Zarządzenie Starosty Tarnogórskiego nr 43/2011 z dnia 13.05.2011 roku w sprawie ochrony danych osobowych w Starostwie Powiatowym w Tarnowskich Górach

Zarządzenie nr 43/2011
Starosty Tarnogórskiego
z dnia 13.05.2011 r.

w sprawie ochrony danych osobowych w Starostwie Powiatowym w Tarnowskich Górach

Na podstawie art. 34 ust.1 ustawy z dnia 5 czerwca 1998r. o samorządzie powiatowym (Dz. U. 2001r. Nr 142. poz 1592 z późn. zm.), oraz ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. 2002r. Nr 101, poz. 926, z późn. zm.) a w szczególności art. 36 i następne oraz zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004r. Nr 100, poz. 1024)

zarządzam co następuje:

§1.

1. Przetwarzanie danych osobowych w Starostwie Powiatowym w Tarnowskich Górach służy wyłącznie realizacji zadań i celów  Starostwa Powiatowego w Tarnowskich Górach.
2. Przetwarzanie danych osobowych może odbywać się w systemach informatycznych, a także w kartotekach, skorowidzach, księgach i innych zbiorach ewidencyjnych.
3. W Starostwie Powiatowym w Tarnowskich Górach przetwarzanie, czyli zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych dopuszczalne jest wyłącznie wobec danych, gromadzonych w zarejestrowanych w Departamencie Rejestracji Zbiorów Danych Osobowych Biura Generalnego Inspektora Ochrony Danych Osobowych zbiorach lub zbiorach zwolnionych z obowiązku rejestracji.

§2.

Ilekroć w Zarządzeniu jest mowa o:
1. Wydziale (Wydziałach, Biurach, Referatach), należy przez to rozumieć komórki organizacyjne Starostwa Powiatowego w Tarnowskich Górach,
2. Naczelniku, należy przez to rozumieć naczelnika wydziału, kierownika komórki organizacyjnej równorzędnej wydziałowi, pracowników komórek organizacyjnych, w których nie istnieje stanowisko kierownicze a wyszczególnionych w schemacie organizacyjnym Starostwa Powiatowego w Tarnowskich Górach stanowiącym załącznik do Regulaminu Organizacyjnego Starostwa Powiatowego w Tarnowskich Górach,
3. Administratorze danych osobowych, należy przez to rozumieć Starostę Tarnogórskiego,
4. Lokalnym administratorze bezpieczeństwa informacji, należy przez to rozumieć naczelnika wydziału lub wyznaczonego pracownika wydziału, który pełni obowiązki administratora danych osobowych w zasięgu wydziału, posiadającego stosowne powierzenie obowiązków.
5. Zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
6. Przetwarzaniu danych, należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, zmienianie, udostępnianie i usuwanie.
7. Identyfikatorze użytkownika - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
8. Haśle - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
9. Integralności danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
10. Poufności danych - rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
11. Uwierzytelnianiu - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

§3.

1. Zobowiązuje się naczelników wydziałów w których przetwarzane są dane osobowe do wyznaczenia pracownika pełniącego obowiązki lokalnego administratora danych osobowych i bezpieczeństwa informacji w wydziale.
2. Obowiązki wynikające z ustawy o ochronie danych osobowych powierza się w całości lokalnym administratorom danych osobowych i bezpieczeństwa informacji w wydziałach, jednak wyłącznie na podstawie pisemnego powierzenia obowiązków, według załącznika numer 1.
3. Zadania lokalnego administratora danych osobowych i bezpieczeństwa informacji, określa załącznik numer 2 do niniejszego zarządzenia.
4. Z chwilą wyznaczenia lokalnego administratora danych osobowych i bezpieczeństwa informacji, jest on zobowiązany przekazać tę informację informatykowi, w celu wpisu do ewidencji osób pełniących powyższe obowiązki.
5. Lokalny administrator danych osobowych ma obowiązek w przypadku przetwarzania danych osobowych w systemie /systemach/ informatycznych prowadzić ewidencje rejestru niszczenia haseł, zgodnie z załącznikiem nr. 6

§4.

