ZARZĄDZENIE Nr 981/V/2009 Burmistrza Gminy Chojna z dnia 30 listopada 2009r. w sprawie ustalenia i wdrożenia polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Chojnie.

ZARZĄDZENIE Nr 981/V/2009

Burmistrza Gminy Chojna

 z dnia 30 listopada 2009r.

 

 

w sprawie ustalenia i wdrożenia polityki bezpieczeństwa przetwarzania danych 

                  osobowych w Urzędzie Miejskim w Chojnie.

 

 

                 Na podstawie art. 31 oraz art. 33 ust. 3 z związku z art. 11a ust. 1 pkt 2 ustawy

 z dnia 8 marca 1990r. o samorządzie gminnym ( Dz. U. z 2001r. Nr 142, poz. 1591

z późniejszymi zmianami), art. 39a ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późniejszymi zmianami) oraz § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024) zarządzam,

co następuje:

 

 

§ 1   Wprowadzam się do użytku służbowego  „ Politykę bezpieczeństwa przetwarzania

        danych osobowych w Urzędzie Miejskim w Chojnie” w brzmieniu stanowiącym

        załącznik Nr 1 do niniejszego zarządzenia.

 

§ 2   Zobowiązuję wszystkich pracowników upoważnionych do przetwarzania danych do  

        przestrzegania polityki bezpieczeństwa w Urzędzie Miejskim w Chojnie oraz

        postanowień ustawy o ochronie danych osobowych i przepisów wykonawczych

        wydanych na jej podstawie.

 

§ 3  Zarządzenie wchodzi w życie z dniem podpisania.

 

 

 

 

 

 

                                                                                           

 

 

                                                        

 

 

 

                                                              

 

 

 

 

 

 

 

 

__________________________________________________________________

CHOJNA - 2009

                                                                                                                                                             

       URZĄD MIEJSKI W CHOJNIE                    ZałaZa

                                                                     Załącznik Nr 1

do zarządzenia Nr 981/V/2009

Burmistrza Gminy Chojna

z dnia 30 listopada 2009r.

 

 

Polityka bezpieczeństwa

przetwarzania danych osobowych   

 

§ 1.

Podstawa prawna

1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz. 926 z późniejszymi zmianami)
2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

§ 2.

Postanowienia ogólne

1.      Ilekroć mowa w niniejszym dokumencie o Polityce, należy przez to rozumieć „Politykę bezpieczeństwa Urzędu Miejskiego w Chojnie”.

2.      Ilekroć mowa w niniejszym dokumencie o Urzędzie należy przez to rozumieć Urząd Miejski w Chojnie.

3.      Ilekroć mowa w niniejszym dokumencie o Burmistrzu należy przez to rozumieć Burmistrza Gminy Chojna.

 

§ 3.

Administratorem danych osobowych zawartych i przetwarzanych w systemach informatycznych Urzędu jest Burmistrz.

 

§ 4.

Administrator danych osobowych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych w systemach informatycznych Urzędu. W celu zrealizowania tych obowiązków administrator danych wprowadza Politykę bezpieczeństwa jako dokument obowiązujący w Urzędzie.

§ 5.

 

Wykaz zbiorów danych osobowych i pomieszczeń, w których są przetwarzane

A. Zbiory wymienione w poniższej tabeli znajdują się w budynku Urzędu Miejskiego
w Chojnie, ul. Jagiellońska 4, 74-500 Chojna.

