Załącznik nr 1 do zarządzenia Wójta Gminy Podegrodzie Nr 530/2013 z dnia 27 maja 2013 r



Pobieranie 277.91 Kb.
Strona1/4
Data08.05.2016
Rozmiar277.91 Kb.
  1   2   3   4

Załącznik nr 1 do zarządzenia Wójta Gminy Podegrodzie Nr 530/2013 z dnia 27 maja 2013 r.


w sprawie ochrony danych osobowych w Urzędzie Gminy Podegrodzie.

Polityka bezpieczeństwa

1.Wstęp


Wójt Gminy Podegrodzie jako administrator danych osobowych, świadomy wagi zagrożeń prywatności, w tym zwłaszcza zagrożeń danych osobowych przetwarzanych w związku z wykonywaniem zadań administratora danych, deklaruje podejmowanie wszelkich możliwych działań koniecznych do zapobiegania zagrożeniom, m. in. takim jak:

  1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, kradzież, włamanie, działania terrorystyczne, niepożądana ingerencja ekipy remontowej;

  2. niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych (nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne);

  3. awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne naruszenia ochrony danych, niewłaściwe działanie serwisantów, w tym pozostawienie serwisantów bez nadzoru, a także przyzwolenie na naprawę sprzętu zawierającego dane poza siedzibą administratora danych;

  4. podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych, np. praca osoby, która nie jest upoważniona do przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby upoważnione;

  5. celowe lub przypadkowe rozproszenie danych w internecie z ominięciem zabezpieczeń systemu lub wykorzystaniem błędów systemu informatycznego administratora danych;

  6. ataki z internetu;

  7. naruszenia zasad i procedur określonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upoważnione do przetwarzania danych osobowych, związane z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza:

  • niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wyłączenie komputera, niezablokowanie wyświetlenia treści pracy na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy, pozostawienie po zakończeniu pracy nieschowanych do zamykanych na klucz szaf dokumentów zawierających dane osobowe, niezamknięcie na klucz pokoju po jego opuszczeniu, nieoddanie klucza do sekretariatu),

  • naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie,

  • ujawnienie osobom nieupoważnionym procedur ochrony danych stosowanych u administratora danych,

  • ujawnienie osobom nieupoważnionym danych przetwarzanych przez administratora danych, w tym również nieumyślne ujawnienie danych osobom postronnym, przebywającym bez nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach administratora danych,

  • niewykonywanie stosownych kopii zapasowych,

  • przetwarzanie danych osobowych w celach prywatnych,

  • wprowadzanie zmian do systemu informatycznego administratora danych i instalowanie programów bez zgody administratora systemu.


2.Postanowienia ogólne


  1. Definicje

Ilekroć w polityce bezpieczeństwa jest mowa o:

  1. administratorze bezpieczeństwa informacji – rozumie się przez to osobę, której administrator danych powierzył pełnienie obowiązków administratora bezpieczeństwa informacji,

  2. administratorze danych – rozumie się przez to Wójta Gminy Podegrodzie jako organ wykonawczy Gminy Podegrodzie,

  3. administratorze systemu – rozumie się przez to wskazanego przez Wójta pracownika Urzędu Gminy Podegrodzie zatrudnionego na stanowisku właściwym ds. informatyki lub na innym stanowisku związanym z przetwarzaniem danych osobowych.

  4. haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi,

  5. identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,

  6. integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

  7. odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

  • osoby, której dane dotyczą,

  • osoby upoważnionej do przetwarzania danych,

  • przedstawiciela, o którym mowa w art. 31a ustawy,

  • podmiotu, o którym mowa w art. 31 ustawy,

  • organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,

  1. osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która upoważniona została do przetwarzania danych osobowych przez Wójta Gminy Podegrodzie jako administratora danych,

  2. poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,

  3. przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy,

  4. raporcie – rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych,

  5. rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,

  6. rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024),

  7. publicznej sieci telekomunikacyjnej – rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. 2004r. nr 171, poz. 1800 z późn. zm.),

  8. sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 35 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. 2004r. Nr 171, poz. 1800 z późn. zm),

  9. serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego,

  10. systemie informatycznym administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych,

  11. teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,

  12. ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

  13. uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,

  14. użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło.

  1. Cel

Wdrożenie polityki bezpieczeństwa w Urzędzie Gminy Podegrodzie ma na celu zabezpieczenie przetwarzanych przez Urząd danych osobowych, w tym danych przetwarzanych w systemie informatycznym administratora danych i poza nim, poprzez wykonanie obowiązków wynikających z ustawy i rozporządzenia.

Niniejszy dokument opisuje niezbędny do uzyskania bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych oraz ich zabezpieczenia. Zastrzega się, iż w przypadku wystąpienia konieczności połączenia z publiczną siecią telekomunikacyjną przynajmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych, w przedmiotowym systemie wprowadza się wysoki poziom bezpieczeństwa danych w rozumieniu § 6 pkt 3 rozporządzenia. W przypadku wystąpienia kilku niezależnych systemów informatycznych służących do przetwarzania danych osobowych dopuszcza się stosowanie odpowiednio właściwego dla danego systemu poziomu bezpieczeństwa.



  1. Zakres stosowania

  1. Niniejsza polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, rejestrach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych.

  2. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych, jak i innych, np. wolontariuszy, praktykantów.