Informatykom Starostwa Powiatowego powierza się:
1. Opracowanie "Ogólnej Polityki Bezpieczeństwa Danych Osobowych w Starostwie Powiatowym w Tarnowskich Górach" i przedstawienie Administratorowi Danych Osobowych do zatwierdzenia w terminie 60 dni od wejścia w życie niniejszego zarządzenia,
2. Opracowanie wzoru "instrukcji zarządzania systemem informatycznym" i przedstawienie administratorowi danych osobowych do zatwierdzenia w terminie 60 dni od czasu wejścia w życie niniejszego zarządzenia,
3. Prowadzenie ewidencji wszystkich osób pełniących obowiązki lokalnych administratorów danych osobowych i bezpieczeństwa informacji oraz przechowywanie jednego egzemplarza dokumentacji wymienionej w §5 i §6 oraz szczegółowe polityki bezpieczeństwa.
4. Udzielanie pomocy lokalnym administratorom danych osobowych i bezpieczeństwa informacji w zakresie utworzenia oraz wprowadzenia "Szczegółowej Polityki Bezpieczeństwa Danych Osobowych" przez pracowników poszczególnych wydziałów.

§5.

Ogólna Polityka Bezpieczeństwa Danych Osobowych w Starostwie Powiatowym w Tarnowskich Górach, o której mowa w § 4 ust. 1, zawiera w szczególności:
1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4. sposób przepływu danych pomiędzy poszczególnymi systemami,
5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

§6.

Instrukcja zarządzania systemem informatycznym, o której mowa w §4 ust. 2, powinna zawierać w szczególności:
1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
5. sposób, miejsce i okres przechowywania,
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6. sposób zabezpieczenia systemu informatycznego,
7. sposób realizacji wymogów systemu, o których mowa w §7
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
9. Sposób realizacji wymogów zapewnienia przez system odnotowania informacji o odbiorcach zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

§7.

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym.
1. podstawowy (stosuje się, gdy w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002r. Nr 101, poz. 926, z późn. zm.), oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną),
2. podwyższony (stosuje się, gdy w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002r. Nr 101, poz. 926, z późn. zm.), oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną),
3. wysoki (stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną ).

§8.

Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym system ten zapewnia odnotowanie:
1. daty pierwszego wprowadzenia danych do systemu,
2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
4. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002r. Nr 101, poz. 926, z późn. zm.).

§9.

Lokalnych administratorów bezpieczeństwa informacji zobowiązuje się do:
1. Opracowania w obrębie wydziału "Szczegółowej Polityki Bezpieczeństwa Danych Osobowych" i przekazanie jej do zatwierdzenia Administratorowi Danych Osobowych a następnie przekazanie jednej kopii zatwierdzonej przez Administratora Danych Osobowych do Informatyków Wydziału Organizacyjnego.
2. Prowadzenia ewidencji miejsc przetwarzania danych osobowych zgodnie z załącznikiem nr 8,
3. Prowadzenia stałego nadzoru nad przetwarzaniem danych w podległej sobie komórce organizacyjnej, a w szczególności nad zabezpieczeniem pomieszczeń oraz danych osobowych przed uszkodzeniem, zniszczeniem jak również dostępem osób nieupoważnionych,.
4. Dokonywania zgłoszeń zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
5. Przygotowanie, według załącznika numer 3 upoważnień dla pracowników dopuszczonych do przetwarzanie danych osobowych i przedłożenia czterech kopii Administratorowi Danych Osobowych w celu zatwierdzenia.
6. Przekazania jednej kopii podpisanego przez pracownika, administratora danych osobowych i lokalnego administratora bezpieczeństwa informacji upoważnienia do Wydziału Organizacyjnego, Biura Kadr, oraz jednej kopii dla upoważnionego pracownika.
7. Prowadzenie ewidencji haseł dostępowych do systemów (systemu informatycznego, plików, arkuszy itp.) w których przetwarzane są dane osobowe zgodnie z załącznikiem nr 7.
8. Pełnienie funkcji nadzorczej w zakresie stosowania zasad ochrony danych osobowych w podległym wydziale ,
9. Zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia,
10. Zapoznania się oraz przestrzegania postanowień zawartych w ustawie o ochronie danych osobowych (Dz. U. 2002r. Nr 101, poz. 926, z późn. zm.), a w szczególności do ochrony danych osobowych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, nielegalnym ujawnieniem lub pozyskaniem.
11. Nadzorowania pracowników i innych osób upoważnionych pod względem wykonywania przez nich obowiązków związanych z ochroną przetwarzanych danych osobowych w powierzonym wydziale,
12. Nadzorowania podmiotów trzecich, którym powierzono do przetwarzania dane osobowe, pod względem zabezpieczenia tych danych,
13. Podejmowania działań w przypadku naruszenia ochrony danych osobowych, w tym przywrócenie do stanu prawidłowego, zidentyfikowanie przyczyn naruszenia i osób odpowiedzialnych, przedstawienie wniosków administratorowi danych osobowych zgodnie z załącznikiem nr 9,

