Załącznik nr 1 do Zarządzenia nr 171/2006 Burmistrza Gminy RóŜan z dnia 19 października 2006r. POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY W RÓśANIE Rozdział I Postanowienia ogólne Niniejsza Polityka Bezpieczeństwa Przetwarzania Danych Osobowych Urzędu Gminy w RóŜanie określa w szczególności: 1) wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych; 3) opis struktury zbiorów; 4) środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Definicje Ilekroć w niniejszym dokumencie jest mowa o: 1) Urzędzie naleŝy przez to rozumieć Urząd Gminy w RóŜanie. 2) Administratorze danych naleŝy przez to rozumieć Burmistrza Gminy RóŜan. 3) Administratorze Bezpieczeństwa Informacji naleŝy przez to rozumieć pracownika urzędu lub inną osobę wyznaczoną do nadzorowania, przestrzegania zasad ochrony danych osobowych ustanowionego zgodnie z Polityką Bezpieczeństwa Przetwarzania Danych Osobowych urzędu. 4) Administratorze Systemu Informatycznego naleŝy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony. 5) UŜytkowniku systemu naleŝy przez to rozumieć osobę upowaŝnioną do przetwarzania danych osobowych w systemie informatycznym. UŜytkownikiem moŝe być pracownik urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staŝ w Urzędzie. 6) Osobie trzeciej rozumie się przez to kaŝdą osobę nieupowaŝnioną i przez to nieuprawnioną do dostępu do danych osobowych zbiorów będących w posiadaniu Administratora Danych 1
Osobowych. Osobą trzecią jest równieŝ osoba posiadająca upowaŝnienie podejmująca czynności w zakresie przekraczającym ramy jego upowaŝnienia. 7) Przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. 8) Systemie informatycznym rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Celem dokonania zgłoszenia rejestracji, zmiany informacji bądź wykreślenia zbioru danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych, osoba przetwarzająca zbiór danych osobowych sporządza odpowiedni wniosek w 3 egzemplarzach, z których: 1) oryginał przesyła do Generalnego Inspektora Ochrony Danych Osobowych; 2) 1 egzemplarz kopii pozostaje w aktach komórki, 3) 1 egzemplarz kopii przekazuje Administratorowi Bezpieczeństwa Informacji do zbiorczej ewidencji zgłoszeń zbiorów do Generalnego Inspektora Ochrony Danych Osobowych. Rozdział II Zabezpieczenie pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe 1. Budynek Urzędu Gminy, w którym przetwarzane są dane osobowe w systemach informatycznym i tradycyjnym usytuowany jest w RóŜanie przy Placu Obrońców RóŜana 4. 2. Wzór wykazu pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe stanowi załącznik nr 1 do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie. 3. Budynek Urzędu, w którym znajduje się obszar przetwarzania danych osobowych zamykany jest przez sprzątaczki. W wejściu od Placu Obrońców RóŜana zamontowane są drzwi antywłamaniowe zamykane na dwa zamki patentowe, drugie drzwi wejściowe zamykane są równieŝ na dwa zamki patentowe, natomiast w wejściu od ulicy Lwowskiej zamontowana jest krata, która jest zamykana po godzinach pracy Urzędu, równieŝ w oknach na parterze budynku zamontowane są kraty. 4.Część pomieszczeń tworzących obszar przetwarzania danych osobowych zabezpieczona jest drzwiami antywłamaniowymi. 5. Pomieszczenia tworzące obszar przetwarzania danych osobowych muszą być zamykane na klucz. 6.Kopie zapasowe i wymienne nośniki danych przechowywane są w szafach metalowych. 7.Zbiory danych przetwarzane w postaci tradycyjnej przechowywane są w szafach 2
metalowych zamykanych na klucz. Rozdział III Wykaz zbiorów danych osobowych 1. W skład zbiorów danych wchodzą: 1)dokumentacja kartotekowa; 2)urządzenia i oprogramowanie komputerowe słuŝące do przetwarzania danych osobowych. 2. Wzór wykazu zbiorów danych osobowych stanowi załącznik nr 2 do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie. Rozdział IV Opis struktury zbiorów Struktury zbiorów danych osobowych oraz powiązań między zbiorami jak równieŝ sposób przepływu danych pomiędzy poszczególnymi systemami stanowi załącznik nr 3 do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie. Rozdział V Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Środki ochrony fizycznej: 1) Budynek Urzędu, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest zamykany po zakończeniu pracy. Wejścia do budynku są monitorowane przez zainstalowany system kamer. 2) Urządzenia słuŝące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami. 3) Przebywanie osób trzecich w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności przełoŝonego. 4) Pomieszczenia, o których mowa wyŝej, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemoŝliwiający dostęp do nich osób trzecich. 5) W przypadku przebywania osób postronnych w pomieszczeniach, o których mowa wyŝej, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, aby uniemoŝliwić tym osobom wgląd w dane. 2. Środki sprzętowe, informatyczne i telekomunikacyjne: 3
