera przenonego do Internetu za wyjtkiem podłcze do sieci informatycznej na stałym stanowisku pracy. 5. Zabezpieczenia komputera przenonego hasłem zgodnie z ogólnymi zasadami zarzdzania hasłami przy dostpie do systemów informatycznych przetwarzajcych dane osobowe oraz przez jego szyfrowanie. 6. Blokowanie komputera przenonego w przypadku, gdy nie jest on wykorzystywany przez pracownika, jak równie stosowania innych mechanizmów zabezpieczajcych, zgodnie z zaleceniami Administratora Bezpieczestwa Informacji. 7. W uzasadnionych przypadkach zabezpieczenia komputera przed kradzie poprzez przypicie go do stołu, biurka itp. 8. Kopiowanie danych osobowych przetwarzanych na komputerze przenonym do systemu informatycznego w celu umoliwienia wykonania kopii zapasowych tych danych. Kopiowanie danych winno odbywa si w zalenoci od czstotliwoci zmian w tych danych, jednake nie rzadziej ni raz na tydzie, z wyłczeniem okresów, gdy komputer przenony nie jest uytkowany. 9. Umoliwienia, poprzez podłczenie komputera przenonego do sieci informatycznej Starostwa, aktualizacji wzorców wirusów w oprogramowaniu antywirusowym. Podłczenie do sieci informatycznej powinno odbywa si przynajmniej raz w tygodniu. Jeeli komputer przenony nie jest uytkowany przez dłuszy czas (ponad jeden tydzie) to rozpoczynajc prac uytkownik jest zobowizany podłczy
komputer przenony do sieci informatycznej Starostwa w celu aktualizacji wzorców wirusów. 4 Uytkownicy komputerów przenonych nie mog, bez zgody Administratora Systemu, instalowa na uytkowanych przez siebie komputerach oprogramowania. 5 1. Administrator Systemu zobowizany jest do podjcia działa w celu zabezpieczenia komputerów przenonych uytkowanych do przetwarzania danych osobowych. 2. W szczególnoci Administrator Systemu winien: 1) dokona konfiguracji oprogramowania na komputerach przenonych w sposób wymuszajcy korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakoci, zgodnie z wymaganiami dla systemu informatycznego przetwarzajcego dane osobowe oraz wymuszajcy okresow zmian haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzajcego dane osobowe, 2) zabezpieczy dane osobowe przetwarzane na komputerach przenonych poprzez zastosowanie oprogramowania szyfrujcego te dane. Dostp do danych jest moliwy wyłcznie po podaniu właciwego hasła. Administrator Systemu przechowuje hasła administracyjne umoliwiajce konfiguracj oprogramowania szyfrujcego oraz awaryjne odszyfrowanie zabezpieczonych informacji. Hasła administracyjne przechowywane s w postaci listy, do której wgld ma Administrator Bezpieczestwa Informacji oraz Starosta Pabianicki lub Sekretarz Powiatu, 3) dokona instalacji i konfiguracji oprogramowania antywirusowego na komputerze przenonym zgodnie z obowizujcymi przepisami w zakresie ochrony antywirusowej w systemach informatycznych przetwarzajcych dane osobowe. Przeprowadza aktualizacj wzorców wirusowych zgodnie z zasadami zarzdzania systemami antywirusowymi, 4) rozway moliwo instalacji oprogramowania pozwalajcego na szyfrowanie informacji przesyłanych przy uyciu sieci teleinformatycznych, o ile