1

Załącznik nr 3 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r.

REGULAMIN organizacji i przetwarzania danych osobowych.

Rozdział 1. Postanowienia ogólne. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. Rozdział 3. Procedury tworzenia, rejestrowania i zmian w przetwarzaniu danych osobowych w zbiorach. Rozdział 4. Szkolenie oraz prowadzenie dokumentacji przetwarzania danych osobowych. Rozdział 5. Obowiązki osób upoważnionych przez Administratora. Rozdział 6. Postanowienia końcowe. Załączniki.

2

Rozdział 1 Postanowienia ogólne. §1 1.

„Regulamin organizacji i przetwarzania danych osobowych" zwany dalej Regulaminem, określa ogólne zasady, cele przetwarzania danych i wskazuje działania podejmowane przez Administratora oraz osoby przez niego upoważnione, w zakresie organizacji przetwarzania i ochrony danych osobowych w Urzędzie Miejskim w Michałowie.

2.

Regulamin został opracowany w wykonaniu dyspozycji art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), dalej jako „Ustawa”, w celu określenia zadań organizacyjnych i technicznych, realizowanych w zakresie ochrony danych przez użytkowników, ich przełożonych oraz inne osoby wskazane przez Administratora. §2

Określenia i skróty użyte w Regulaminie oznaczają: 1.

Administrator Danych Osobowych – Burmistrz Michałowa, zwany dalej Administratorem.

2.

Administrator Bezpieczeństwa Informacji, zwany dalej ABI – osoba wyznaczona przez Administratora, w rozumieniu art. 36 ust. 3 Ustawy.

3.

Administrator Systemu Informatycznego, zwany dalej ASI – osoba wyznaczona przez Administratora, pracownik odpowiedzialny za wdrożenie i stosowanie zasad bezpieczeństwa danych osobowych w zakresie technicznych zabezpieczeń systemu informatycznego w Urzędzie Miejskim w Michałowie.

4.

Osoba upoważniona, zwana dalej użytkownikiem – osoba posiadająca upoważnienie nadane przez Administratora lub osobę wskazaną przez niego i uprawniona do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu.

5.

Przełożony użytkownika, zwany dalej przełożonym – kierownik referatu, osoba odpowiedzialna za przestrzeganie zasad przetwarzania i ochrony danych osobowych przez podległych mu pracowników.Urzędu Miejskiego w Michałowie.

6.

Urząd Miejski w Michałowie zwany dalej Urzędem.

7.

Dane sensytywne – dane w rozumieniu art. 27 Ustawy, podlegające szczególnej ochronie.

8.

GIODO – Biuro Generalnego Inspektora Ochrony Danych Osobowych.

9.

Zarządzenie Burmistrza Michałowa w sprawie wdrożenia dokumentacji przetwarzania i ochrony danych osobowych w Urzędzie Miejskim w Michałowie, zwane dalej Zarządzeniem. §3

3

1.

Administrator może upoważnić osoby zatrudnione w Urzędzie do wykonywania określonych czynności, znajdujących się w zakresie zadań Administratora.

2.

Kontrola prawidłowości wykonywania czynności, o których mowa w ust. 1, należy do Administratora. Rozdział 2. Ogólne zasady przetwarzania danych osobowych. §4

1.

Dane osobowe są przetwarzane w Urzędzie w celu realizacji zadań określonych przepisami prawa.

2.

Cel, o którym mowa w ust. 1, należy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą. §5

1.

Zasadą obowiązującą w Urzędzie jest zachowanie przez użytkowników w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania.

2.

Możliwość wystąpienia zagrożeń bezpieczeństwa danych przetwarzanych w systemach lub kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych nakłada na użytkowników i ich przełożonych obowiązek zapewnienia danym skutecznej ochrony.

3.

Przesyłanie danych osobowych za pomocą urządzeń telekomunikacyjnych lub transmisji danych w sieci publicznej wymaga wykorzystania odpowiednich urządzeń i przedsięwzięć zapewniających poufność i integralność ich przekazu.

4.

Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba że konieczność ich sporządzania wynika z nałożonych na użytkownika obowiązków i dozwolona jest przepisami prawa. §6

1.

Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które spełniają wymagania zawarte w art. 37 Ustawy.

2.

