REGULAMIN. organizacji i przetwarzania danych osobowych

Załącznik nr 3 do Zarządzenia nr 1848/2009 Prezydenta Miasta Radomia z dnia 9 marca 2009 r. REGULAMIN organizacji i przetwarzania danych osobowych. ...
Author: Szymon Cieślik
32 downloads 2 Views 168KB Size
Załącznik nr 3 do Zarządzenia nr 1848/2009 Prezydenta Miasta Radomia z dnia 9 marca 2009 r.

REGULAMIN organizacji i przetwarzania danych osobowych.

Rozdział 1. Postanowienia ogólne. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. Rozdział 3. Procedury tworzenia, rejestrowania i zmian w przetwarzaniu danych osobowych w zbiorach. Rozdział 4. Szkolenie oraz prowadzenie dokumentacji przetwarzania danych osobowych. Rozdział 5. Obowiązki osób upowaŜnionych przez Administratora. Rozdział 6. Postanowienia końcowe.

Wzory druków: 1. 2. 3. 4.

Wzór wniosku o nadanie upowaŜnienia dostępu do zbioru. Wzór upowaŜnienia. Wzór zgłoszenia (zmiany) obszaru przetwarzania danych osobowych Oświadczenie uŜytkownika zewnętrznego

1

Rozdział 1 Postanowienia ogólne. §1 1.

„Regulamin organizacji i przetwarzania danych osobowych" zwany dalej Regulaminem, określa ogólne zasady, cele przetwarzania danych i wskazuje działania podejmowane przez Administratora Danych oraz osoby przez niego upowaŜnione, w zakresie organizacji przetwarzania i ochrony danych osobowych w Biurach/Wydziałach Urzędu Miejskiego w Radomiu .

2.

Regulamin został opracowany w wykonaniu dyspozycji art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej jako „Ustawa”, w celu określenia zadań organizacyjnych i technicznych, realizowanych w zakresie ochrony danych przez uŜytkowników, ich przełoŜonych oraz inne osoby wskazane przez Administratora. §2 Ilekroć mowa w niniejszym dokumencie o: 1. Administratorze Danych Osobowych – rozumie się przez to Prezydenta Miasta Radomia. 2. Administratorze Bezpieczeństwa Informacji – naleŜy przez to rozumieć pracownika w Wydziale Ochrony wyznaczonego przez Prezydenta Miasta w rozumieniu art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 – ze zm.) zwanej dalej Ustawą. 3. Administratorze Systemu Informatycznego – naleŜy przez to rozumieć pracownika lub pracowników Biura Teleinformatycznego odpowiedzialnych za funkcjonowanie systemu informatycznego Urzędu Miejskiego w Radomiu w tym projektowanie, wdraŜanie i stosowanie technicznych i organizacyjnych środków ochrony w tym systemie. 4. Lokalnych Administratorach Danych Osobowych naleŜy przez to rozumieć Dyrektorów/Kierowników Komórek Organizacyjnych Urzędu Miejskiego w Radomiu odpowiedzialnych za prowadzony przez podległą komórkę zbiór danych osobowych, a w szczególności za przestrzeganie zasad określonych art. 26 UODO. 5. Dyrektorach/Kierownikach komórek organizacyjnych - odpowiedzialni za przestrzeganie zasad przetwarzania i ochrony danych osobowych przez podległych pracowników przetwarzających dane osobowe w podległych komórkach organizacyjnych 6. Osobie upowaŜnionej - osoba posiadająca upowaŜnienie nadane przez Administratora Danych Osobowych lub osobę wyznaczona przez niego i uprawniona do przetwarzania danych osobowych w zakresie wskazanym w upowaŜnieniu. 7. Przetwarzaniu danych – naleŜy przez to rozumieć jakiekolwiek operacje wykonywane na danych w rozumieniu art. 7 pkt 2 Ustawy 8. UŜytkowniku systemu – osobę upowaŜnioną do przetwarzania danych osobowych w systemie informatycznym. 9. Systemie informatycznym, zwanych dalej systemem w rozumieniu art. 7 pkt 2a Ustawy 10. Ustawa – rozumiana jako ustawa z dnia 29 sierpnia 1997 r. ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 – ze zm.) 11. Urzędzie – naleŜy przez to rozumieć Urząd Miejski w Radomiu 12. Zabezpieczeniu danych w systemie, zwanym dalej zabezpieczeniem – czynności wykonywane w rozumieniu art. 7 pkt 2b Ustawy. 13. Wewnętrzna sieć teleinformatyczna – sieć Administratora, łącząca co najmniej dwa indywidualne stanowiska komputerowe, umoŜliwiająca uŜytkownikom określony dostęp do danych osobowych. 14. Dane sensytywne – dane w rozumieniu art. 27 Ustawy, podlegające szczególnej ochronie. 15. GIODO – Biuro Generalnego Inspektora Ochrony Danych Osobowych.

