ZARZĄDZENIE Nr 105/2016 BURMISTRZA KARCZEWA z dnia 12 sierpnia 2016 r. w sprawie zmiany Zarządzenia Nr 121/2012 Burmistrza Karczewa z dnia 31 sierpnia 2012 r. Na podstawie art. 30 ust.1 i art. 33 ust.3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2016 r. poz. 446) art. 36a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. Nr 922) oraz Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. (Dz. U. z 2015 r. poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji, zarządza się co następuje: 1. W Zarządzeniu Burmistrza Karczewa Nr 121/2012 z dnia 31 sierpnia 2012 r. zmienionym Zarządzeniem Nr 39/2015 r. Burmistrza Karczewa z dnia 20 marca 2015 oraz Zarządzeniem Nr 46/2015 z dnia 10 kwietnia 2015 r. zmienia się Załącznik nr 1 Polityka Bezpieczeństwa w ten sposób, że w Części II Zasady przetwarzania i ochrony danych osobowych wprowadza się nowy 17 o następującym brzmieniu: 1) Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w Urzędzie Miejskim w Karczewie sprawuje Administrator Bezpieczeństwa Informacji oraz Administrator Systemów Informatycznych - w odniesieniu do danych osobowych przetwarzanych w systemach informatycznych służących do przetwarzania danych osobowych. 2) Czynności kontrolne przeprowadzane są raz w roku. Z czynności kontrolnych sporządzany jest protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynności. 3) Protokół podpisywany jest przez osoby wykonujące czynności kontrolne. Dołącza się go do dokumentacji przechowywanej u Administratora Bezpieczeństwa Informacji. 2. Ustala się Wzór planu sprawdzeń zbiorów zawierających dane osobowe, który stanowi Załącznik nr 1 do niniejszego Zarządzenia. 3. Ustala się Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w Urzędzie Miejskim w Karczewie, który stanowi Załącznik nr 2 do niniejszego Zarządzenia. 4. Wykonanie Zarządzenia powierza się Administratorowi Bezpieczeństwa Informacji. 5. Zarządzenie wchodzi w życie z dniem podpisania. Burmistrz Karczewa inż. Władysław Dariusz Łokietek
Załącznik Nr 1 do Zarządzenia Nr 105/2016 Burmistrza Karczewa z dnia 12 sierpnia 2016 r. ZATWIERDZAM:. Plan Sprawdzeń zbiorów zawierających dane osobowe w Urzędzie Miejskim w Karczewie w okresie od.. r / zgodnie z 3 Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015r w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji/ Lp. Przedmiot sprawdzenia Zakres sprawdzenia Termin przeprowadze nia sprawdzenia Sposób i zakres ich dokumentowania Zespół sprawdzający Data sporządzenia sprawozdania ze sprawdzenia dla ADO 1. Realizacja procedur wdrożonych przez ADO w zakresie ochrony danych osobowych Ustawienie sprzętu komputerowego w pomieszczeniach czy uniemożliwia dostęp do ekranu monitorów osobom postronnym Polityka czystego biurka 30 dni od zakończenia sprawdzenia str. 1
2. Funkcjonowanie zastosowanych zabezpieczeń fizycznych oraz funkcjonowanie systemów zabezpieczeń Systemowych Polityka kluczy Sprawdzenie czy osoby dopuszczone do przetwarzania danych osobowych otrzymały pisemne upoważnienia Ustalenie, czy osoby które nie powinny mieć już prawa dostępu do danych osobowych (np. byli pracownicy) korzystają z danych osobowych Ewidencja wydanych upoważnień oraz jej zgodność z wydanymi upoważnieniami Spełnienie wymogów z poziomu ochrony systemów informatycznych służących do przetwarzania danych osobowych przed osobami trzecimi. Sprawdzenie mechanizmów automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. Sprawdzenie czy zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. Sprawdzenie czy zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi str. 2
3. 4. Prawidłowość funkcjonowania mechanizmów kontroli dostępu do zbiorów danych Inwentaryzacji dokumentacji opisującej sposób przetwarzania danych osobowych (niewzmacnianymi, nie przeciwpożarowymi). Przestrzeganie zasady rozpoczęcia i zakończenia pracy w systemie. Zabezpieczenie systemowe i fizyczne sprzętu komputerowego. Tworzenie kopii zapasowych. Odnotowywanie przez systemy służące do przetwarzania danych osobowych czynności wykonywane na danych osobowych przez użytkowników Dostęp pracowników do zbiorów danych oraz zakres dostępu pracowników i weryfikacja wydanych upoważnień (w tym byłych pracowników oraz odwołanie upoważnień). Zasady nadawania/zmieniania/odbierania uprawnień do systemów informatycznych. Stosowanie identyfikatorów i haseł dla użytkowników zgodnie z wymogami formalnymi. Zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji str. 3
5. Inwentaryzacja zbioru danych osobowych ( należy wskazać zbiór podlegający sprawdzeniu) przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy) Sprawdzamy, czy wszystkie dane są przetwarzane legalnie, czyli czy został spełniony jeden z warunków postawionych w art. 23. ust.1 ustawy Sprawdzamy, czy instytucja wypełnia należycie obowiązek informacyjny wynikający z art. 24 ustawy Burmistrz Karczewa inż. Władysław Dariusz Łokietek str. 4
str. 5
Załącznik Nr 2 do Zarządzenia Nr 105/2016 Burmistrza Karczewa z dnia 12 sierpnia 2016 r. Sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w Urzędzie Miejskim w Karczewie 1) Oznaczenie Administratora Danych i adres jego siedziby 2) Imię i nazwisko Administratora Bezpieczeństwa Informacji: 3) Wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia: 4) Data rozpoczęcia i zakończenia sprawdzenia: Rozpoczęcie sprawdzenia. Zakończenie sprawdzenia.. 5) Określenie przedmiotu i zakresu sprawdzenia: a) b)... c)... d)... e)...
f)... 6) Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych: 8) Wyszczególnienie załączników stanowiących składową część sprawozdania: Karczew,..r. Data, miejsce i podpis administratora bezpieczeństwa informacji Karczew,. Burmistrz Karczewa inż. Władysław Dariusz Łokietek