Procedury nadawania (wycofywania) w Urzędzie upoważnień do przetwarzania danych osobowych obejmują: a) złożenie przez przełożonego wniosku o nadanie (wycofanie) upoważnienia do przetwarzania danych osobowych; b) podpisanie przez osobę ubiegającą się o nadanie upoważnienia, oświadczenia o zachowaniu w tajemnicy zasad przetwarzania danych oraz sposobów ich zabezpieczania, obejmującej także okres po ustaniu stosunku pracy; c) nadanie przez Administratora lub osobę przez niego wskazaną, upoważnienia do przetwarzania danych osobowych.

3.

Regulamin zawiera także załączniki, które stanowią:

4

a)

załącznik nr 1 – wzór wniosku przełożonego o nadanie (pozbawienie) lub zmianę upoważnienia do przetwarzania danych osobowych; b) załącznik nr 2 – wzór oświadczenia osoby ubiegającej się o nadanie upoważnienia do przetwarzania danych osobowych; c) załącznik nr 3 – wzór upoważnienia do przetwarzania danych osobowych.

4.

Kopie upoważnień oraz inne dokumenty, o których mowa w ust. 2, przechowuje ABI.

5.

ABI prowadzi kontrolę realizacji obowiązku, o którym mowa w ust. 1. §7

1.

Pomieszczenia lub ich część, w których przetwarzane są dane osobowe tworzą obszary przetwarzania danych osobowych w Urzędzie. Przebywanie osób nieuprawnionych w tych obszarach jest ograniczone i odbywać się może tylko w obecności użytkowników i za zgodą przełożonych.

2.

Administrator zapewnia ochronę obszarów przetwarzania danych osobowych w Urzędzie, według zasad określonych w „Polityce bezpieczeństwa”, stanowiącej załącznik nr 1 do Zarządzenia.

3.

Do obszarów podlegających szczególnej ochronie Administrator zalicza serwerownię oraz pomieszczenia, w których przetwarzane są dane sensytywne.

Rozdział 3 Procedury tworzenia, rejestrowania i dokonywania zmian w przetwarzaniu danych osobowych w zbiorach. §8 1.

Tworzy się zbiory danych osobowych przez nadanie danym osobowym odpowiedniej struktury, dostępnej według określonych kryteriów, niezależnie od tego, czy zestaw danych jest rozproszony lub podzielony funkcjonalnie.

2.

Przetwarzanie danych osobowych może odbywać się metodą: a) papierową, w rozumieniu art. 2 ust. 2 pkt 1) Ustawy; b) informatyczną, w rozumieniu art. 2 ust. 2 pkt 2) Ustawy;

3.

Zgodnie z potrzebami realizacji zadań służbowych, przełożeni użytkowników tworzą zbiory lub wnioskują o ich wycofanie (zmianę), według następujących reguł: a) nazwa zbioru powinna odzwierciedlać cel przetwarzania danych i być zgodna z nazewnictwem stosowanym w przepisach prawa; b) należy wskazać podstawy prawne do przetwarzania danych; c) należy określić sposób i miejsca przetwarzania danych oraz użytkowników; d) należy przekazać informację ABI w celu określenia poziomu bezpieczeństwa systemu, w którym przetwarzane są dane; e) należy zapewnić ochronę danym osobowym.

5

§9 Przełożeni użytkowników mają obowiązek zgłaszania ABI aktualnych wykazów zbiorów danych osobowych przetwarzanych przez podległych im pracowników. § 10 1.

Administrator ma obowiązek zgłosić zbiór danych do rejestracji w GIODO, z wyjątkiem przypadków określonych w art. 43 ust. 1 Ustawy.

2.

Przełożeni mają obowiązek wypełnienia wniosku zgłoszenia zbioru do rejestracji i przekazania go ABI.

3.

Wzór wniosku, o którym mowa w ust. 2, stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025).

4.

Dane osobowe w zbiorze można przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, że zbiór nie zawiera danych sensytywnych. Zbiór zawierający dane sensytywne można przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania. Rozdział 4 Szkolenie oraz prowadzenie dokumentacji z zakresu przetwarzania danych osobowych. § 11

1.

Każda osoba przed rozpoczęciem przetwarzania danych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony danych osobowych. Przełożony zobowiązany jest umożliwiać podwładnym zapoznanie się z tymi przepisami.

