ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY. z dnia 1 czerwca 2016 r.

(1)

ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY

z dnia 1 czerwca 2016 r.

w sprawie wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędu Gminy Kęty

Na podstawie art. 33 ust. 1 w związku z art. 11a ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2016 r. poz. 446), art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 z późn. zm.), art. 14 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U.

z 2010 r. Nr 182, poz. 1228 z późn. zm.), zarządzam, co następuje:

§ 1.

Wprowadzam w Urzędzie Gminy Kęty System Zarządzania Bezpieczeństwem informacji zawierający:

1) Politykę Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty stanowiącą załącznik nr 1 do zarządzenia,

2) Instrukcję Zarządzania Systemem Informatycznym stanowiącą załącznik nr 2 do zarządzenia,

3) Metodykę szacowania i zarządzania ryzykiem w Urzędzie Gminy Kęty stanowiącą załącznik nr 3 do zarządzenia,

4) Zarządzanie incydentami stanowiący załącznik nr 4 do zarządzenia,

5) Politykę Bezpieczeństwa Teleinformatycznego stanowiącą załącznik nr 5 do zarządzenia, 6) Politykę Bezpieczeństwa Fizycznego stanowiącą załącznik nr 6 do zarządzenia,

7) Politykę Systemu Zarządzania Bezpieczeństwem Informacji stanowiącą załącznik nr 7 do zarządzenia,

8) Plan ciągłości działania na wypadek dysfunkcji systemu informatycznego stanowiący załącznik nr 8 do zarządzenia,

9) Procedury Systemu Zarządzania Bezpieczeństwem Informacji stanowiące załącznik nr 9 do zarządzenia, 10) Procedury zarządzania Systemem Informatycznym stanowiące załącznik nr 10 do zarządzenia,

11) Raporty i wskaźniki stanu bezpieczeństwa aktywów i zasobów informacyjnych stanowiące załącznik nr 11 do zarządzenia,

12) Ustanowienie celów i pomiary ich realizacji stanowiące załącznik nr 12 do zarządzenia.

§ 2.

Wykonanie zarządzenia powierzam Dyrektorom jednostek organizacyjnych Urzędu Gminy Kęty, bądź jednostek organizacyjnych lub innych organizacji mających siedzibę w budynkach Urzędu.

§ 3.

Nadzór nad wykonaniem niniejszego zarządzenia powierzam Sekretarzowi Gminy Kęty.

§ 4.

Tracą moc:

1) Zarządzenie Burmistrza Gminy Kęty nr 171/2012/K z dnia 29 czerwca 2012 r. w sprawie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty.

2) Zarządzenie Burmistrza Gminy Kęty nr 191/2012/K z dnia 16 lipca 2012 r. w sprawie uruchomienia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty.

3) Zarządzenie Burmistrza Gminy Kęty nr 280/2012/K z dnia 17 października 2012 r. w sprawie wprowadzenia instrukcji dotyczacej gospodarki kluczami i ochrony fizycznej w budynkach Urzedzu Gminy Kęty.

(2)

4) Zarządzenie Burmistrza Gminy Kęty nr 228/2012/K z dnia 21 sierpnia 2012 r. w sprawie wprowadzenia Polityki bezpieczeństwa informacji i ochrony danych osobowych w Urzędzie Gminy Kęty oraz Instrukcji zarzadzania systemem informatycznym.

5) Zarządzenie Burmistrza Gminy Kęty nr 194/2013/K z dnia 16 lipca 2013 r. w sprawie rozszerzenia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty.

6) Zarządzenie Burmistrza Gminy Kęty nr 255/2013/K z dnia 19 września 2013 r. o zmianie zarządzenia w sprawie wprowadzenia Polityki bezpieczeństwa informacji i ochrony danych osobowych w Urzędzie Gminy Kęty oraz Instrukcji zarządzania systemem informatycznym.

7) Zarządzenie Burmistrza Gminy Kęty nr 286/2013/K z dnia 18 października 2013 r. w sprawie zmiany zarządzeń w sprawie wdrożenia i uruchomienia Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Kęty.

§ 5.

Zarządzenie wchodzi w życie z dniem wydania.

Burmistrz Gminy Kęty

dr inż. Krzysztof Jan Klęczar

(3)

P00-Polityka Bezpieczeństwa Informacji ODO;wyd. 1 1 z 14

Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych

Urzędu Gminy Kęty

ZATWIERDZENIE DOKUMENTU

Sporządził Sprawdził Zatwierdził

Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych

Nr dokumentu: P00 Data wydania: 01.06.2016 rok Wydanie: 1

Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone.

Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji.

Procedura odpowiada wymogom:

Prawnym  Ustawa z dnia 29.08.1997 o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm),

 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. 100 poz. 1024),

 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U.

2012 poz. 526).

PN/ISO 27001:2014 5.2, A 5.1.1., A5.1.2 Kontroli Zarządczej

(4)

Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych

Urzędu Gminy Kęty czerwiec 2016

(5)

Spis treści

1. Wstęp ... 4

2. Cele Polityki Bezpieczeństwa ... 4

3. Postanowienia ogólne ... 5

4. Podstawowe definicje ... 5

5. Organizacja przetwarzania danych osobowych ... 7

6. Konsekwencje przetwarzania danych osobowych niezgodnego z regulacjami... 13

7. Ewidencje i rejestry wymaganych przez ustawodawcę ... 13

8. Historia dokumentu ... 14

(6)

1. Wstęp

Realizując postanowienia ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.) oraz wydane w oparciu o delegacje ustawą przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. (Dz.U. z 2004 r. nr 100, poz.