1) KaŜdy dokument papierowy przeznaczony do wyrzucenia powinien być uprzednio zniszczony w sposób uniemoŝliwiający jego odczytanie, naleŝy uŝywać niszczarek. 2) Urządzenia wchodzące w skład systemu informatycznego na wypadek zaniku napięcia albo awarii podłączone są do zasilacza UPS. 3) Sieć lokalna podłączona jest do sieci publicznej za pomocą odrębnego urządzenia spełniającego funkcję Firewall'a (zapory ogniowej). 4) Kopie zapasowe wykonywane są na dyskietkach, płytach CD-R 3. Środki ochrony w ramach oprogramowania systemu: 1) Dostęp fizyczny do baz danych osobowych zastrzeŝony jest wyłącznie dla osób zajmujących się obsługa informatyczną Urzędu. 2) Konfiguracja systemu umoŝliwia uŝytkownikom końcowym dostęp do danych osobowych jedynie za pośrednictwem aplikacji. 3) System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu. 4. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych: 1) Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji. 2) Zdefiniowano uŝytkowników i ich prawa dostępu do danych osobowych na poziomie aplikacji. 5. Środki ochrony w ramach systemu uŝytkowego: 1) Zastosowano wygaszanie ekranu w przypadku dłuŝszej nieaktywności uŝytkownika. 2) Komputer, z którego moŝliwy jest dostęp do danych osobowych zabezpieczony jest hasłem. 6. Środki organizacyjne: 1. Wyznaczono pracownika do wykonywania obowiązków Administratora Bezpieczeństwa Informacji, który między innymi przyznaje uprawnienia w zakresie dostępu do systemu informatycznego pracownikowi zatrudnionemu na stanowisku Podinspektora ds. administracji sieci komputerowej i promocji Gminy. 2. Osoby upowaŝnione do przetwarzania danych osobowych są przed dopuszczeniem ich do pracy z tymi danymi szkolone w zakresie obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagroŝeniach związanych z przetwarzaniem danych w systemie informatycznym, a takŝe o odpowiedzialności karnej w przypadku ujawnienia pozyskanych danych i sposobu ich zabezpieczenia. 3. Korespondencja do mieszkańców RóŜana doręczana jest przez gońca zatrudnionego w Urzędzie Gminy w RóŜanie, natomiast dla adresatów spoza RóŜana doręczana jest za pośrednictwem poczty. 4
4. Kierownik Referatu Finansów oraz Sekretarz Gminy zobowiązani są do: 1) sprawowania nadzoru nad pracą podległych pracowników zakresie wykonywania czynności słuŝbowych, w sposób zapewniający naleŝytą ochronę danych osobowych, 2) opracowania zakresów czynności z uwzględnieniem przestrzegania przepisów o ochronie danych osobowych, dla kaŝdej osoby zatrudnionej przy przetwarzaniu danych osobowych, 3) zawiadomienia Administratora Bezpieczeństwa Informacji o konieczności utworzenia nowego zbioru danych osobowych wymagającego rejestracji w GIODO. 5. Prowadzona jest ewidencja osób upowaŝnionych do przetwarzania danych osobowych, ewidencję prowadzi Administrator Bezpieczeństwa Informacji. 6. Wprowadzono Instrukcję Zarządzania Systemem Informatycznym. 7. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. 8. Wprowadzono obowiązek rejestracji wszystkich przypadków awarii systemu, działań konserwacyjnych w systemie oraz naprawy systemu. 9. Określono sposób postępowania z nośnikami informacji. Rozdział VI Znajomość Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowiązani są wszyscy pracownicy Urzędu upowaŝnieni do przetwarzania danych osobowych w systemie informatycznym. 5
wzór Załącznik nr 1 do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie Wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Dane osobowe przetwarzane są w budynku Urzędu przy ul. Pl. Obrońców RóŜana 4 Lp. 1. 2. nr pomieszczeń, w których przetwarzane są dane osobowe 6
Załącznik nr 2 do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie wzór Wykaz zbiorów danych osobowych Lp. Stanowiska pracy na których przetwarzane są dane osobowe Nazwa zbioru Rodzaj zbioru 1. 2. 3. 7
Załącznik nr 3 do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w RóŜanie STRUKTURY ZBIORÓW DANYCH OSOBOWYCH ORAZ POWIĄZANIA MIĘDZY ZBIORAMI JAK RÓWNIEś SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI Opis struktury zbiorów danych oraz sposób przepływu danych znajduje się w dokumentacji technicznej eksploatowanych systemów. Dokumentacja załączona jest w formie papierowej lub elektronicznej. 1. Płatnik 2. Płace 3. Podatki 4. USC 5. Meldunki 8