2

16. UŜytkowniku zewnętrznym - naleŜy przez to rozumieć osobę nie będącą pracownikiem lub staŜystą Urzędu, posiadającą uprawnienia do przetwarzania informacji w związku z wykonywaniem czynności na rzecz Urzędu 17. Zarządzenie Prezydenta Miasta Radomia w sprawie wdroŜenia dokumentacji przetwarzania i ochrony danych osobowych w Urzędzie Miejskim w Radomiu, zwane dalej Zarządzeniem. §3 1.

Administrator Danych Osobowych moŜe upowaŜnić osoby zatrudnione w Urzędzie do wykonywania określonych czynności, znajdujących się w zakresie zadań Administratora.

2.

Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1, naleŜy do Administratora Danych Osobowych.

Rozdział 2. Ogólne zasady przetwarzania danych osobowych. 1. 2.

1.

§4 Dane osobowe są przetwarzane w Urzędzie w celu realizacji zadań określonych przepisami prawa. Cel, o którym mowa w ust. 1, naleŜy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą. §5 Zasadą obowiązującą w Urzędzie jest zachowanie przez uŜytkowników w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania.

2.

MoŜliwość wystąpienia zagroŜeń bezpieczeństwa danych przetwarzanych w systemach lub kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych nakłada na uŜytkowników i ich przełoŜonych obowiązek zapewnienia danym skutecznej ochrony.

3.

Przesyłanie danych osobowych za pomocą urządzeń telekomunikacyjnych lub transmisji danych w sieci publicznej wymaga wykorzystania odpowiednich urządzeń i przedsięwzięć zapewniających poufność, integralność, dostępność, autentyczność, niezaprzeczalność i niezawodność danych.

4.

Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba Ŝe konieczność ich sporządzania wynika z nałoŜonych na uŜytkownika obowiązków i dozwolona jest przepisami prawa.

5.

Do przetwarzania danych osobowych mogą słuŜyć wyłącznie systemy informatyczne i zewnętrzne nośniki danych będące własnością Urzędu Miejskiego w Radomiu, które odnotowane zostały w stosownej ewidencji, o której mowa w § 13 niniejszego Regulaminu.

1. 2. a)

§6 Przetwarzanie danych osobowych moŜe być wykonywane wyłącznie przez osoby, które spełniają wymagania zawarte w art. 37 Ustawy. Procedury nadawania (wycofywania) w Urzędzie upowaŜnień do przetwarzania danych osobowych: Kierownik Komórki Organizacyjnej, w ciągu 7 dni od chwili zatrudnienia pracownika, występuje do Administratora Danych z wnioskiem o wydanie upowaŜnienia do dostępu do zbioru dla pracownika – wzór wniosku o nadanie upowaŜnienia - załącznik nr 1,.Wniosek powinien zawierać: na3

b) c)

d)

e)

f) g)

h)

i)

j) k) 3.