2.

W przypadku wdrażania w Urzędzie nowych procedur przetwarzania i ochrony danych osobowych, Administrator na wniosek osób, o których mowa w § 15 ust 3, może polecić zorganizowanie dodatkowych szkoleń dla wskazanych przez przełożonych grup użytkowników.

3.

Szkolenia, o których mowa w ust. 2 organizuje ABI. § 12

Dokumentacja przetwarzania i ochrony danych osobowych w Urzędzie obejmuje: 1. 2. 3.

„Politykę bezpieczeństwa przetwarzania danych osobowych”, „Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; „Regulamin organizacji i przetwarzania danych osobowych”. § 13

6

1.

W procesie przetwarzania i ochrony danych osobowych prowadzi się następujące ewidencje i wykazy: a) „Ewidencja osób upoważnionych do przetwarzania danych osobowych” b) „Wykaz zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania”; c) „Wykaz pomieszczeń tworzących obszary przetwarzania danych osobowych”.

2.

Ewidencję i wykazy, o których mowa w ust. 1, prowadzi ABI w formie elektronicznej lub papierowej. § 14

1.

Ewidencja, o której mowa w § 13 ust. 1 lit. a), zawiera: a) imię i nazwisko użytkownika; b) datę nadania i ustania oraz zakres upoważnienia; c) nazwę komórki organizacyjnej; d) identyfikator użytkownika.

2.

Wykaz, o którym mowa w § 13 ust. 1 lit. b), zawiera: a) nazwę zbioru danych; b) nr rejestru GIODO; c) sposób przetwarzania; d) nazwę programu użytego do przetwarzania w systemie; e) nadany poziom bezpieczeństwa; f) nazwę komórki organizacyjnej, w której przetwarzane są dane.

3.

Wykaz, o którym mowa w § 13 ust. 1 lit. c), zawiera: a) nazwę komórki organizacyjnej; b) nazwę zbioru danych c) numer pomieszczenia. Rozdział 5. Obowiązki osób upoważnionych przez Administratora. § 15

1.

Administrator wykonuje zadania z zakresu przetwarzania i ochrony danych osobowych zgodnie z przepisami Ustawy.

2.

Administrator stosuje środki techniczne i przedsięwzięcia organizacyjne zapewniające skuteczną realizację zadań w zakresie bezpieczeństwa i ochrony danych przetwarzanych w Urzędzie. § 16

1.

Zadania organizacji, koordynacji, kontroli i nadzoru przestrzegania przepisów o ochronie danych osobowych w Urzędzie wykonuje ABI na podstawie upoważnień nadanych przez Administratora lub osobę przez niego wskazaną.

2.

Do zadań ABI należy:

7

a)

koordynowanie przedsięwzięć kierowników komórek organizacyjnych, o których mowa w ust. 1, w zakresie przetwarzania i ochrony danych osobowych; b) nadzorowanie sposobu wykonywania zadań przez osoby, o których mowa w ust. 3, oraz osobę pełniącą funkcje ABI; c) cofanie, ograniczanie lub niewyrażanie zgody na przyznanie uprawnień do przetwarzania danych osobowych osobom niespełniającym warunków, o których mowa w § 6 oraz sprawcom zdarzeń, o których mowa w § 5 ust. 5 „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ”, będącej załącznikiem nr 2 do Zarządzenia; d) przygotowywanie projektów zarządzeń, instrukcji i wytycznych Administratora; e) opiniowanie umów dotyczących udostępniania lub powierzenia przetwarzania danych podmiotom zewnętrznym lub osobom, które nie są pracownikami Urzędu; f) organizowanie szkolenia w zakresie ochrony danych osobowych dla osób, o których mowa w § 15 ust. 3.

§ 17 1.

Administrator realizuje czynności techniczne związane z zapewnieniem skutecznej ochrony danym osobowym przetwarzanym w Urzędzie.

2.