1024 z zm.) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informacyjne służące do przetwarzania danych osobowych wprowadza się zestaw reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej pozwalający na zapewnienie ochrony danych osobowych.

Przetwarzanie danych osobowych w Urzędzie Gminy Kęty jest dopuszczalne tylko pod warunkiem przestrzegania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz.

2135 ze zm.) oraz wydanych na jej podstawie przepisów wykonawczych oraz zarządzeń Burmistrza.

Dokumentacja regulująca prawidłowość, zgodność z prawem przetwarzania danych osobowych obowiązuje wszystkich pracowników Urzędu Gminy Kęty.

2. Cele Polityki Bezpieczeństwa

Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi, jak i zewnętrznymi, świadomymi lub nieświadomymi.

Określa zasady postępowania w związku z przetwarzaniem danych osobowych w Urzędzie Gminy Kęty.

Odnosi się zarówno do przetwarzania danych osobowych w formie papierowej (tradycyjnej), jak i w systemach informatycznych.

Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych jest elementem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) opartego o wymogi normy PN-ISO/IEC 27001:2014-12.

Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez samych użytkowników. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

A. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,

B. integralność danych – rozumianą jako właściwość polegającą na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany),

C. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,

D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne.

(7)

3. Postanowienia ogólne

3.1 Dokumentacja przetwarzania danych osobowych obejmuje:

00 - Politykę Bezpieczeństwa Informacji Ochrony Danych Osobowych,

niniejszy dokument regulujący zasady przetwarzania danych osobowych w Urzędzie Gminy Kęty.

01 - Instrukcję Zarządzania Systemem Informatycznym,

dokument opisujący sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.

02 - Analizę ryzyka,

metodologia opisująca sposób szacowania ryzyka w Urzędzie Gminy Kęty wynikająca z obowiązku spoczywającym na Administratorze danych a polegającym na zapewnieniu ochrony danych osobowych odpowiednią do zagrożeń. Dokument wykorzystywany również w innych obszarach objętych SZBI.

03 – Zarządzanie incydentami – niezgodnościami,

zespół procedur opisujących działania jakie należy podejmować w przypadku incydentów bądź niezgodności wynikłych w trakcie przetwarzania danych osobowych. Niniejsze procedury również wykorzystywane są w ramach funkcjonującego SZBI.

3.2 Funkcje związane z realizacją postanowień Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych

Administratorem Danych Osobowych (ADO) przetwarzanych w Urzędzie Gminy Kęty jest Burmistrz.

Asystent Administratora Danych Osobowych (AsADO) - osoba powołana w celu sprawnego nadzorowania prawidłowego przetwarzania danych osobowych w Urzędzie Gminy Kęty.

Administrator Systemów Informatycznych (ASI) - osoba odpowiedzialna za bezpieczeństwo i utrzymanie ciągłości działania sieci teleinformatycznych oraz systemów i oprogramowania używanego w Urzędzie Gminy Kęty.

4. Podstawowe definicje

Ilekroć w dokumencie jest mowa o:

Ustawie – rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.);

Administratorze Danych Osobowych (ADO) – oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty;

Asystent Administratora Danych Osobowych (AsADO) – rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków;

Administratorze Systemów Informatycznych (ASI) – rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych;

Urzędzie – rozumie się Urząd Gminy Kęty;

(8)

danych osobowych – w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;

danych wrażliwych – rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;

zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;

dokumentacji bezpieczeństwa informacji – rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji;

haśle – rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;

identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego;

incydencie bezpieczeństwa – rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową;

przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie;

rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

służbach informatycznych – rozumie się przez to informatyków zatrudnionych w Urzędzie;

systemie informatycznym – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną;

użytkowniku – rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych;

(9)

zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

5. Organizacja przetwarzania danych osobowych

5.1 Administrator Danych Osobowych

Administrator Danych Osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

5.2 Asystent Administratora Danych Osobowych

Do zadań Asystenta Administratora Danych Osobowych należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy;

3) prowadzenie rejestru osób upoważnionych do przetwarzania danych osobowych.

(10)

5.3 W Urzędzie Gminy Kęty dopuszcza się przetwarzanie danych osobowych gdy:

1) jest to niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a wyrażenie zgody jest niemożliwe, można je przetwarzać do czasu, gdy uzyskanie zgody stanie się możliwe;

2) jest to konieczne w realizacji przepisów prawa;

3) wykonywane są zadania dla dobra publicznego, usprawiedliwione celami realizowanymi przez administratorów danych osobowych;

4) osoba, której dotyczą dane wyrazi na to zgodę.

Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby, które posiadają ważne upoważnienie do przetwarzania danych osobowych.

Z wnioskiem o upoważnienie pracownika do przetwarzania danych osobowych występuje jego bezpośredni przełożony. Wzory wniosku oraz upoważnienia określone są w „Instrukcji Zarządzania Systemem Informatycznym”.