istnieje uzasadniona potrzeba zdalnego dostpu i przesyłania danych pomidzy komputerem przenonym a systemem informatycznym przetwarzajcym dane osobowe. W przypadku zastosowania takiego oprogramowania dokona jego konfiguracji w sposób gwarantujcy bezpieczne i efektywne przesyłanie danych, 5) rozway moliwo zdalnego dostpu do systemu informatycznego przetwarzajcego dane osobowe z wykorzystaniem łczy komutowanych, o ile istnieje potrzeba zdalnej wymiany danych, oraz zapewni bezpieczne przesyłanie danych z wykorzystaniem mechanizmów kryptograficznych. 6) w przypadku moliwoci zdalnego dostpu do systemu informatycznego przetwarzajcego dane osobowe okreli uprawnienia uytkownika i zakres danych. 6
1. Administrator Systemu jest odpowiedzialny za okrelenie zakresu danych osobowych, które mog by przetwarzane na komputerach przenonych. 2. W przypadku moliwoci zdalnego dostpu do systemu informatycznego przetwarzajcego dane osobowe Administrator Systemu moe ponadto okreli uprawnienia uytkownika i zakres dostpnych dla niego danych osobowych przy pracy zdalnej. 3. Administrator Systemu moe wprowadzi zasad, i moliwe jest wyłcznie przesyłanie danych do systemu informatycznego w celu zapewnienia moliwoci wykonania kopii zapasowych. 4. Administrator Systemu dystrybuuje opis ogranicze, o którym mowa w ust.3, wród uytkowników komputerów przenonych przetwarzajcych dane osobowe oraz kontroluje przestrzeganie tych zasad. 7 1. Administrator Systemu jest odpowiedzialny za prowadzenie w systemie elektronicznym ewidencji komputerów przenonych wykorzystywanych do przetwarzania danych osobowych. 2. W szczególnoci ewidencja ta obejmuje: 1) typ i numer seryjny komputera, 2) adres IP komputera 3) imi i nazwisko osoby bdcej uytkownikiem komputera, 4) oprogramowanie zainstalowane na komputerze, 5) rodzaj i zakres danych osobowych przetwarzanych na komputerze przenonym. 3. Administrator Systemu w razie potrzeby wskazuje w dokumencie komputera przenonego osobie upowanionej do przetwarzania danych osobowych konieczno i czstotliwo sporzdzania kopii zapasowych danych przetwarzanych na komputerze przenonym oraz okrela zasady: 1) postpowania w razie nieobecnoci w pracy dłuej ni 5 dni. Jeli komputer przenony nie moe by zwrócony przed okresem nieobecnoci, to uytkownik tego komputera powinien niezwłocznie powiadomi o tym Administratora Bezpieczestwa Informacji i uzgodni z nim zwrot komputera przenonego Administratorowi Danych; 2) zwrotu sprztu w razie zakoczenia pracy u Administratora Danych. 4. Ewidencja, o której mowa w ust. 1, jest prowadzona niezalenie od metryk komputerów prowadzonych na podstawie odrbnych przepisów. 8 W razie zagubienia lub kradziey komputera przenonego pracownik zobowizany jest do natychmiastowego powiadomienia Administratora Bezpieczestwa Informacji lub osoby przez niego upowanionej zgodnie z zasadami informowania o naruszeniu ochrony danych osobowych. 9 W sprawach nieuregulowanych w niniejszym rozdziale stosuje si odpowiednio przepisy dotyczce przetwarzania danych osobowych w systemach informatycznych na komputerach stacjonarnych.