zwisko i imię, zajmowane stanowisko, nazwę zbioru, zakres upowaŜnienia oraz termin obowiązywania. Wniosek o przyznanie uprawnień do aplikacji moŜe być w postaci papierowej, a po wprowadzeniu podpisu elektronicznego, w postaci elektronicznej. Administrator Danych udziela zezwolenia do dostępu do danych osobowych, Na podstawie zaakceptowanego wniosku Wydział Ochrony przygotowuje stosowne upowaŜnienie, wzór upowaŜnienia - załącznik nr 2, określając numer rejestrowy i identyfikator do zbioru. Identyfikator dostępu jest przekazany do Wydziału Ochrony przez Administratora Systemu Informatycznego. Kopia wniosku w formie papierowej przechowywana jest przez Administratora Bezpieczeństwa Informacji. UpowaŜnienie po podpisaniu przez osobę upowaŜnioną - wraz z oświadczeniem o zachowaniu w tajemnicy zasad przetwarzania danych oraz sposobów ich zabezpieczania, obejmującej takŜe okres po ustaniu stosunku pracy zostaje skierowany do Administratora Systemu Informatycznego do realizacji oraz Dyrektora/Kierownika komórki organizacyjnej - w przypadku przetwarzania danych w systemie informatycznym. W przypadku upowaŜnienia dostępu do danych osobowych wyłącznie w formie tradycyjnej upowaŜnienie zostaje przekazane do Dyrektora/Kierownika komórki organizacyjnej wnioskującego o upowaŜnienie podległego pracownika. Administrator Systemu Informatycznego zakłada konto uŜytkownika w systemie o odpowiednim identyfikatorze zabezpieczone hasłem tymczasowym, którego zmiana jest wymuszona przy pierwszym zalogowaniu uŜytkownika zgodnie z zasadami panującymi w Urzędzie Miejskim w Radomiu i szczegółowymi instrukcjami dla danej aplikacji / programu. Kopie upowaŜnień o przyznanie lub modyfikację praw dostępu są przechowywany przez Administratora Systemu Informatycznego. Kierownik Komórki Organizacyjnej, w ciągu 7 dni od przeniesienia pracownika do innej komórki organizacyjnej, jest zobowiązany złoŜyć wniosek do Administratora Danych o uniewaŜnienie upowaŜnienia temu pracownikowi. W przypadku otrzymania przez Administratora Bezpieczeństwa Informacji wniosku o usunięcie konta uŜytkownika, jest on zobowiązany w trybie natychmiastowym odznaczyć ten fakt w ewidencji. Konto zostaje usunięte lub zablokowane przez Administratora Systemu Informatycznego na wniosek Kierownika Komórki Organizacyjnej po akceptacji Administratora Danych i Administratora Bezpieczeństwa Informacji. Konto uŜytkownika jest usunięte zgodnie ze szczegółowymi instrukcjami operacyjnymi specyficznymi dla danej aplikacji lub systemu. W przypadku rozwiązania umowy o pracę cofnięcie upowaŜnień następuje na podstawie karty obiegowej. Centralna ewidencja osób upowaŜnionych do przetwarzania zbiorów danych osobowych jest prowadzona w Wydziale Ochrony Urzędu. Regulamin zawiera takŜe załączniki, które stanowią: a)

druk nr 1 – wzór wniosku przełoŜonego o nadanie (pozbawienie) lub zmianę upowaŜnienia do przetwarzania danych osobowych; b) druk nr 2 – wzór upowaŜnienia do przetwarzania danych osobowych wraz z oświadczeniem o zachowaniu w poufności danych i sposobów ich zabezpieczeń. c) druk nr 3 - wzór zgłoszenia (zmiany) obszaru przetwarzania danych osobowych d) druk nr 4 – wzór oświadczenia uŜytkownika zewnętrznego 4.

Kopie upowaŜnień, przechowuje się w Wydziale Ochrony.

5.

Kierownik/Dyrektor komórki organizacyjnej ma obowiązek realizacji procedur, o których mowa w ust. 2.

6.

ABI prowadzi kontrolę realizacji obowiązku, o którym mowa w ust. 1. §7 4

1.

Budynki, pomieszczenia lub ich część, w których przetwarzane są dane osobowe tworzą obszary przetwarzania danych osobowych w Urzędzie. Przebywanie osób nieuprawnionych w tych obszarach jest ograniczone i odbywać się moŜe tylko w obecności uŜytkowników.

2.

Administrator zapewnia ochronę obszarów przetwarzania danych osobowych w Urzędzie, według zasad określonych w „Polityce bezpieczeństwa danych osobowych”, stanowiącej załącznik nr 1 do Zarządzenia.

3.

Do obszarów podlegających szczególnej ochronie Administrator zalicza serwerownie oraz pomieszczenia, w których przetwarzane są dane sensytywne.

Rozdział 3 Procedury tworzenia, rejestrowania i dokonywania zmian w przetwarzaniu danych osobowych w zbiorach. 1.

2.

§8 Tworzy się zbiory danych osobowych przez nadanie danym osobowym odpowiedniej struktury, dostępnej według określonych kryteriów, niezaleŜnie od tego, czy zestaw danych jest rozproszony lub podzielony funkcjonalnie. Przetwarzanie danych osobowych moŜe odbywać się metodą: a) papierową, w rozumieniu art. 2 ust. 2 pkt 1) Ustawy; b) informatyczną, w rozumieniu art. 2 ust. 2 pkt 2) Ustawy;

3.