 

Lp.	Zbiór danych	Postać	Nazwa oprogramowania (producent)	Nr pokoju
1	Ewidencja Dochodów Nieprzypisanych	elektroniczna papierowa	Zakład Systemów Informatycznych „SIGID” w Poznaniu	19 SERWEROWNIA
2	Ewidencja Działalności Gospodarczej	elektroniczna papierowa
3	Ewidencja Opłat Za Wieczyste Użytkowanie	elektroniczna papierowa
4	Ewidencja Środków Trwałych i Wyposażenie	elektroniczna papierowa
5	Ewidencja Opłat Dzierżawnych	elektroniczna papierowa
6	Ewidencja i Rozliczanie Podatku VAT	elektroniczna papierowa
7	Ewidencja i Drukowanie Faktur	elektroniczna papierowa
8	Programy Obsługi Fiskalnej	elektroniczna
9	Programy Obsługi Kasy	elektroniczna
10	Księgowość Budżetowa Jednostki i Zarządu	elektroniczna papierowa
11	Podatek Od Nieruchomości Dla Osób Fizycznych	elektroniczna papierowa
12	Podatek Od Nieruchomości Dla Osób Prawnych	elektroniczna papierowa
13	Ewidencja i Rozliczanie Innych Opłat	elektroniczna papierowa
14	Kadry i Płace Urzędu i Oświaty	elektroniczna papierowa
15	Podatek Od Środków Transportowych	elektroniczna papierowa
16	Ewidencja i Drukowanie Poleceń Przelewów	elektroniczna papierowa
17	Podatek Rolny /Leśny/ Dla Osób Fizycznych	elektroniczna papierowa
18	Podatek Rolny /Leśny/ Dla Osób Prawnych	elektroniczna papierowa
19.	Rejestr Mandatów Karnych	elektroniczna papierowa
20.	Rejestr gruntów i budynków	elektroniczna
21.	Rejestr posiadaczy psów-wersja archiwalna	elektroniczna papierowa
19	Ewidencja ludności i rejestr wyborców	elektroniczna papierowa	CLANET Ewidencja Ludności i Rejestr Wyborców
20.	PŁATNIK	elektroniczna papierowa	ASSECO POLAND S.A
21.	Rejestr poborowych i przedpoborowych	papierowa		20
22.	Rejestr decyzji i wezwań do wykonywania świadczeń na rzecz obronności kraju	papierowa
23.	Rejestr osób przeznaczonych do służby w obronie cywilnej	papierowa
24.	Rejestr osób ubiegających się o najem komunalnego lokalu mieszkalnego lub socjalnego	elektroniczna		15

 

B. Zbiory wymienione w poniższej tabeli znajdują się w budynku Urzędu Miejskiego
w Chojnie, ul. Jagiellońska 2, 74-500 Chojna.

Lp.	Zbiór danych	Postać	Nazwa oprogramowania (producent)	Nr pokoju
1	Rejestry aktów stanu cywilnego	elektroniczna papierowa	PB_USC (PTH TECHNIKA Sp. z o.o.)	USC
2	Baza osób składających wnioski w sprawie wydania dowodów osobistych	elektroniczna papierowa	System Wydawania Dowodów Osobistych (WASKO S. A.)	1

§ 6.

Zagadnienia organizacyjne

1. Burmistrz wyznacza Administratora bezpieczeństwa informacji, Administratora systemu informatycznego oraz osobę upoważnioną do zastępowania Administratora bezpieczeństwa informacji.

W związku z faktem, iż w części zadania Administratora bezpieczeństwa informacji i Administratora systemu informatycznego pokrywają się dopuszcza się możliwość wyznaczenia na te stanowiska jednej osoby.

2.      Do Burmistrza należy zapewnienie odpowiednich pomieszczeń, stosownie zabezpieczonych i wyposażonych do przetwarzania i przechowywania danych osobowych, zaznajomienie pracowników z prawnymi oraz pracowniczymi konsekwencjami naruszenia bezpieczeństwa danych osobowych.

3.      Pracownicy upoważnieni do przetwarzania danych osobowych w systemie informatycznym jak i ręcznym, zobowiązani są do zapoznania się i przestrzegania Polityki.

4.      Osoba przetwarzająca dane osobowe składa oświadczenie o zapoznaniu się
z przepisami i odpowiedzialności karnej za naruszenie ochrony danych osobowych oraz zachowaniu tajemnicy, którego wzór stanowi załącznik nr 1 do Polityki.