ROZDZIAŁ IX STRATEGIA ZABEZPIECZENIE DANYCH OSOBOWYCH (DZIAŁANIA NIEZBDNE DO ZAPEWNIENIA POUFNOCI, INTEGRALNOCI I ROZLICZALNOCI PRZETAWARZANYCH DANYCH OSOBOWYCH) Cele ochrony 1 1. Celem wprowadzonych niniejsz Polityk zabezpiecze i obostrze jest ochrona danych osobowych zawartych w eksploatowanym w sieci Microsoft Windows Network systemie. Okrelone niej sposoby zabezpiecze dotycz: 1) zabezpiecze przed dostpem do danych osób nieupowanionych na etapie eksploatacji systemu tj. wprowadzanie danych, aktualizacji lub usuwania danych, wywietlania lub drukowania zestawie, 2) ochrony danych zarchiwizowanych na nonikach zewntrznych, procedur niszczenia niepotrzebnych wydruków lub noników danych, 3) systemu zabezpiecze przed dostpem osób niepowołanych do pomieszcze, w których s eksploatowane urzdzenia oraz sposobów dostpu do tych pomieszcze pracowników, personelu pomocniczego Starostwa oraz serwisu zewntrznego, 4) monitorowania systemu zabezpiecze, 5) zakresu obowizków pracowników w czci dotyczcej bezpieczestwa danych. 2. Strategia ochrony danych osobowych opiera si na nastpujcych zasadach: 1) fizyczny dostp do pomieszcze, w których eksploatowane s systemy informatyczne blokuj drzwi i systemy alarmowe, 2) podstawowym sposobem zabezpieczenia danych i dostpu do nich jest system definiowania uytkowników, grup uytkowników oraz haseł. S to zabezpieczenia programowe wmontowane w eksploatowane systemy uniemoliwiajce dostp do systemu osobom nieupowanionym, 3) dodatkowym systemem zabezpieczenia jest stosowanie kryptograficznej ochrony danych, jak oferuje system operacyjny, 4) dodatkowe kopie danych zarchiwizowanych na nonikach magnetycznych lub płytach CD s przechowywane w oddzielnym budynku chroni w ten sposób dane na wypadek poaru, klski ywiołowej lub katastrofy. Prowadzona jest cisła ewidencja tych noników, 5) w pomieszczeniach, w których zainstalowany jest serwer i komputery zawierajce bazy danych jest zainstalowany system alarmowy i przeciwpoarowy, 6) zagadnienia zwizane z ochrona danych i obowizki std wynikajce s ujte w zakresach czynnoci pracowników, 7) kady pracownik podpisze stosowne owiadczenie, 8) za cało polityki bezpieczestwa odpowiada Administrator Bezpieczestwa Informacji. 2 Zabezpieczenia 1. Naley chroni dokumenty papierowe zawierajce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemoliwiałoby odczytanie lub odzyskanie informacji w nich zawartych.
2. Dokumenty papierowe zawierajce dane osobowe musz by chronione przed zagroeniami ze strony otoczenia (ogie, wyciek wody itp.). 3. Dokumenty papierowe powinny by fizycznie chronione przed kradzie, zniszczeniem lub niewłaciwym uywaniem. Opuszczajc stanowisko pracy naley sprawdzi czy s one zamknite w odpowiednich szafach czy sejfach. 4. Wszystkie dokumenty papierowe zawierajce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek danych osobowych zawartych na dokumentach papierowych bez zgody Administratora Bezpieczestwa Informacji lub osoby przez niego upowanionej. 6. Kady dokument papierowy zawierajcy dane osobowe przeznaczony do usunicia lub wyniesienia poza siedzib Starostwa, wymaga zgody Administratora Bezpieczestwa Informacji lub upowanionej przez niego osoby. 7. Utrata i kradzie dokumentów papierowych zawierajcych dane osobowe powinna by niezwłocznie zgłoszona Administratorowi Bezpieczestwa Informacji. 8. Kady dokument papierowy zawierajcy dane osobowe, majcy charakter dokumentu roboczego, naley na koniec pracy zniszczy w niszczarce papieru lub schowa w odpowiedniej zamykanej szafie. 3 1. Naley chroni noniki magnetyczne i optyczne zawierajce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemoliwiłoby odczytanie lub odzyskanie informacji w nich zawartych. 2. Noniki magnetyczne i optyczne zawierajce dane osobowe musz by chronione przed zagroeniami ze strony otoczenia (kurz, promieniowanie elektromagnetyczne, ogie, wyciek wody itp.). 3. Noniki magnetyczne i optyczne zawierajce dane osobowe powinny by fizycznie chronione przed kradzie, zniszczeniem lub niewłaciwym uywaniem. Opuszczajc stanowisko pracy naley sprawdzi czy s one zamknite w odpowiednich szafach czy sejfach. 4. Wszystkie noniki magnetyczne i optyczne zawierajce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek zbiorów danych osobowych z noników magnetycznych i optycznych bez zgody Administratora Bezpieczestwa Informacji. 6. Noniki magnetyczne i optyczne zawierajce dane osobowe nie mog by wynoszone poza siedzib Starostwa bez wczeniejszej zgody Administratora Bezpieczestwa Informacji. 7. Dyski magnetyczne i optyczne zawierajce dane osobowe wynoszone poza teren Starostwa (np. dyskietki, czy CD-ROMy i inne) przez osoby upowanione za zgod ABI według okrelonej przez niego procedury. 8. Dyski twarde lub inne noniki magnetyczne i optyczne zawierajce dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia si wczeniej zapisu tych danych. 9. Dyski twarde komputerów przeznaczone do naprawy, pozbawia si przed napraw zapisu danych osobowych albo naprawia si je pod nadzorem osoby upowanionej przez Administratora Bezpieczestwa Informacji. 10. Kady nonik magnetyczny i optyczny przeznaczony do usunicia ze Starostwa musi uzyska odpowiednie pozwolenie Administratora Bezpieczestwa Informacji.