Zgodnie z potrzebami realizacji zadań słuŜbowych, Lokalni Administratorzy Danych Osobowych tworzą zbiory lub wnioskują o ich wycofanie (zmianę), według następujących reguł: a)

nazwa zbioru powinna odzwierciedlać cel przetwarzania danych i być zgodna z nazewnictwem stosowanym w przepisach prawa; b) naleŜy wskazać podstawy prawne do przetwarzania danych; c) naleŜy określić sposób i miejsca przetwarzania danych oraz uŜytkowników; d) naleŜy przekazać informację ABI w celu określenia poziomu bezpieczeństwa systemu, w którym przetwarzane są dane; e) naleŜy przekazać informację do ASI celem zabezpieczenia systemu zgodnie z określonym poziomem bezpieczeństwa f) naleŜy zapewnić ochronę danym osobowym. §9 Lokalni Administratorzy Danych Osobowych oraz Dyrektorzy/Kierownicy Wydziałów/Biur mają obowiązek zgłaszania do Wydziału Ochrony aktualnych wykazów zbiorów danych osobowych przetwarzanych przez podległych im pracowników. § 10 1.

Administrator Danych Osobowych ma obowiązek zgłosić zbiór danych do rejestracji w GIODO, z wyjątkiem przypadków określonych w art. 43 ust. 1 Ustawy.

2.

Lokalni Administratorzy mają obowiązek wypełnienia i parafowania wniosku zgłoszenia zbioru do rejestracji - w części od A – D i przesłania go Lokalnego Administratora Systemu Informatycznego celem wypełnienia i parafowania wniosku w części E - F Lokalny Administrator Systemu Informatycznego przekazuje wniosek do Administratora Bezpieczeństwa Informacji. Administrator Bezpieczeństwa Informacji po podpisaniu wniosku przez Administratora Danych Osobowych przesyła go do GIODO.

3. 4. 5.

Wzór wniosku, o którym mowa w ust. 2, stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru 5

danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536). 6.

Dane osobowe w zbiorze moŜna przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, Ŝe zbiór nie zawiera danych sensytywnych. Zbiór zawierający dane sensytywne moŜna przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania.

Rozdział 4 Szkolenie oraz prowadzenie dokumentacji z zakresu przetwarzania danych osobowych. 1.

§ 11 KaŜda osoba przed rozpoczęciem przetwarzania danych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony danych osobowych. Bezpośredni przełoŜony zobowiązany jest zapoznać podwładnych z tymi przepisami.

2.

W przypadku wdraŜania w Urzędzie nowych procedur przetwarzania i ochrony danych osobowych, Dyrektor Wydziału Ochrony na wniosek osób, o których mowa w § 15 ust 3, moŜe polecić zorganizowanie dodatkowych szkoleń dla wskazanych przez przełoŜonych grup uŜytkowników.

3.

Szkolenia, o których mowa w ust. 2, dla Wydziałów / Biur organizuje ABI

§ 12 Dokumentacja przetwarzania i ochrony danych osobowych w Urzędzie obejmuje: 1.

„Politykę bezpieczeństwa danych osobowych”,

2.

„Instrukcję zarządzania systemem

3.

„Regulamin organizacji i przetwarzania danych osobowych”.

informatycznym w tym do przetwarzania danych osobowych”;

§ 13 W procesie przetwarzania i ochrony danych osobowych prowadzi się następujące ewidencje i wykazy: 1.

„Centralna ewidencja osób upowaŜnionych do przetwarzaniu danych osobowych” prowadzona przez Wydział Ochrony

2.

„Wykaz zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania” – prowadzona przez Wydział Ochrony

3.

,,Rejestr zbiorów danych osobowych” – prowadzony przez Wydział Ochrony

4.

,,Rejestr uŜytkowników systemu” – prowadzone przez Biuro Teleinformatyczne

5.

,,Ewidencji sprzętu i oprogramowania słuŜącego do przetwarzania danych osobowych” – prowadzona przez Biuro Teleinformatyczne

6.

,,Rejestr zdarzeń” – prowadzony przez Biuro Teleinformatyczne

7.

,,Rejestr incydentów” – prowadzony przez Biuro Teleinformatyczne

8.

,,Harmonogram archiwizacji Teleinformatyczne

danych

i

programów”



prowadzony

przez

Biuro 6

9.

„Wykaz budynków i pomieszczeń lub części pomieszczeń tworzących obszary przetwarzania danych osobowych” – prowadzony przez Wydział Ochrony

10.

„Lokalne ewidencje osób upowaŜnionych do przetwarzaniu danych osobowych” prowadzone w poszczególnych komórkach organizacyjnych Urzędu Miejskiego w Radomiu

11.

Rejestry udostępnionych danych osobowych zawierające co najmniej: datę udostępnienia, podstawę, zakres udostępnionych informacji oraz osobę lub instytucję, dla której dane udostępniono prowadzą Kierownicy komórek organizacyjnych.

12.

Opisy struktur zbiorów danych osobowych wskazujących zawartość poszczególnych pól informacyjnych i powiązań miedzy nimi – prowadzone przez Biuro Teleinformatyczne

13.