3.Organizacja przetwarzania danych osobowych


  1. Administrator danych osobowych

Administrator danych osobowych realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

  1. podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia danych osobowych,

  2. upoważnia poszczególnych pracowników Urzędu do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi ich obowiązków zgodnie z postanowieniami Regulaminu Organizacyjnego Urzędu Gminy Podegrodzie,

  3. wyznacza administratora bezpieczeństwa informacji oraz określa zakres jego zadań i czynności,

  4. wyznacza pracownika Urzędu zatrudnionego na stanowisku właściwym ds. kadrowych jako właściwego do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych oraz pozostałej dokumentacji z zakresu ochrony danych, o ile jako właściwy do jej prowadzenia nie zostanie wskazany w niniejszym dokumencie inny pracownik,

  5. zapewnia (we współpracy z administratorem systemu oraz administratorem bezpieczeństwa informacji) użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych,

  6. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych.

  1. Administrator bezpieczeństwa informacji

Administrator bezpieczeństwa informacji realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza:

  1. sprawuje nadzór nad wdrożeniem stosownych środków fizycznych, a także organizacyjnych i technicznych – w celu zapewnienia bezpieczeństwa danych,

  2. sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad prowadzeniem ewidencji z zakresu ochrony danych osobowych,

  3. koordynuje wewnętrzne audyty przestrzegania przepisów o ochronie danych osobowych,

  4. nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom,

  5. przygotowuje wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inną korespondencję z Generalnym Inspektorem Ochrony Danych Osobowych, na zasadach uzgodnionych z Wójtem Gminy Podegrodzie a w przypadku jego nieobecności z Sekretarzem Gminy Podegrodzie.

  6. zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczących ochrony danych osobowych, przygotowywane przez komórki organizacyjne administratora danych,

  7. nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych osobowych przez pracownika Urzędu zatrudnionego na stanowisku właściwym ds. kadrowych,

  8. prowadzi oraz aktualizuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz odpowiada za przedstawienie administratorowi danych osobowych projektu nowelizacji polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, w przypadku wystąpienia takiej konieczności,

  9. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia danych osobowych zawartych w danym systemie informatycznym,

  10. przygotowuje wyciągi z polityki bezpieczeństwa, dostosowane do zakresów obowiązków osób upoważnianych do przetwarzania danych osobowych,

  11. przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia osób upoważnianych do przetwarzania danych osobowych,

  12. w porozumieniu z administratorem danych osobowych oraz z Sekretarzem Gminy Podegrodzie na czas nieobecności (urlop, choroba) wyznacza swojego zastępcę,

  13. W przypadku wystąpienia w Urzędzie kilku systemów informatycznych może wnioskować do administratora danych osobowych o wyznaczenie kilku administratorów poszczególnych systemów.



  1. Administrator systemu

Administrator systemu realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym administratora danych, w tym zwłaszcza:

  1. zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z pozycji administratora,

  2. przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe,

  3. na polecenie Wójta Gminy Podegrodzie lub Sekretarza Gminy Podegrodzie przydziela każdemu użytkownikowi identyfikator oraz hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także usuwa konta użytkowników zgodnie z zasadami określonymi w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

  4. nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych,

  5. podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do systemu informatycznego,

  6. wyrejestrowuje użytkowników na polecenie administratora danych lub Sekretarza Gminy,

  7. zakłada konta użytkowników w poszczególnych stacjach roboczych nadając hasła dostępu, znane wyłącznie danemu użytkownikowi. Każda stacja robocza winna posiadać niezależne konto administratora zabezpieczone hasłem, znane tylko administratorowi systemu lub w razie konieczności osobie upoważnionej przez administratora danych osobowych.

  8. w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje ABI ( w przypadku, gdy wskazaną funkcję pełni inna osoba ) o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia,

  9. prowadzi szczegółową dokumentację naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym,

  10. sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego,

  11. podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji.

  1. Pracownik Urzędu zatrudniony na stanowisku właściwym ds. kadrowych

    Pracownik Urzędu zatrudniony na stanowisku właściwym ds. kadrowych realizuje przede wszystkim następujące zadania w zakresie ochrony danych osobowych:

  1. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych,

  2. występuje z wnioskiem do administratora danych (Wójta) o nadanie upoważnienia do przetwarzania danych osobowych,

  3. występuje z wnioskiem (zaakceptowanym przez Wójta a w przypadku jego nieobecności przez Sekretarza Gminy) do administratora systemu o nadanie identyfikatora i przyznanie hasła osobie upoważnionej do przetwarzania danych osobowych,

  4. występuje z wnioskiem do administratora danych (Wójta) o odwołanie upoważnienia do przetwarzania danych osobowych i/lub o wydanie polecenia wyrejestrowania użytkownika z systemu informatycznego.

  1. Osoba upoważniona do przetwarzania danych osobowych

Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać następujących zasad:

  1. może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez administratora danych w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy lub odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych bez konieczności jego pisemnego cofnięcia;

  2. musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji;

  3. zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

  4. stosuje określone przez administratora danych oraz administratora bezpieczeństwa informacji procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych;

  5. korzysta z systemu informatycznego administratora danych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników;

  6. zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.


4.Infrastruktura przetwarzania danych osobowych


  1. Obszar przetwarzania danych osobowych

Wykaz budynków i pomieszczeń wchodzących w skład obszaru przetwarzania danych osobowych

Adres: Urząd Gminy Podegrodzie

33-386 Podegrodzie 248

Województwo małopolskie


Pomieszczenia:

– piwnica (archiwum zakładowe, magazyn komputerów)

– parter, numery pokojów: 1, 2, 4, 5, 6,7,8,11,12.

I piętro, numery pokojów:

14,15,16,17,18,19,20,22, 23,24,26,27,28,29.

  1   2   3   4


©absta.pl 2016
wyślij wiadomość

    Strona główna