5.4 Postępowanie ze zbiorami danych osobowych a) Rejestracja zbiorów danych osobowych

Dyrektorzy wydziałów oraz pracownicy samodzielnych jednostek organizacyjnych Urzędu mają obowiązek poinformować ADO/AsADO o:

 planowanym utworzeniu nowego zbioru danych osobowych;

 zmianie w obrębie zbioru już zgłoszonego;

 zaprzestaniu przetwarzania zbioru danych osobowych.

Asystent Administratora Danych Osobowych wpisuje zbiór do ewidencji oraz dokonuje zgłoszenia zbioru do GIODO, jeśli to konieczne. Gromadzenie danych można rozpocząć po uzyskaniu zgody od AsADO.

b) Gromadzenie danych osobowych

 Pracownicy zatrudnieni przy przetwarzaniu danych osobowych są zobowiązani do przechowywania danych osobowych we właściwych zbiorach.

 Dane osobowe przetwarzane w Urzędzie mogą być uzyskiwane w granicach dozwolonych przepisami prawa.

 Zbierane dane osobowe mogą być wykorzystywane tylko do celów, w jakich są lub

będą przetwarzane.

Po ustaniu celu przetwarzania powinny być one usunięte lub przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą.

(11)

c) Zakaz przetwarzania danych osobowych

W Urzędzie zabrania się przetwarzania danych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, przynależność polityczną lub związkową, stan zdrowia, kod genetyczny, nałogi lub fakty życia seksualnego, chyba że pozwalają na to obowiązujące przepisy prawa lub osoba, której powyższe dane dotyczą, wraziła na to pisemną zgodę.

d) Udzielanie informacji o przetwarzaniu danych osobowych

Osobom, których dane przetwarzane są w zbiorze danych w Urzędzie, przysługuje prawo do kontroli treści ich danych osobowych, a w szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych. Każda osobowa, która wystąpi z wnioskiem o otrzymanie informacji o jej danych, musi ją otrzymać w nieprzekraczalnym terminie 30 dni od daty wpłynięcia wniosku. W przypadku gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, kierujący komórką organizacyjną jest zobowiązana do ich uzupełnienia, uaktualnienia lub sprostowania. O każdym wniosku o udzielenie informacji oraz ewentualnej konieczności sprostowania danych należy powiadomić Asystenta Administratora Danych Osobowych.

e) Zasady udostępniania danych osobowych

Urząd udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymywania na mocy przepisów prawa.

Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie.

Decyzje w sprawie udostępnienia danych podejmuje ADO oraz AsADO.

f) Powierzenie przetwarzania danych osobowych innemu podmiotowi

Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej.

Podmiot, któremu w drodze umowy powierza się przetwarzania danych osobowych, jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych.

g) Obowiązki pracowników przetwarzających dane osobowe

Pracownicy, którzy przetwarzają dane osobowe w systemach informatycznych, zobowiązani są do postępowania zgodnie z „Instrukcją zarządzania systemem informatycznym”.

Pracownicy zatrudnieni przy przetwarzaniu danych osobowych są zobowiązani powiadomić ADO/AsADO o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych, tryb postępowania określa procedura „03 – Zarządzanie incydentami – niezgodnościami”

(12)

h) Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych Pracownik, który:

 przetwarza w zbiorze dane osobowe, do których przetwarzania nie jest upoważniony, których przetwarzanie jest zabronione, niezgodne z celem stworzenia zbioru danych;

 udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym;

 nie zgłasza zmian w zakresie przetwarzanych zbiorów danych osobowych;

 nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach;

 uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw;

 nie stosuje się do dokumentacji opisującej zasady przetwarzania danych osobowych w Urzędzie

podlega odpowiedzialności służbowej oraz karnej zgodnie z przepisami Kodeksu Karnego, Ustawy o Ochronie Danych Osobowych oraz przepisami Kodeksu Pracy.

i) Wprowadzanie zmian do organizacji zabezpieczeń

Wprowadzanie zabezpieczeń mających na celu ochronę danych osobowych musi uwzględniać normy prawne, normy zarządzania bezpieczeństwem informacji oraz pozostałe polityki przyjęte w Urzędzie.

5.5 Organizacyjne i techniczne środki ochrony przetwarzanych danych

a) Ochrona fizyczna pomieszczeń w których są przetwarzane dane osobowe

Dane osobowe przetwarzane są w pomieszczeniach Urzędu Gminy Kęty w następujących budynkach:

Budynek 1 – Kęty ulica Rynek 7, Budynek 2 – Kęty ulica Kilińskiego 1, Budynek 3 – Kęty ulica Sobieskiego 19.

Wszystkie budynki są zabezpieczone systemem alarmowym, dodatkowo budynek przy ulicy Rynek 7 jest zabezpieczony monitoringiem wizualnym.

Pomieszczenia, w których przetwarzane są dane, mają zabezpieczone wejścia za pomocą zamków w sposób uniemożliwiający dostęp do nich osób niepowołanych.

b) Zabezpieczenie zbiorów przetwarzanych tradycyjnie

Zbiory danych przetwarzane tradycyjnie (ręcznie) po godzinach pracy przechowywane winny być w szafkach zamkniętych (zamki, kłódki). Przetwarzanie danych osobowych w pomieszczeniach publicznie dostępnych musi odbywać się w sposób uniemożliwiający osobom niepowołanym podglądnięcie lub ich kradzież.