Schematy przepływu danych pomiędzy systemami informatycznymi zastosowanymi w celu przetwarzania danych osobowych. – prowadzone przez Biuro Teleinformatyczne

14.

Lokalne ewidencje danych osobowych – prowadzone przez Lokalnych Administratorów Danych.

15.

Lokalne ewidencje zewnętrznych nośników pamięci wykorzystywanych do przetwarzania danych osobowych - prowadzone przez Kierowników komórek organizacyjnych.

Dokumentacja , o której mowa w § 13 pkt 1 - 15 powinna być aktualizowana zaraz po wystąpieniu zmian.

Rozdział 5. Obowiązki osób upowaŜnionych przez Administratora. 1.

§ 15 Administrator Danych Osobowych wykonuje zadania z zakresu przetwarzania i ochrony danych osobowych zgodnie z przepisami Ustawy.

2.

Administrator Danych Osobowych stosuje środki techniczne i przedsięwzięcia organizacyjne zapewniające skuteczną realizację zadań w zakresie bezpieczeństwa i ochrony danych przetwarzanych w Urzędzie.

3.

Zadania, o których mowa w ust. 1, z upowaŜnienia / pełnomocnictwa Administratora Danych Osobowych wykonują: a)

1.

2.

Lokalni Administratorzy Danych Osobowych w odniesieniu do zbiorów danych osobowych danych osobowych prowadzonych w swoich komórkach organizacyjnych; b) Dyrektorzy/Kierownicy komórek organizacyjnych w odniesieniu do danych osobowych przetwarzanych w podległych komórkach organizacyjnych.; c) Osoby upowaŜnione do wykonywania określonych zadań w imieniu Administratora Danych. § 16 Zadania kontroli i nadzoru przestrzegania przepisów o ochronie danych osobowych w Urzędzie wykonują pracownicy Wydziału Ochrony na podstawie upowaŜnień oraz pełnomocnictw nadanych przez Administratora lub osobę przez niego wskazaną. Do zadań Dyrektora Wydziału Ochrony naleŜy: a) b) c)

Określanie i koordynowanie zadań, o których mowa w pkt 1, przez podległych pracowników nadzorowanie sposobu wykonywania zadań przez osoby, o których mowa w pkt 1, przygotowywanie projektów zarządzeń, instrukcji i wytycznych Administratora Danych; 7

d) e) f)

g)

h)

i)

opiniowanie umów dotyczących udostępniania lub powierzenia przetwarzania danych podmiotom zewnętrznym lub osobom, które nie są pracownikami Urzędu; organizowanie szkoleń w zakresie ochrony danych osobowych dla pracowników Urzędu zgłaszanie nowych lub aktualizowanie zarejestrowanych zbiorów danych osobowych do rejestracji w GIODO zgodnie z art. 40 i art. 41 Ustawy w trybie określonym w § 8 niniejszego regulaminu; monitorowanie wykonywania zadań w Urzędzie w zakresie zgodności z prawem, celowości, poprawności i adekwatności przetwarzania danych osobowych, zgodnie z art. 26 Ustawy; nadzorowanie i kontrolowanie wykonywania w Urzędzie zadań określonych w dokumentacji przetwarzania i ochrony danych osobowych poprzez inspirowanie działań ABI; przygotowanie korespondencji z GIODO w imieniu Administratora.

§ 17 Do zadań Administratora Bezpieczeństwa Informacji naleŜy wykonywanie kontroli i nadzoru przestrzegania przepisów o ochronie danych osobowych w Urzędzie na podstawie upowaŜnienia nadanego przez Administratora Danych Osobowych a) wydawanie (wycofywanie) lub zmiana upowaŜnień do przetwarzania danych osobowych, zgodnie z art. 37 Ustawy - w trybie określonym w § 6 pkt 2 niniejszego regulaminu b) prowadzenie ewidencji i wykazów, o których mowa w § 13 pkt 1-3 i pkt 10; c) przeprowadzanie szkoleń w zakresie ochrony danych osobowych dla pracowników Urzędu Praca Administratora Bezpieczeństwa Informacji nadzorowana jest przez Administratora Danych Osobowych i Dyrektora Wydziału Ochrony.

1.

§ 18 Biuro Administracyjno – Gospodarcze realizuje czynności techniczne związane z zapewnieniem skutecznej ochrony fizycznej danym osobowym przetwarzanym w Urzędzie.

2.