5.      Fakt zapoznania się z Polityką pracownik potwierdza własnoręcznym podpisem
na stosownym wykazie, którego wzór stanowi załącznik nr 2 do Polityki.

6.        Pracownikom wolno przebywać na terenie Urzędu tylko w godzinach ich pracy,
a po godzinach pracy i w dni wolne od pracy po uzyskaniu zezwolenia Burmistrza.

7.      Korzystanie z systemu informatycznego służącego do przetwarzania danych
osobowych może odbywać się tylko w godzinach pracy Urzędu, a po godzinach
pracy - po uzyskaniu zezwolenia Burmistrza.

 

§ 7.

Sposób przepływu danych

1.      Stacje robocze w Urzędzie połączone są w sieć logiczną za pośrednictwem sieci Ethernet.

2.      W budynku Urzędu występują dwie podsieci, z czego tylko jedna (z dostępem tylko dla pracowników Urzędu) posiada dopuszczenie do serwera, na którym położone
są bazy zawierające dane osobowe.

3.      W systemie informatycznym Urzędu występuje trzy serwery. Serwery znajdują się w pokoju nr 19. Scentralizowanie położenia pozwala na lepszą administrację, zabezpieczenie i kontrolę nad tworzeniem kopii zapasowych.

4.      Możliwe przepływy danych między oprogramowaniem przetwarzającym bazy danych zawierające dane osobowe:

1)      Ewidencja Ludności –CLANET,

2)      Programy Ewidencyjno Podatkowe –SIGID.

 

§ 8.

Zabezpieczenia fizyczne

1.   Wejścia do budynku Urzędu zabezpieczone są podwójnie zamkami drzwiowymi.

 

2.      Poszczególne pokoje, w których odbywa się przetwarzanie danych i ich składowanie wyposażone są w niezależne zamki i muszą być zamykane podczas nieobecności pracownika. Po zakończeniu pracy osoba zamykająca pomieszczenie klucz powinna umieścić go w specjalnie przeznaczonej gablotce (pokój Nr 16).

3.      Stanowiska komputerowe w pomieszczeniach gdzie mogą przebywać osoby nieupoważnione do przetwarzania danych osobowych (np. interesanci albo inni pracownicy Urzędu) winny być umieszczone w sposób, który uniemożliwi takim osobom wgląd do tych danych. W pokoju, do którego dostęp mają petenci monitory komputerowe ustawione są w ten sposób, by petenci nie widzieli zapisów na ekranie.

4.      W przypadku dłuższej bezczynności uruchamiane są tzw. wygaszacze ekranu lub blokowanie systemu, których dezaktywacja jest możliwa po podaniu prawidłowego hasła użytkownika.

5.      Wydruki zawierające dane osobowe powinny znajdować się w miejscu, które uniemożliwia dostęp osobom postronnym.

6.      Kopie bezpieczeństwa (kopie zapasowe) wykonywane są przez Administratora Systemu Informatycznego. Kopie bezpieczeństwa przechowywane są w szafie metalowej pok. nr 19. Dostęp do nośników zawierających kopie danych mają tylko uprawnione osoby.

7.      Wydruk z ważnym hasłem należy przechowywać tak by uniemożliwić dostęp do niego osobom postronnym (innym niż sam użytkownik, przełożeni i Administrator).

 

§ 9.

Zabezpieczenia niefizyczne

1.      Zalogowanie się do systemu wymaga podania nazwy użytkownika i hasła. Każdy użytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby logowania są rejestrowane

2.      Dostęp do systemu stacji roboczych chroniony jest hasłem.

3.      Oprogramowanie wykorzystywane do przetwarzania danych posiada własny (dodatkowy, oprócz systemowego) system autoryzacji użytkownika.

4.      W celu ochrony przed dostępem do danych komputera z sieci publicznej wykorzystuje się programową i sprzętową zaporę ogniową (ang. firewall).

5.      Zgodnie z przyjętym harmonogramem wykonuje się kopie bezpieczeństwa.

 

§ 10.