11. Niszczenia zuytych lub uszkodzonych noników magnetycznych i optycznych zawierajcych dane osobowe dokonuje Administrator Bezpieczestwa Informacji według okrelonej procedury. 12. Utrata lub kradzie nonika magnetycznego i optycznego z danymi osobowymi powinna by niezwłocznie zgłoszona do Administratora Bezpieczestwa Informacji. Wprowadza si nastpujce zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym: 1. Na wszystkich stacja roboczych, na których przetwarzane s dane osobowe wprowadza si wysoki poziom zabezpiecze. 2. Pomieszczenia, w których stoi serwer i komputery zawierajce dane osobowe i kartoteki osobowe s zabezpieczone poprzez okna zabezpieczone przez system alarmowy i przeciwpoarowy. 3. Ochron przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane s dane osobowe zapewniaj zasilacze UPS. 4. Uruchomienie stacji roboczych, na których przetwarzane s dane osobowe wymaga podania hasła BIOS-u. 5. Zalogowanie si do systemu wymaga podania nazwy uytkownika i hasła. Kady uytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby logowania s rejestrowane, a po 3 nieudanych próbach logowania nastpuje czasowa blokada konta. Logowanie do systemu moliwe jest tylko w godzinach pracy Starostwa. 6. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnie. 7. Administrator Systemu ma uprawnienia do definiowania identyfikatorów uytkowników i haseł. 8. Wykorzystany jest system szyfrowania danych (dostpny w systemie operacyjnym) uniemoliwiajcy odczyt danych osobom nieupowanionym. 9. W celu ochrony przed dostpem do danych komputera z sieci publicznej wykorzystuje si system zapory ogniowej dostpnej w systemie operacyjnym. 10. Stosuje si aktywn ochron antywirusow w czasie rzeczywistym na kadym komputerze, na którym przetwarzane s dane osobowe. Za aktualizacj bazy wirusów odpowiada upowaniony informatyk Biura Zarzdu Powiatu. 11. Wydruki zawierajce dane osobowe powinny znajdowa si w miejscu, które uniemoliwia dostp osobom postronnym. 12. Kopie zapasowe na nonikach magnetycznych wykonuje Administrator Systemu. Kopie bezpieczestwa przechowywane s w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Lenictwa. Zapasowe kopie bezpieczestwa s przechowywane równie w budynku Powiatowego Orodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach w szafie pancernej. Dostp do noników zawierajcych kopie danych maj tylko uprawnione osoby. 13. Stosuje si nastpujce zabezpieczenia organizacyjne przed dostpem do danych osób niepowołanych: 1) dostp do danych maj wyłcznie pracownicy upowanieni przez Administratora Danych, 2) w pokoju, do którego dostp maj petenci monitory komputerowe ustawione s w ten sposób, by petenci nie widzieli zapisów na ekranie, 4