(13)

c) Zabezpieczenie zbiorów przetwarzanych cyfrowo (w systemach informatycznych)

 Stanowiska komputerowe w pomieszczeniach, gdzie przebywać mogą osoby nieupoważnione do przetwarzania danych - w tym danych osobowych (np. interesanci albo inni pracownicy Urzędu) - winny być umieszczone w sposób, który uniemożliwi takim osobom wgląd do tych danych.

 Każdy użytkownik systemu komputerowego korzysta, w celu dostępu do danych, ze stworzonego według określonych zasad konta, o odpowiednich uprawnieniach dostępu do zasobów tegoż systemu do pełnionych obowiązków.

 Dostęp do konta możliwy jest po podaniu prawidłowej pary – unikalnej nazwy użytkownika i hasła o długości min. 8 znaków i terminie ważności.

 Wymaga się, by w miejscu styku sieci komputerowej urzędowej z siecią publiczną zastosowane były odpowiednie mechanizmy logiczne lub fizyczne, zapewniające separację zasobów informacyjnych Urzędu, uniemożliwiające dostęp osób niepowołanych z zewnątrz do jej zasobów, a także pozwalające na kontrolę przepływających danych.

 W systemie, systemach wykonywane winny być kopie zapasowe a ich nośniki zawierające kopie zapasowe powinny być przechowywane w bezpiecznym miejscu.

d) Hasła do systemów zawierających dane osobowe

Każdy użytkownik, który ma dostęp do systemów informatycznych, posiada unikalną nazwę (login) użytkownika i osobiste hasło.

Użytkownik hasła:

 zobowiązany jest uwierzytelniać się w systemie informatycznym wyłącznie na podstawie własnego loginu i hasła (za wyjątkiem hasła początkowego),

 odpowiedzialny jest za wykorzystywanie swojego loginu i hasła oraz za wszystkie czynności wykonane przy użyciu swojego loginu i hasła,

 w żadnym wypadku nie może ujawniać swojego hasła komukolwiek, włącznie ze służbami informatycznymi, przełożonymi czy współpracownikami.

Hasło użytkownika nie może być:

 przechowywane w formie możliwej do odczytania, tj. zapisane w plikach tekstem jawnym, skryptach i makrach, w pamięci przeglądarek internetowych, zapisane na kartkach i w miejscach, do których mają dostęp osoby nieupoważnione.

Zasady zabezpieczenia, uzyskania hasła oraz sposób postępowania z hasłem opisane są w Instrukcji Zarządzania Systemami Informatycznymi.

e) Wykorzystanie nośników danych w procesie przetwarzania danych osobowych

Nośniki danych używane w procesie przetwarzania danych, które przestają pełnić swoją funkcję zostają fizycznie zniszczone, bądź poddane procesowi „czyszczenia” w sposób uniemożliwiający ich ponowne odczytanie. Za kontrolę procesu usuwania danych odpowiada ASI.

Wykorzystywanie jakichkolwiek prywatnych nośników elektronicznych (np.: pendrive, przenośne dyski twarde, itd.) jest zabronione.

(14)

f) Ochrona przed szkodliwym oprogramowaniem

Na wszystkich komputerach wymagana jest ochrona antywirusowa, która nie może być wyłączona przez użytkownika. Dodatkowo komputer winien być zabezpieczony przed możliwością instalowania i uruchamiania oprogramowania, którego celem jest nieuprawniony dostępu do systemu informatycznego.

Za realizację wymogu odpowiada ASI.

g) Zasady bezpiecznego używania laptopów i przenośnych nośników danych

Laptopy podlegają tym samym regułom ochrony jak komputery stacjonarne, ponadto podlegają dodatkowej ochronie prawnej ze względu na traktowanie ich jako przenośną bazę danych, a szczególnie:

 powinny być zabezpieczone fizycznie podczas użytkowania, transportu oraz przechowywania przed dostępem osób nieuprawnionych i kradzieżą (np. specjalna torba, linki "kensington lock", zabezpieczenie przed kradzieżą, stały nadzór w przestrzeni publicznej),

 w trakcie pracy poza terenem kontrolowanym przez Urząd (np. w pociągu) należy zadbać, aby informacje chronione, zabezpieczone były odpowiednimi narzędziami kryptograficznymi (zgodne z rozporządzeniem MSWiA, Dz. U. 2004 r. nr 100 poz. 1024),

 zabezpieczenie kryptograficzne danych zostało zaakceptowane przez AsADO oraz ASI.

h) Przebywanie na terenie Urzędu

Pracownikom wolno przebywać na terenie Urzędu tylko w wyznaczonych godzinach pracy a po nich jedynie po zawiadomieniu i uzyskaniu zgody bezpośredniego przełożonego. Przebywanie w budynku Urzędu w dni wolne od pracy możliwe jest jedynie po uzyskaniu zgody Burmistrza lub osoby przez niego upoważnionej.

i) Postępowanie w przypadku naruszenia bezpieczeństwa informacji

Wszyscy pracownicy mają obowiązek natychmiastowego zgłaszania zauważonych incydentów oraz zdarzeń potencjalnie niebezpiecznych bezpośredniemu przełożonemu ASI lub AsADO.

Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,

3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np.

niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).

Do typowych incydentów bezpieczeństwa danych osobowych należą:

1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),

2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych),

(15)

3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

Wyżej opisane zagrożenia czy incydenty nie wyczerpują wszystkich możliwych przypadków. W sytuacji gdzie pracownik ma wątpliwości czy zdarzenie należy zakwalifikować jako incydent czy zagrożenie należy skontaktować się z ASI lub AsADO.