Do Administratora należy: a) wydawanie (wycofywanie) lub zmiana upoważnień do przetwarzania danych osobowych, zgodnie z art. 37 Ustawy; b) prowadzenie ewidencji i wykazów, o których mowa w § 13; c) zgłaszanie lub aktualizowanie zbiorów danych osobowych do rejestracji w GIODO zgodnie z art. 40 i art. 41 Ustawy; d) decydowanie o przekazywaniu danych osobowych do państwa trzeciego, zgodnie z art. 47 Ustawy; e) koordynowanie i nadzorowanie wykonywania zadań w Urzędzie w zakresie zgodności z prawem, celowości, poprawności i adekwatności przetwarzania danych osobowych, zgodnie z art. 26 Ustawy; f) nadzorowanie i kontrolowanie wykonywania w Urzędzie zadań określonych w dokumentacji przetwarzania i ochrony danych osobowych poprzez inspirowanie działań ABI; g) prowadzenie korespondencji z GIODO w imieniu Administratora h) zapewnienie technicznego zabezpieczenia i wyposażenia pomieszczeń i obiektów, które tworzą obszary przetwarzania danych ze szczególnym uwzględnieniem zadań określonych w § 20 ust. 2 lit. c) – e) „Polityki bezpieczeństwa” stanowiącej załącznik nr 1 do Zarządzenia.

3.

Czynności, o których mowa w ust. 2, wykonuje się na wniosek ABI lub właściwego Kierownika komórki organizacyjnej Urzędu.

1.

§ 18 techniczne związane z zapewnieniem ASI realizuje czynności przetwarzania danych osobowych w systemach informatycznych.

bezpieczeństwa

8

2.

3.

Do zadań ASI w szczególności należy: a) dostosowywanie systemów do wymogów prawa, o których mowa w § 22 ust 2; b) w porozumieniu z ABI, planowanie i wdrażanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; c) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; d) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposażenia pomieszczeń, w których znajdują się serwery. Do zadań ASI w szczególności należy: a) administrowanie systemami, w których przetwarzane są dane osobowe; b) dostosowywanie systemów do wymogów prawa, o których mowa w § 22 ust 2; c) w porozumieniu z ABI, planowanie i wdrażanie rozwiązań systemowych i technicznych elementów bezpieczeństwa danych przetwarzanych w systemach; d) zapewnienie sprzętu i oprogramowania systemów, odpowiadających normom przewidzianym dla poziomów bezpieczeństwa przetwarzania danych w systemach; e) nadzorowanie technicznego zabezpieczania i odpowiedniego wyposażenia pomieszczeń, w których znajdują się serwery. f) przyznawanie użytkownikom identyfikatorów i przyznawanie im uprawnień, które wynikają z nadanego upoważnienia do przetwarzania danych osobowych; g) instalowanie, aktualizowanie i konfigurowanie oprogramowania systemowego i aplikacyjnego oraz urządzeń, o ile czynności te nie są wykonywane przez upoważnionych przedstawicieli dostawcy systemu na podstawie zawartej umowy; h) instalowanie i aktualizowanie oprogramowania antywirusowego; i) reagowanie w przypadku naruszenia bądź powstania zagrożenia bezpieczeństwa danych przetwarzanych w systemie; j) tworzenie, rejestrowanie, przechowywanie i archiwizowanie kopii zapasowych baz danych osobowych; k) przygotowywanie urządzeń, dysków i innych elektronicznych nośników informacji, zawierających dane osobowe, do likwidacji, przekazania innemu podmiotowi, konserwacji lub naprawy; l) przekazywania do ABI opisów struktur zbiorów danych, schematów przepływu danych pomiędzy systemami, zawartości poszczególnych pól informacyjnych w aplikacjach oraz wszelkich zmian w tym zakresie; m) zakładanie, modyfikacja lub usuwanie baz danych w systemie oraz realizowanie migracji danych pomiędzy nimi; n) natychmiastowe informowanie ABI o zdarzeniach, o których mowa w lit. i); o) wykonywanie bieżącej konserwacji i przeglądu systemu; p) uaktualnianie kont i uprawnień użytkowników systemu w porozumieniu z ABI. § 19

1.

2.