Do zadań Kierownika Biura Administracyjno - Gospodarczego naleŜy zapewnienie technicznego zabezpieczenia i wyposaŜenia pomieszczeń i obiektów, które tworzą obszary przetwarzania danych ze szczególnym uwzględnieniem zadań określonych w § 23 ust. 2 lit. c) – e) „Polityki bezpieczeństwa Danych Osobowych” stanowiącej załącznik nr 1 do Zarządzenia.

3.

Czynności, o których mowa w ust. 2, wykonuje się na wniosek ABI lub właściwego Kierownika komórki organizacyjnej Urzędu.

1. 2.

§ 19 Biuro Teleinformatyczne realizuje czynności techniczne związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych. Do zadań Kierownika Biura Teleinformatycznego w szczególności naleŜy: a)

wyznaczenie ASI w Urzędzie i określenie dla nich zadań w odniesieniu do poszczególnych Wydziałów/Biur Urzędu - uwzględniając wielkość zbiorów i typologię systemów oraz nadzorowanie ich działalności; b) dostosowywanie systemów do wymogów prawa, o których mowa w § 22 ust 2; c) w porozumieniu z Dyrektorem Wydziału Ochrony, planowanie i wdraŜanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; d) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; e) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposaŜenia pomieszczeń, w których znajdują się serwery. f) prowadzenie ewidencji i wykazów, o których mowa w § 13 pkt 4 - 8 i pkt 11 – 13 niniejszego regulaminu 8

3.

1.

2.

Do zadań Administratora Systemu Informatycznego (ASI) naleŜy w szczególności: a) administrowanie systemami, w których przetwarzane są dane osobowe; b) przyznawanie uŜytkownikom identyfikatorów i przyznawanie im uprawnień, które wynikają z nadanego upowaŜnienia do przetwarzania danych osobowych; c) instalowanie, aktualizowanie i konfigurowanie oprogramowania systemowego i aplikacyjnego oraz urządzeń, o ile czynności te nie są wykonywane przez upowaŜnionych przedstawicieli dostawcy systemu na podstawie zawartej umowy; d) instalowanie i aktualizowanie oprogramowania antywirusowego; e) reagowanie w przypadku naruszenia bądź powstania zagroŜenia bezpieczeństwa danych przetwarzanych w systemie; f) tworzenie, rejestrowanie, przechowywanie i archiwizowanie kopii zapasowych baz danych osobowych; g) przygotowywanie urządzeń, dysków i innych elektronicznych nośników informacji, zawierających dane osobowe, do likwidacji, konserwacji lub naprawy; h) przekazywania do ABI informacji w przypadku zmian dotyczących ewidencji, o których mowa w § 13 pkt 2 i pkt 9 ; i) zakładanie, modyfikacja lub usuwanie baz danych w systemie oraz realizowanie migracji danych pomiędzy nimi; j) natychmiastowe informowanie Dyrektora Wydziału Ochrony o zdarzeniach, o których mowa w lit. e); k) wykonywanie bieŜącej konserwacji i przeglądu systemów; l) uaktualnianie kont i uprawnień uŜytkowników systemu w porozumieniu z ABI/LADO. m) na Ŝądanie Administratora Danych Osobowych lub osoby przez niego upowaŜnionej przeprowadzenie okresowych analiz ryzyka dla poszczególnych systemów i na tej podstawie przedstawianie Administratorowi Danych propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych. § 20 Dyrektorzy Wydziałów/Biur w tym Lokalni Administratorzy Danych Osobowych są odpowiedzialni za przestrzeganie przepisów dotyczących przetwarzania i ochrony danych osobowych w podległych im komórkach organizacyjnych w zakresie upowaŜnień i pełnomocnictw nadanych przez Administratora oraz część merytoryczna systemu informatycznego w podległej komórce organizacyjnej (sposób przetwarzania informacji, procedury obliczeniowe, zgodność ze stanem prawnym, koncepcję rozwoju oprogramowania, zakres uprawnień uŜytkowników) Do zadań osób, o których mowa w ust. 1, naleŜy: a) b) c) d) e) f)

g) h)

decydowanie o udostępnianiu danych osobowych, zgodnie z art. 29 Ustawy; wnioskowanie o rejestrację (aktualizację) zbiorów w GIODO - wypełnianie wniosków zgłoszenia; przedkładanie do Administratora Danych wniosków o nadanie (wycofanie) lub zmianę upowaŜnień do przetwarzania danych osobowych dla pracowników i innych osób; prowadzenie ewidencji i wykazów o których mowa w § 13 pkt 10,11,14 i 15 niniejszego Regulaminu zapoznanie podległych pracowników z aktualnymi przepisami dotyczącymi ochrony danych osobowych zachowanie szczególnej staranności przy przetwarzaniu danych osobowych, zgodnie art. 26 Ustawy oraz zapewnienie kontroli wprowadzania i przekazywania danych, zgodnie z art. 38 Ustawy; zabezpieczanie danych osobowych zgodnie z przepisami zawartymi w dokumentacji przetwarzania i ochrony danych osobowych; udzielanie informacji, o której mowa w art. 24, art. 25 oraz art. 32 ust. 1 pkt. 1–5 a 9

i) j) k) l) m) 3

1.