6. Konsekwencje przetwarzania danych osobowych niezgodnego z regulacjami

Pracownik, który:

 przetwarza w zbiorze dane osobowe:

 do których przetwarzania nie jest upoważniony

 których przetwarzanie jest zabronione

 niezgodne z celem stworzenia zbioru danych;

 udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym;

 nie zgłasza AsADO zbiorów danych osobowych podlegających rejestracji;

podlega odpowiedzialności karnej zgodnie z ustawą o ochronie danych osobowych oraz przepisami Kodeksu Pracy.

7. Ewidencje i rejestry wymaganych przez ustawodawcę

1) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe w Urzędzie Gminy Kęty stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Aktualizacja wykazu budynków nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem. Udokumentowanie zmiany następuje w tabeli zmian dokumentu.

2) Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych w Urzędzie Gminy Kęty stanowi załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Aktualizacja wykazu zbiorów nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem.

3) Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi został ujęty w załączniku nr 3 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Na załącznik mogą się składać: dokumentacja techniczna producenta, instrukcje obsługi, zrzuty ekranów, dokumentacja własna itp.

Aktualizacja opisu zbiorów nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem.

4) Sposób przepływu danych pomiędzy poszczególnymi systemami ujęty został w załączniku nr 4 do niniejszej Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Na załącznik mogą się składać: dokumentacja techniczna producenta, instrukcje obsługi, zrzuty ekranów, dokumentacja własna itp. Aktualizacja załącznika nie wprowadza zmian do dokumentacji ochrony danych osobowych i nie wymaga ogłoszenia zarządzeniem.

5) Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona na bieżąco i aktualizowana przez AsADO oraz stanowi odrębny dokument.

(16)

6) Ewidencja umów powierzenia przetwarzania danych osobowych zawartych przez Urząd Gminy Kęty, które uwzględniają powierzenie przetwarzania danych osobowych, prowadzona jest przez AsADO. Osoby zawierające w/w umowy mają obowiązek poinformować AsADO o fakcie zawarcia umowy oraz przekazać do niego kserokopię umowy. Umowy przewidujące powierzenie danych powinny być zawierane w oparciu o wypracowane w Urzędzie wzorce, które przewidują odpowiednie zabezpieczenie interesów Urzędu.

8. Historia dokumentu

Data / wydanie Opis zmiany

01.06.2016 / wyd. 1 Utworzenie dokumentu.

(17)

Zał.1 PBIODO; wyd. 1 1 z 2

Załącznik numer 1

do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych

Urzędu Gminy Kęty

Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są danych osobowe.

Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Osobowych

(18)

Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty

Załącznik numer 1

Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są danych osobowe.

Czerwiec 2016

W dyspozycji UG Kęty znajdują się następujące budynki w których są przetwarzane dane osobowe.

1. Budynek zlokalizowany jest w Kętach przy ulicy Rynek 7

W budynku tym dane osobowe są przetwarzane w następujących pomieszczeniach:

Numery pomieszczeń do wglądu w dokumentacji wewnętrznej.

2. Budynek zlokalizowany jest w Kętach przy ulicy Kilińskiego 1

3. Budynek zlokalizowany jest w Kętach przy ulicy Sobieskiego 19

4. Historia dokumentu

01.06.2016/ wyd.1 Utworzenie załącznika,

(19)

Załącznik numer 2

do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych

Urzędu Gminy Kęty

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Osobowych

(20)

Załącznik numer 2

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

czerwiec 2016

Nazwa zbioru danych

osobowych Program/system stosowany do przetwarzania zbioru danych

do wglądu w dokumentacji

wewnętrznej do wglądu w dokumentacji wewnętrznej

1. Historia dokumentu

01.06.2016/ wyd.1 Utworzenie załącznika

(21)

Załącznik numer 3

do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych

Urzędu Gminy Kęty

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

(22)

Załącznik numer 3

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

czerwiec 2016

Spis treści

Spis treści ... 2 1. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 8. Historia dokumentu ... 3

(23)

Załącznik numer 3

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

czerwiec 2016

1. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi - do wglądu w dokumentacji wewnętrznej.

2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

8. Historia dokumentu

(24)

Zał4 PBDO; wyd. 1 1 z 3

Załącznik numer 4

do Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych

Urzędu Gminy Kęty

Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe

(25)

Załącznik numer 4

Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe.

czerwiec 2016

Spis treści

Spis treści ... 2 1. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej... 3 8. Historia dokumentu ... 3

(26)

Załącznik numer 4

Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe.

czerwiec 2016

1. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

Sposób przepływu danych pomiędzy poszczególnymi systemami - do wglądu w dokumentacji wewnętrznej.

2. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

3. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

4. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

5. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

6. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

7. Zbiór danych: nazwa zbioru w dokumentacji wewnętrznej.

8. Historia dokumentu

(27)

DOKUMENT

Systemu Zarządzania Bezpieczeństwem Informacji

Urząd Gminy

Kęty

P01-Instrukcja_Zarządzania_SI, wyd. 1 1 z 15

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

–

PROCEDURY BEZPIECZEŃSTWA INFORMACJI

Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych

Nr dokumentu: P01 Data wydania: 01.06.2016 rok Wydanie: 1

Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone.

Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji.

Procedura odpowiada wymogom:

Prawnym  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r.

sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. 100 poz. 1024)

PN/ISO 27001:2014 A.6.1; A.8.3; A.12.1; A.12.2; A.12.3; A.12.4; A.13.1; A.13.2; A.14.1; A.14.2; A.15.2 Kontroli Zarządczej C.15

(28)

(29)

Spis treści

1. POSTANOWIENIA OGÓLNE ...4 2. POSTĘPOWANIE ZE ZBIORAMI DANYCH OSOBOWYCH ...5 3. PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH ...6 4. STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ...8 5. PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONA DLA UŻYTKOWNIKÓW SYSTEMÓW INFORMATYCZNYCH ...9 6. TWORZENIE KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA ... 10 7. SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH KOPII ZAPASOWYCH ... 11 8. ZABEZPIECZENIE PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO ... 12 9. REALIZACJA WYMOGU UWIERZYTELNIENIA UŻYTKOWNIKA I REJESTRACJI ZDARZEŃ ... 14 10. PRZEGLĄD I KONSERWACJA SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH ... 15 11. HISTORIA DOKUMENTU ... 15

(30)

P01-Instrukcja_Zarządzania_SI, wyd. 1 4 z 15 1. POSTANOWIENIA OGÓLNE

1.1. Podstawa dokumentu

 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz.

2135 ze zm.),

 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.),

 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526),

 PN-ISO/IEC 27001.

1.2. Zakres stosowania Instrukcja zarządzania systemami informatycznymi Urzędu Gminy Kęty, zwana dalej instrukcją, opisuje sposoby nadawania uprawnień i powierzania zasobów użytkownikom, określa sposób pracy w systemie informatycznym, procedury zarządzania oraz czynności mające wpływ na zapewnienie bezpieczeństwa systemu informatycznego Urzędu. Instrukcja obowiązuje wszystkie komórki organizacyjne Urzędu oraz wszystkich pracowników.

Instrukcja obejmuje następujące systemy, programy i aplikacje przetwarzające dane, w tym dane osobowe, ujęte w wykazie prowadzonym przez Asystenta Administratora Danych Osobowych.

Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem.

1.3. Definicje Urząd – Urząd Gminy Kęty,

GIODO – Generalny Inspektor Ochrony Danych Osobowych.

Ustawa – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r.

poz. 2135 ze zm),

Rozporządzenie – Rozporządzenie Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U.

2004r. Nr 100 poz. 1024),

Identyfikator – ciąg znaków w sposób jednoznaczny przypisany danemu użytkownikowi systemu teleinformatycznego, użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał; Identyfikator składa się minimalnie z siedmiu znaków; znaki identyfikatora nie są rozdzielone spacjami ani znakami interpunkcyjnymi; identyfikator nie zawiera polskich liter; Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielany innej osobie.

Użytkownik, użytkownik systemu teleinformatycznego – osoba upoważniona do pracy w systemie informatycznym Urzędu, pracownik Urzędu lub pracownik innego podmiotu, który świadczy usługi związane z działalnością statutową Urzędu Gminy Kęty,

SZBI – System Zarządzania Bezpieczeństwem Informacji – system organizacji bezpieczeństwa informacji Urzędu Gminy Kęty, oparty o wymogi normy PN-ISO/IEC 27001,

ADO – Administrator Danych Osobowych,

AsADO – Asystent Administratora Danych Osobowych, ASI – Administrator Systemu Informatycznego,

Kierujący – osoba kierująca komórką organizacyjną (kierownik, naczelnik, dyrektor) lub samodzielny pracownik.

PBI – Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych – dokument realizujący wymóg art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.),

Sieć lokalna (LAN) – Local Area Network; połączenie systemów informatycznych Urzędu wyłącznie dla własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych.

1.4. Zarządzanie systemami dziedzinowymi

Zarządzanie systemami dziedzinowymi oraz systemem obiegu dokumentów odbywa się w oparciu o szczegółowe instrukcje dostarczane przez producentów oprogramowania.

Administrator Systemów Informatycznych jest odpowiedzialny za przechowywanie aktualnych instrukcji, adekwatnych do stosowanego oprogramowania.

(31)

P01-Instrukcja_Zarządzania_SI, wyd. 1 5 z 15 2. POSTĘPOWANIE ZE ZBIORAMI DANYCH OSOBOWYCH

Cel procedury Celem procedury jest zapewnienie podstawowych reguł dotyczących zarządzania zbiorami informacji zawierającymi dane osobowe. Procedura określa postępowanie przy rejestracji, ewidencji, zmianie zakresu przetwarzania, aktualizowaniu i wyrejestrowaniu zbiorów informacji zawierających dane osobowe. Zawiera również reguły związane z udostępnianiem danych osobowych.

Zakres procedury Niniejsza instrukcja obowiązuje wszystkie komórki organizacyjne UG Kęty.

Podstawa dokumentu  Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2015 r. poz.

2135 ze zm .),

 PN-ISO/IEC 27001:2014-12 – A.8.3 Działanie / odpowiedzialny Opis działania

2.1.

Przystąpienie do przetwarzania danych w nowym zbiorze danych osobowych

Kierujący

Zgłoszenie zbioru danych osobowych do rejestru należy złożyć do AsADO nie później niż 14 dni po rozpoczęciu przetwarzania danych w zbiorze. W przypadku danych wrażliwych (art.