Monitorowanie zabezpieczeń

1.   Do monitorowania systemu zabezpieczeń, stosownie do swojego zakresu czynności
zobligowani są:

1)      Administrator danych

2)      Administrator bezpieczeństwa informacji

3)      Administrator systemu informatycznego

2.   W ramach monitoringu należy przeprowadzać następujące działania:

1)      okresowe sprawdzanie kopii bezpieczeństwa pod względem przydatności do odtworzenia danych,

2)      sprawdzania częstotliwości zmian haseł.

 

3.      Administrator bezpieczeństwa informacji sporządza roczne plany kontroli zatwierdzone przez Administratora danych i zgodnie z nimi przeprowadza kontrole oraz dokonuje kwartalnych ocen stanu bezpieczeństwa danych osobowych.

4.      Na podstawie zgromadzonych materiałów, o których mowa w ust. 3. Administrator bezpieczeństwa informacji sporządza roczne sprawozdanie i przedstawia Administratorowi danych.

 

§ 11.

Obowiązki Administratora danych

1. Do obowiązków Administratora danych należy w szczególności:

1)       zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym,

2)       zapobieganie zabraniu danych przez osobę nieuprawnioną,

3)      zapobieganie przetwarzaniu danych z naruszeniem ustawy oraz zmianie, utracie, uszkodzeniu lub zniszczeniu tych danych,

4)      zbierane danych dla oznaczonych, zgodnych z prawem celów,

5)      dbałość o merytoryczną poprawność danych i adekwatność w stosunku do celów
w jakich są przetwarzane,

6)      opracowanie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, przeznaczoną dla osób zatrudnionych przy przetwarzaniu tych danych,

7)      określa budynków, pomieszczeń lub części pomieszczeń, tworzące obszar,
w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego,

8)      opracowanie instrukcji, określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji,

9)      prowadzenie ewidencji osób uprawnionych do przetwarzania danych osobowych,

10)  organizowanie szkoleń mających na celu zaznajomienie każdej osoby przetwarzającej dane osobowe z przepisami dotyczącymi ich ochrony.

2.   Administrator danych odpowiada za to by zakres czynności osoby zatrudnionej
przy przetwarzania danych osobowych określał odpowiedzialność tej osoby za:

1)       ochronę danych przed niepowołanym dostępem,

2)       nieuzasadnioną modyfikację lub zniszczenie danych,

3)       nielegalne ujawnienie danych,

w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych osobowych.

3.   Zgłasza zbiory danych osobowych do rejestracji Generalnemu Inspektorowi
Ochrony Danych Osobowych.

 

§ 12.

Obowiązki Administratora bezpieczeństwa informacji

Do obowiązków Administratora bezpieczeństwa informacji należy w szczególności:

1)      nadzór na przestrzeganiem instrukcji określającej sposób zarządzania systemem informatycznym,

2)      przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane dane osobowe,

3)      podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych,

4)      badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych,

5)      podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych,

6)      nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe,

7)      przeprowadzanie symulowanych włamań do systemu w celu ustalenia aktualnego poziomu zabezpieczeń,

8)      nadzór nad wykonywaniem kopii zapasowych i przechowywaniem,

9)      wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych,

10)  sporządzanie planów kontroli zatwierdzanych przez Administratora danych przeprowadzanie zgodnie z nimi kontroli,

11)  sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego.

 

§ 13.

Obowiązki Administratora systemu informatycznego

Do obowiązków Administratora systemu informatycznego należy w szczególności:

1)      naprawa, konserwacja oraz likwidacja urządzeń komputerowych zawierających dane osobowe,

2)      definiowanie użytkowników i haseł dostępu w systemie,

3)      aktualizowanie oprogramowania systemowego, chyba że aktualizacje wykonywane są automatycznie,

4)      aktualizowanie oprogramowania antywirusowego, chyba że aktualizacje wykonywane są automatycznie,

5)      sporządzanie i okresowe sprawdzanie kopii zapasowych pod kątem ich dalszej przydatności.