2.

Ustawy oraz uzupełnianie, uaktualnianie lub prostowanie danych osobowych w przypadkach, o których mowa w art. 32 ust. 1 pkt 6 Ustawy; przygotowanie umów dotyczących udostępniania lub powierzenia przetwarzania danych osobom i podmiotom zewnętrznym, zgodnie z art. 31 Ustawy wskazywanie osoby wykonującej w komórce organizacyjnej czynności administracyjne związane z przetwarzaniem i ochroną danych osobowych; przekazywanie do Wydziału Ochrony wykazu zbiorów danych i programów zastosowanych do ich przetwarzania zgłaszanie do Wydziału Ochrony lokalizacji obszarów przetwarzania danych osobowych lub zmian w tym zakresie (druk nr 3) w porozumieniu z ABI rozpatrywanie skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych;

Osoby, o których mowa w ust. 1, realizując zadania w imieniu Administratora Danych współpracują z Dyrektorem Wydziału Ochrony, Kierownikiem Biura Administracyjno – Gospodarczego, Kierownikiem Biura Teleinformatycznego oraz innymi osobami upowaŜnionymi przez Administratora. § 21 Osoby upowaŜnione przez Administratora do podpisywania umów z osobami lub podmiotami, o których mowa w § 1 ust. 2 „Instrukcji zarządzania systemem informatycznym w tym do przetwarzania danych osobowych” stanowiącej załącznik nr 2 do Zarządzenia, zobowiązane są do umieszczania postanowień umownych, gwarantujących bezpieczeństwo i ochronę danych osobowych w formie oświadczenia, którego treść określa wzór nr 4 do niniejszego Regulaminu. Postanowienia, o których mowa w ust. 1, dotyczą udostępniania lub powierzenia danych do przetwarzania i zawierają: a) określenie przedmiotu i celu umowy; b) zobowiązanie zleceniobiorcy do zapewnienia bezpieczeństwa i właściwej ochrony przetwarzanych danych osobowych; c) zobowiązanie zleceniobiorcy do przestrzegania procedur, o których mowa w § 6; d) oświadczenie zleceniobiorcy dotyczące dostosowania systemów informatycznych wykorzystywanych w procesie przetwarzania danych osobowych do wymogów rozporządzenia, o którym mowa w § 22 ust. 2; e) zapewnienie zleceniodawcy nadzoru i kontroli nad przetwarzaniem i ochroną danych osobowych; f) określenie kar umownych za nieprzestrzeganie zapisów umownych; g) moŜliwość rozwiązania umowy w trybie natychmiastowym w przypadku stwierdzenia omijania przez zleceniobiorcę przepisów dotyczących bezpieczeństwa i ochrony przetwarzanych danych osobowych.

Rozdział 6 Postanowienia końcowe. § 22 W sprawach nie uregulowanych niniejszym Regulaminem zastosowanie znajdują: 1.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.);

2.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024); 10

3.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie imiennego upowaŜnienia i legitymacji słuŜbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923).

11

Druk Nr 1 do Regulaminu organizacji i przetwarzania danych osobowych Wzór wniosku o nadanie/zmianę/pozbawienie upowaŜnienia do przetwarzania danych osobowych

Radom, dn. ................................................

…............................................................... (pieczęć komórki organizacyjnej)

Prezydent Miasta Radomia WNIOSEK Zgodnie z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

w n i o s k u j ę o nadanie /pozbawienie/zmianę/* Pani /Panu/* ...................................................stanowisko słuŜbowe…………………………… upowaŜnienia do przetwarzania danych osobowych w Urzędzie Miejskim w Radomiu z powodu: /przyjęcia do pracy, przejścia na inne stanowisko, zwolnienia z pracy, zmiany uprawnień, lub innego - jakiego/*: ...........….......................................................................................................................................................