27 ustawy) zgłoszenie należy dokonać przed przystąpieniem do przetwarzania danych.

Zgłoszenia dokonuje Kierujący korzystając z formularzy:

 zal_1___P01 - Wniosek ……….. Zgłoszenie przetwarzanego zbioru danych osobowych

 zal_1A__P01 - Zgłoszenie do rejestru Zbioru Danych Osobowych

2.2.

Zaprzestanie

przetwarzania danych w zarejestrowanym zbiorze DO / Kierujący

Zaprzestanie przetwarzania danych w zarejestrowanym zbiorze danych osobowych należy zgłaszać do AsADO nie później niż 14 dni od momentu wystąpienia przesłanki, na podstawie której zaprzestaje się dane przetwarzać.

Zgłoszenia zaprzestania przetwarzania dokonuje Kierujący formularzu:

 zal_1___P01 - Wniosek ……….. Usunięcie zbioru danych osobowych z rejestru 2.3.

Zgłoszenia do GIODO, ewidencjonowanie zbiorów zawierających dane osobowe / ADO oraz AsADO

Zgłoszenia do GIODO przygotowywane są przez AsADO na podstawie zgłoszeń otrzymanych od Kierujących. Aktualny wykaz zbiorów danych osobowych wraz z systemami prowadzony jest przez AsADO .

2.4.

Powierzenie

przetwarzania danych osobowych / Kierujący Dział prawny, ADO oraz AsADO

Administrator Danych może powierzyć przetwarzanie danych osobie fizycznej lub prawnej będącej pracownikiem lub realizującej zadania na rzecz UG Kęty.

Powierzenie przetwarzania danych osobowych może odbyć się jedynie w oparciu o umowę w formie pisemnej. Umowę przygotowuje dział prawny w oparciu o aktualne wymogi prawa oraz wymogi organizacyjne Urzędu na wniosek Kierującego.

Umowę ze strony Urzędu podpisuje ADO.

Po podpisaniu umowy powierzenia danych osobowych Kierujący w oparciu o wniosek (zal_1___P01) zgłasza AsADO umowę do wpisania do ewidencji umów powierzenia.

AsADO prowadzi ewidencję umów powierzenia danych osobowych (zal__4__P01).

2.5.

Rozwiązanie- umowy powierzenia DO/

/ Kierujący ADO oraz AsADO

Kierujący zgłasza do AsADO fakt ustania podstawy funkcjonowania umowy powierzenia zbioru danych osobowych.

Zgłoszenia dokonuje się na formularzu (zal_1___P01) niezwłocznie po zaistnieniu zdarzenia stanowiącego przesłankę do rozwiązania, wygaszenia umowy powierzenia danych

osobowych .

AsADO usuwa z ewidencji (zal__4__P01) nieobowiązującą umowę powierzenia danych osobowych.

Dokumenty związane  zal_1___P01 - Wniosek o wydanie: sprzętu, zgłoszenie zbioru DO,

 zal_1A__P01 - Zgłoszenie do rejestru Zbioru Danych Osobowych,

 zal_4___P01- Ewidencja umów powierzenia danych osobowych

(32)

P01-Instrukcja_Zarządzania_SI, wyd. 1 6 z 15 3. PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH

Zakres procedury  Zarządzanie uprawnieniami do przetwarzania danych, w tym danych osobowych,

 Rejestrowania uprawnień w systemach informatycznych,

 Nadawanie uprawnień i dostępu do zasobów należących do Urzędu,

 Wskazanie osoby odpowiedzialnej za te czynności

 Przegląd uprawnień i zasobów

Podstawa dokumentu  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., Dz. U. z 2004 r. Nr 100, poz. 1024, § 5 ust. 1 rozporządzenia)

 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526,§ 20 ust. 2, pkt 4 i 5 rozporządzenia),

 PN-ISO/IEC 27001 : A.9.2.

Działanie / odpowiedzialny Opis działania 3.1.

Złożenie wniosku o nadanie uprawnień / Kierujący

lub koordynator zadania

Kierujący lub koordynator zadania, na rzecz którego będą wykonywane czynności związane z przetwarzaniem danych – w tym danych osobowych składa do AsADO:

Wniosek (zal_1_P01) o wydanie upoważnienia do przetwarzania danych osobowych i dostępu do systemu informatycznego UG Kęty. Wniosek ten musi zawierać:

 imię, nazwisko i osoby, której upoważnienie zostanie nadane,

 zakres upoważnienia do przetwarzania danych osobowych,

 nazwę systemów informatycznych, do których upoważniony ma mieć dostęp;

 datę, z jaką upoważnienie ma być nadane,

 okres obowiązywania upoważnienia.

Ponadto wniosek (zal_1_P01) wskazuje jaki poziom dostępu powinien mieć upoważniony:

 do pomieszczeń urzędu,

 do systemów i zasobów teleinformatycznych,

 do wyposażenia technicznego (np.: tel. komórkowy, laptop, tablet, pendrive, internet mobilny, aparat fotograficzny).

Wniosek powinien być przygotowany w porozumieniu z ASI, który nadaje identyfikatory użytkownika w systemach i odpowiednie uprawnienia, wskazane przez kierującego lub koordynatora zadania.