Kierownicy referatów są odpowiedzialni za przestrzeganie przepisów dotyczących przetwarzania i ochrony danych osobowych w podległych im komórkach organizacyjnych w zakresie upoważnień nadanych przez Administratora. Do zadań osób, o których mowa w ust. 1, należy: a) b) c)

decydowanie o udostępnianiu danych osobowych, zgodnie z art. 29 Ustawy; wnioskowanie o rejestrację (aktualizację) zbiorów w GIODO - wypełnianie wniosków zgłoszenia; przedkładanie ABI wniosków o nadanie (wycofanie) lub zmianę upoważnień do

9

d)

e) f)

g) h) i) j) k)

3

przetwarzania danych osobowych dla pracowników i innych osób; zachowanie szczególnej staranności przy przetwarzaniu danych osobowych, zgodnie art. 26 Ustawy oraz zapewnienie kontroli wprowadzania i przekazywania danych, zgodnie z art. 38 Ustawy; zabezpieczanie danych osobowych zgodnie z przepisami zawartymi w dokumentacji przetwarzania i ochrony danych osobowych; udzielanie informacji, o której mowa w art. 24, art. 25 oraz art. 32 ust. 1 pkt. 1–5 a Ustawy oraz uzupełnianie, uaktualnianie lub prostowanie danych osobowych w przypadkach, o których mowa w art. 32 ust. 1 pkt 6 Ustawy; zawieranie umów dotyczących udostępniania lub powierzenia przetwarzania danych osobom i podmiotom zewnętrznym, zgodnie z art. 31 Ustawy; wskazywanie osoby wykonującej w komórce organizacyjnej czynności administracyjne związane z przetwarzaniem i ochroną danych osobowych; przekazywanie ABI wykazu zbiorów danych i programów zastosowanych do ich przetwarzania oraz lokalizacji obszarów ich przetwarzania; w porozumieniu z ABI rozpatrywanie skarg i wniosków dotyczących przetwarzania i ochrony danych osobowych; na żądanie Administratora lub osoby przez niego upoważnionej przeprowadzenie okresowych analiz ryzyka dla poszczególnych systemów i na tej podstawie przedstawianie Administratorowi propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych.

Osoby, o których mowa w ust. 1, realizując zadania w imieniu Administratora współpracują z ABI, ASI oraz innymi osobami upoważnionymi przez Administratora. § 20

Kierownik Kadr zobowiązany jest do przekazywania ABI informacji dotyczących osób biorących udział w procesie przetwarzania i ochrony danych osobowych w Urzędzie. Informacje te zawierać powinny: a) zmiany w nawiązaniu i rozwiązaniu stosunku pracy; b) zmiany miejsc świadczenia pracy; c) oddelegowanie lub przeniesienie pracownika do innej jednostki organizacyjnej; d) przebywania na urlopie macierzyńskim lub urlopie bezpłatnym powyżej miesiąca; e) przebywanie na zwolnieniu lekarskim powyżej miesiąca; f) zmiany kierowników referatów. § 21 1.

2.

Osoby upoważnione przez Administratora do podpisywania umów z osobami lub podmiotami, o których mowa w § 1 ust. 2 „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych” stanowiącej załącznik nr 2 do Zarządzenia, zobowiązane są do umieszczania postanowień umownych, gwarantujących bezpieczeństwo i ochronę danych osobowych przetwarzanych w Urzędzie. Postanowienia, o których mowa w ust. 1, dotyczą udostępniania lub powierzenia danych do przetwarzania i zawierają: a)

określenie przedmiotu i celu umowy;

10

b) zobowiązanie zleceniobiorcy do zapewnienia bezpieczeństwa i właściwej ochrony przetwarzanych danych osobowych; c)

zobowiązanie zleceniobiorcy do przestrzegania procedur, o których mowa w § 6;

d) oświadczenie zleceniobiorcy dotyczące dostosowania systemów informatycznych wykorzystywanych w procesie przetwarzania danych osobowych do wymogów rozporządzenia, o którym mowa w § 22 ust. 2; e)

zapewnienie zleceniodawcy nadzoru i kontroli nad przetwarzaniem i ochroną danych osobowych;

f)

określenie kar umownych za nieprzestrzeganie zapisów umownych;

g) możliwość rozwiązania umowy w trybie natychmiastowym w przypadku stwierdzenia omijania przez zleceniobiorcę przepisów dotyczących bezpieczeństwa i ochrony przetwarzanych danych osobowych. Rozdział 6 Postanowienia końcowe. § 22 W sprawach nie uregulowanych niniejszym Regulaminem zastosowanie znajdują: 1.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.);

2.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024);

3.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 100, poz. 1025).