§10.

Pracowników, którzy zostali upoważnieni do przetwarzania danych osobowych, zobowiązuję się do:
1. Zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia.
2. Zapoznania się oraz przestrzegania postanowień zawartych w ustawie o ochronie danych osobowych, a w szczególności do ochrony danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, nielegalnym ujawnieniem lub pozyskaniem,
3. Umożliwienia Lokalnemu Administratorowi danych osobowych i bezpieczeństwa Informacji wykonywania jego zadań.
4. Wykonywania poleceń i zaleceń Lokalnego administratora danych osobowych i bezpieczeństwa informacji w zakresie ochrony danych osobowych.

§11.

1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie (załącznik nr 3), zatwierdzone przez administratora danych osobowych.
2. Ewidencję osób upoważnionych do przetwarzania danych osobowych (załącznik nr 5) prowadzi lokalny administrator danych i bezpieczeństwa informacji.
3. Każdy pracownik Starostwa Powiatowego zobowiązany jest do podpisania oświadczenia (załącznik nr 4), które lokalny administrator danych osobowych i bezpieczeństwa informacji przekazuje kierownikowi Biura Kadr w celu dołączenia do akt osobowych pracownika
4. Zabrania się pracownikom Starostwa Powiatowego przetwarzania danych osobowych na urządzeniach elektronicznych i informatycznych (np. skaner, ksero, telefon, fax, poczta elektroniczna itp.) w sposób, który myłby doprowadzić do ich ujawnienia osobom nieupoważnionym.

§12.

1. Udostępnianie danych osobowych, instytucjom i osobom spoza urzędu Starostwa Powiatowego w Tarnowskich Górach może odbywać się wyłącznie za pośrednictwem lokalnego administratora danych osobowych i bezpieczeństwa informacji.
2. Udostępnianie danych osobowych następuje wyłącznie na podstawie pisemnego umotywowanego wniosku, który powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz ich zakres i przeznaczenie.
3. Lokalny administrator danych osobowych i bezpieczeństwa informacji zobowiązany jest prowadzić ewidencję złożonych wniosków z żądaniem udostępnienia danych osobowych.

§13.

1. Uchyla się Zarządzenie Starosty Powiatowego w Tarnowskich Górach Nr 38/2005 z dnia 26 kwietnia 2005 roku w sprawie ochrony danych osobowych.
2. Za przestrzeganie procedur i powiadomienie podwładnych o ich treści odpowiedzialni są Naczelnicy.

§14.

Wykonanie zarządzenia powierza się Sekretarzowi Powiatu.

§15.

Zarządzenie wchodzi w życie z dniem podpisania.

Dokument utworzono: Wydział Organizacyjny
Autoryzacja: Starosta Tarnogorski - Lucyna Ekkert