§ 14.

Postępowanie w przypadku naruszenia ochrony danych osobowych

1.      Każdy pracownik Urzędu, który poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informację o mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany fakt ten niezwłocznie zgłosić Administratorowi bezpieczeństwa informacji.

2.      W razie niemożliwości zawiadomienia Administratora bezpieczeństwa lub osoby upoważnionej do zastępowania Administratora bezpieczeństwa, należy powiadomić bezpośredniego przełożonego.

3.      W przypadku wykrycia naruszenia ochrony danych osobowych Administrator bezpieczeństwa informacji lub osoba upoważniona do jego zastępowania informuje kierownictwo Urzędu o zaistniałym zdarzeniu oraz przeprowadza wstępne dochodzenie, po czym sporządza raport opisujący okoliczności zdarzenia, którego wzór stanowi załącznik nr 3 do Polityki. Jeśli zdarzenie ma charakter przestępstwa sprawa kierowana jest do organów ścigania.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Załącznik nr 1

do Polityki bezpieczeństwa

Urzędu Miejskiego w Chojnie

 (imię i nazwisko pracownika)

 

 

 

                    (adres)

 

Oświadczenie

(wzór)

1. Stwierdzam własnoręcznym podpisem, że znana mi jest treść przepisów:

a)      o ochronie i postępowaniu z wiadomościami, stanowiącymi tajemnicę służbową,

2. Jednocześnie zobowiązuję się nie ujawniać wiadomości, z którymi zapoznałem/ zapoznałam* się z racji wykonywanej pracy w Urzędzie Miejskim w Chojnie, a w szczególności nie będę:

b)      o zasadach ochrony oraz środkach i zabezpieczeniach danych osobowych
(Dz. U. Nr 133 poz. 833) oraz rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 28 kwietnia 2004 roku (Dz. U. Nr 100 poz. 1024
z 2004r.) oraz o odpowiedzialności karnej za naruszenie ochrony danych osobowych.

a)      ujawniać danych zawartych w eksploatowanych w Urzędzie systemach informatycznych, zwłaszcza danych osobowych znajdujących się w tym systemach,

b)      ujawniać szczegółów technologicznych używanych w Urzędzie systemów oraz oprogramowania,

c)      udostępniać osobom nieupoważnionym nośniki magnetyczne i optyczne oraz wydruki komputerowe,

d)      kopiować lub przetwarzać danych w sposób inny niż dopuszczony obowiązującą instrukcją technologiczną.

 

 

 

 

 

 

(podpis pracownika)

(podpis przełożonego)

* niepotrzebne skreślić

Załącznik nr 3                                                                                                           do Polityki bezpieczeństwa                                                                                                                     Urzędu Miejskiego w Chojnie Raport z naruszenia bezpieczeństwa systemu  informatycznego w Urzędzie Miejskim w Chojnie (wzór) 1. Data: …………………….………             Godzina: ………………………………… (dd.mm.rr)                                                                                  (gg:mm) 2. Osoba powiadamiająca o zaistniałym zdarzeniu: …………………………………………………………………………………………… (imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)) 3. Lokalizacja zdarzenia: …………………………………………………………………………………………… (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:

5. Przyczyny wystąpienia zdarzenia:

6. Podjęte działania:

7. Postępowanie wyjaśniające:

(data, podpis Administratora bezpieczeństwa informacji)

Załącznik nr 2

                                                                                              do Polityki bezpieczeństwa

                                                                                                                    Urzędu Miejskiego w Chojnie

 

 

 

Wykaz osób, które zostały zapoznane z „Polityką bezpieczeństwa Urzędu Miejskiego w Chojnie” przeznaczoną dla osób zatrudnionych przy przetwarzaniu danych

osobowych.

(wzór)

 

Lp.	Nazwisko i imię	Stanowisko	Data	Podpis