Osoba, która ma zostać dopuszczona do przetwarzania danych musi zostać zapoznana z wymogami ustawy o ochronie danych osobowych Polityką Bezpieczeństwa Informacji.

Po zrealizowaniu wniosku (wydanie upoważnień, nadanie uprawnień itp.) co jest potwierdzone podpisami ze strony AsADO oraz ASI wniosek pełni funkcję karty zasobów, uprawnień.

Dopuszcza się możliwość wydania kopii zrealizowanego wniosku osobie upoważnianej.

3.2.

Przygotowanie upoważnienia / AsADO oraz ADO

Na podstawie wniosku AsADO przygotowuje upoważnienie do przetwarzania danych osobowych i dostępu do systemu informatycznego UG Kęty (zal_2__P01), które musi zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania upoważnienia do przetwarzania danych osobowych, 3) datę ustania upoważnienia do przetwarzania danych osobowych, 4) zakres przetwarzania danych osobowych,

5) identyfikatory nadane w systemach,

Upoważnienie do przetwarzania danych osobowych sporządzane jest co najmniej w dwóch egzemplarzach po jednym dla każdej ze stron i zostaje podpisane przez ADO oraz

upoważnionego, następnie wpisane do ewidencji upoważnień (zal__3___P01).

(dopuszczone jest wykonanie kopii, skanów do celów prowadzenia dokumentacji ochrony danych osobowych).

Razem z upoważnieniem do przetwarzania danych osobowych podpisywane jest przez upoważnianego pracownika oświadczenie (zal_2A_P01), zachowaniu tajemnicy, poufności znajomości polityk i innych warunkach związanych z bezpieczeństwem informacji.

(dopuszczone jest wykonanie kopii, skanów do celów prowadzenia dokumentacji ochrony danych osobowych).

(33)

P01-Instrukcja_Zarządzania_SI, wyd. 1 7 z 15 3.3.

Realizacja dostępu do zasobów oraz uprawnień / ASI

Na podstawie zrealizowanego wniosku (zal_1_P01) ASI przekazuje upoważnionemu dostęp do wskazanych zasobów.

Upoważniony ma obowiązek potwierdzić przyznanie zasobów w określonym na wniosku zakresie poprzez złożenie podpisu na wniosku.

Upoważniony potwierdza odbiór sprzętu komputerowego zgodnie ze specyfikacją zawartą w karcie stanowiska (zal_5_P01). Za prawidłowość wypełnienia karty stanowiska odpowiada ASI.

3.4.

Zmiana uprawnień AsADO oraz ASI

W przypadku zmiany poziomu uprawnień i/lub powierzonych zasobów należy realizować w oparciu o wniosek (zal_1_P01).

Wniosek musi zawierać informacje o komplecie upoważnień i uprawnień niezbędnych do prawidłowego funkcjonowania danego pracownika.

ASI w oparciu o przedstawiony wniosek dostosowuje dostęp do zasobów, systemów i aplikacji dla wskazanego użytkownika – postępuje zgodnie z punktem 3.3.

AsADO w oparciu o przedstawiony wniosek przygotowuje nowe upoważnienie do przetwarzania zbiorów danych osobowych – postępuje zgodnie z punktem 3.2.

Zaktualizować ewidencję upoważnień do przetwarzania zbiorów DO (zal__3___P01).

Jeżeli pracownik ma podpisany załącznik (zal_2A_P01), to jest on nadal aktualny.

3.5.

Odebranie uprawnień / Kadry,

Kierujący lub Koordynator zadania AsADO oraz ASI

Zgłoszenie, wniosek do AsADO oraz ASI dokonuje:

1) Dział Kadr w formie pisemnej w sytuacji rozwiązania stosunku pracy lub rozwiązaniem umowy między upoważnionym a Urzędem,

2) Kierujący lub koordynator zadania, na rzecz którego były wykonywane czynności związane z przetwarzaniem danych zgłasza fakt zakończenia umowy.

Zgłoszenie, wniosek (zal_1_P01) powinno uwzględniać przyczynę ustania uprawnień.

AsADO w oparciu o zgłoszenie, wniosek unieważnia upoważnienie do przetwarzania danych osobowych oraz aktualizuje ewidencję do przetwarzania zbiorów danych osobowych.

ASI w oparciu o zgłoszenie, wniosek wyrejestrowuje użytkownika z systemów, likwiduje dostęp do zasobów (w oparciu aktualną kartę zasobów – zrealizowany wniosek o nadanie uprawnień). Odbiera od wyrejestrowanego pracownika sprzęt komputerowy zgodnie z kartą stanowiskową oraz jeżeli istnieje listą wydanych aktywów.

3.6.

Przegląd uprawnień / Kierujący, AsADO lub Audytor wewnętrzny

Przegląd uprawnień i zasobów odbywa się w ramach audytu wewnętrznego SZBI lub w oparciu o plan przeglądów uprawnień.

W uzasadnionych przypadkach niezgodność w zakresie uprawnień i zasobów może stanowić incydent bezpieczeństwa informacji.

Dokumenty związane  zal_1___P01 – Wniosek o upoważnienie do przetwarzania danych osobowych

 zal_2___P01 – Upoważnienie imienne uprawniające do przetwarzania DO,

 zal_2A__P01 - Oświadczenie o zachowaniu tajemnicy

 zal_3___P01 - Ewidencja upoważnionych do przetwarzania DO

 zal_5___P01 – Karta stanowiska