4.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923).

11

Załącznik nr 1 do Regulaminu organizacji i przetwarzania danych osobowych …...............................................................

Michałowo, dn. ................................................ (pieczęć komórki organizacyjnej)

Burmistrz Michałowa WNIOSEK Zgodnie z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

w n i o s k u j ę o nadanie /pozbawienie/zmianę/* Pani /Panu/* ...................................................stanowisko służbowe…………………….. upoważnienia do przetwarzania danych osobowych w Urzędzie Miejskim w Michałowie z powodu: /przyjęcia do pracy, przejścia na inne stanowisko, zwolnienia z pracy, zmiany uprawnień, lub innego - jakiego/*: ...........…............................................................................................................................................ Upoważnienie wydaje się na okres: /stały/czasowy –do dnia/*............………......................

1. Zakres przetwarzania danych osobowych ............................................................................................................................................... /zbieranie, utrwalanie, opracowywanie, wprowadzanie, przechowywanie, zmiana, usuwanie, udostępnianie/*

2. Nazwa zbioru danych osobowych: ............................................................................................................................................... ...............................................…………………………………............................................ 3. Sposób przetwarzania danych osobowych: /papierowy/ informatyczny/* 4. Obszar przetwarzania danych osobowych / nr pokoju/ ................................................... 5. Uprawnienia obejmują przetwarzanie danych sensytywnych /art. 27 Ustawy/ /tak/nie/*

6. Osoba została zapoznana z przepisami o ochronie danych osobowych: /tak/nie/* ........................................................ (przełożony osoby ) -------------------------------/* niepotrzebne proszę skreślić

12

Załącznik nr 2 do „Regulaminu organizacji i przetwarzania danych”

................................................................. (imię i nazwisko osoby)

........................................................................ (stanowisko i nazwa komórki organizacyjnej)

OŚWIADCZENIE Ja, niżej podpisana(y), oświadczam, że zapoznała(e)m się z przepisami dotyczącymi przetwarzania i ochrony danych osobowych i zobowiązuję się do przestrzegania: 1. 2.

3.

Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), Procedur dotyczących bezpieczeństwa przetwarzania i ochrony danych osobowych, określonych w zarządzeniach Administratora Danych Osobowych.

Jednocześnie oświadczam, że: zapewnię ochronę danym osobowym przetwarzanym w Urzędzie Miejskim w Michałowie, a w szczególności zabezpieczę je przed dostępem osób nieupoważnionych, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem, b) zachowam w tajemnicy, także po ustaniu stosunku pracy, wszelkie informacje dotyczące przetwarzania oraz sposobów zabezpieczenia danych osobowych w Urzędzie Miejskim w Michałowie, c) natychmiast zgłoszę przełożonemu i Administratorowi Bezpieczeństwa Informacji, stwierdzenie próby lub faktu naruszenia ochrony lub bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe. a)

....................................................... (podpis osoby ubiegającej się o dostęp)

Michałowo, dnia ................................... --------------------------------------------------------------------------------------------------------------------Oświadczenie wypełnia osoba, która wykonując swoje obowiązki musi posiadać dostęp do danych osobowych przetwarzanych w Urzędzie Miejskim w Michałowie. Oświadczenie jest zgodne z art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

13

Załącznik nr 3 do „Regulaminu organizacji i przetwarzania danych”

Michałowo, dnia …………………………… Pan/Pani ……………………………………………… zatrudniony/a w Urzędzie Miejskim w Michałowie na stanowisku …………………………………………… ……………………………………………..

UPOWAŻNIENIE Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniam Pana/Panią do dostępu do danych osobowych przetwarzanych w Urzędzie Miejskim w Michałowie, w zakresie niezbędnym do wykonywania obowiązków służbowych, określonych w zakresie obowiązków z dnia ………………………………… Zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych, ma Pan/Pani obowiązek zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia.

Niniejsze upoważnienie: 1) zostało wydane na czas ……………………………………………………… 2) może być w każdym czasie cofnięte, 3) wygasa z dniem rozwiązania stosunku pracy z upoważnionym pracownikiem. Otrzymuje: ……………………………………. Do wiadomości: 1) Sekretarz Gminy 2) Administrator Bezpieczeństwa Informacji