UpowaŜnienie wydaje się na okres: /stały/czasowy - do kiedy/*......................………...................... 1. Zakres przetwarzania danych osobowych .................................................................................................................................................. /zbieranie, utrwalanie, opracowywanie, wprowadzanie, przechowywanie, zmiana, usuwanie, udostępnianie/*

2. Nazwa zbioru danych osobowych: .................................................................................................................................................. ...............................................…………………………………............................................... 3. Sposób przetwarzania danych osobowych: /papierowy/ informatyczny/* 4. Obszar przetwarzania /adres siedziby/ .................................................................................... danych osobowych /piętro, nr pokoju/ ..................................................................................... 5. Uprawnienia obejmują przetwarzanie danych sensytywnych /art. 27 Ustawy/ /tak/nie/*

6. Osoba została zapoznana z przepisami o ochronie danych osobowych: /tak/nie/*

........................................................ (przełoŜony osoby / LADO)

-------------------------------/* niepotrzebne proszę skreślić

12

Druk Nr 2 do Regulaminu organizacji i przetwarzania danych osobowych Wzór upowaŜnienia do przetwarzania danych osobowych Radom, dn. ................................................

U P O W A ś N I E N I E Nr…./….. Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 – tekst jednolity ze zm.)

UpowaŜniam Pana/Panią……………………………………………………….. Stanowisko słuŜbowe…………………………………………..

Do przetwarzania danych osobowych w zbiorze o nazwie: …………………………………………………………………………………………………………… w zakresie: …………………………………………………………………………………………………………. w systemie tradycyjnym/ informatycznym* identyfikator……………………………………………………………………………………………… od dnia…………………………………………. do dnia………………………………………………… Jednocześnie zobowiązuję Pana/Panią do przestrzegania przepisów dotyczących ochrony danych osobowych zawartych w cytowanej wyŜej ustawie z dnia 29 sierpnia 1997 r.

……………………………………………... /podpis Administratora Danych Osobowych/

Przyjmuje do wiadomości i przestrzegania, Zobowiązuje się do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczeń takŜe po ustaniu zatrudnienia

……………………………………………. /data i podpis pracownika/ -------------------------------/* niepotrzebne proszę skreślić 13

Druk Nr 4 do Regulaminu organizacji i przetwarzania danych osobowych - Wzór zgłoszenia (zmiany) obszaru przetwarzania danych osobowych Lp.

Nazwa zbioru

Forma przetwarzania*

Dane sensytywne*

Obszar przetwarzania* budynek

Ilość stanowisk*

nr pok.

1

2

3

4

5

6

7

9

Forma przetwarzania – naleŜy wskazać formę: elektroniczną, tradycyjną lub elektroniczną i tradycyjną . Nie naleŜy wskazywać formy elektronicznej w przypadku przetwarzania danych w SI ograniczonego do edycji tekstu. Dane sensytywne – naleŜy wypełnić tak lub nie. Dane sensytywne (wraŜliwe) art. 27 ust 1 ustawy z dn. 29.08.1997 r. o ochronie danych osobowych. Obszar przetwarzania – dot. wszystkich zbiorów niezaleŜnie od formy przetwarzania. Ilość stanowisk – wypełnić tylko w przypadku zbiorów przetwarzanych w formie elektronicznej lub tradycyjnej i elektronicznej. NaleŜy wskazać ilość stanowisk komputerowych, na których przetwarzany jest zbiór danych osobowych. 14

Druk Nr 4 do Regulaminu organizacji i przetwarzania danych osobowych

Radom, dnia ………………..………….

Oświadczenie 1. Zgodnie art. 31 ust 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 – tekst /jednolity ze zm.), wykonawca/zleceniobiorca oświadcza, że spełnia wymagania określone w przepisach, o których mowa w art. 39a wyżej cytowanej ustawy. 2. Wykonawca/Zleceniobiorca umowy zobowiązuje się do bezwzględnego

zachowania w poufności wszelkich informa-

cji uzyskanych w związku z wykonywaniem umowy, oraz sposobów ich zabezpieczeń, także po zakończeniu realizacji umowy. Obowiązek ten nie dotyczy informacji, co do których Gmina Miasta Radomia / Urząd Miejski w Radomiu - ma nałożony ustawowy obowiązek publikacji lub która stanowi informacje jawną, publiczną opublikowaną przez Gminę Miasta

Radomia / Urząd Miejski w Ra-

domiu. 3. W przypadku naruszenia zapisów pkt 1-2 Gmina Miasta Radomia / Urząd Miejski w Radomiu może wypowiedzieć umowę ze skutkiem natychmiastowym.

…………………………………………………………………………… …………………………………………………………………..…………. (Data i podpis osoby przyjmującej oświadczenie)

…………………………………………..……………………………… ( Zleceniobiorca/wykonawca) (Data i podpis składającego oświadczenie)

15

Suggest Documents