Ochrona danych osobowych przetwarzanych w Straży Granicznej.

Dzienniki resortowe

Dz.Urz.KGSG.2014.90

Akt utracił moc
Wersja od: 27 stycznia 2018 r.

DECYZJA Nr 129
KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ
z dnia 11 czerwca 2014 r.
w sprawie ochrony danych osobowych przetwarzanych w Straży Granicznej

Na podstawie art. 3 ust. 4 ustawy z dnia 12 października 1990 r. o Straży Granicznej (Dz. U. z 2011 r. Nr 116, poz. 675, z późn. zm.) w związku z art. 36 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) ustala się, co następuje:

Rozdział  1.

Przepisy ogólne

§  1. 
1. 
Decyzja określa:
1)
administratorów danych w Straży Granicznej;
2)
zadania i uprawnienia lokalnych administratorów danych;
3) 1
 zadania Administratora Bezpieczeństwa Informacji Komendanta Głównego Straży Granicznej, zastępców Administratora Bezpieczeństwa Informacji Komendanta Głównego Straży Granicznej, Administratorów Bezpieczeństwa Zbioru, Administratorów Sytemu Teleinformatycznego;
4)
wymagania w zakresie przetwarzania danych osobowych;
5)
sposób organizacji i prowadzenia szkoleń z zakresu ochrony danych osobowych;
6)
warunki powierzania przetwarzania danych osobowych.
2. 
Decyzja wprowadza do użytku służbowego:
1)
Politykę bezpieczeństwa przetwarzania danych osobowych w Straży Granicznej, zwaną dalej "Polityką bezpieczeństwa", stanowiącą załącznik nr 1 do decyzji;
2)
Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Straży Granicznej, zwaną dalej "Instrukcją", stanowiącą załącznik nr 2 do decyzji.
§  2. 
1. 
Określone w decyzji środki techniczne i organizacyjne zapewniające ochronę danych osobowych stosuje się do wszystkich danych osobowych przetwarzanych w Straży Granicznej bez względu na sposób ich uzyskania i przechowywania, w tym do danych osobowych udostępnionych Komendantowi Głównemu Straży Granicznej lub Straży Granicznej przez inne podmioty.
2. 
Jeżeli odrębne przepisy dotyczące przetwarzania danych osobowych, w tym dokumentacja opisująca sposób przetwarzania danych osobowych w Straży Granicznej, przewiduje dalej idącą ich ochronę, niż wynika to z decyzji, stosuje się przepisy, które zapewnią wyższy poziom ochrony danych osobowych.
3. 
Dokumentacja bezpieczeństwa opracowana dla zbiorów danych oznaczonych klauzulą tajności, w tym szczególne wymagania bezpieczeństwa i procedury bezpiecznej eksploatacji, wchodzi w skład dokumentacji opisującej sposób przetwarzania danych osobowych w Straży Granicznej.
§  3. 
Użyte w decyzji określenia oznaczają:
1)
ustawa - ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
2)
rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024);
3)
zbiór danych - zbiór danych w rozumieniu art. 7 pkt 1 ustawy;
4)
wykaz zbiorów danych - wykaz zbiorów danych przetwarzanych w Straży Granicznej;
5)
SG - Straż Graniczną;
6)
KGSG - Komendę Główną Straży Granicznej;
7)
ośrodek szkolenia - Centralny Ośrodek Szkolenia Straży Granicznej w Koszalinie, Centrum Szkolenia Straży Granicznej w Kętrzynie i Ośrodek Szkoleń Specjalistycznych Straży Granicznej w Lubaniu;
8) 2
 jednostka organizacyjna - Biuro Spraw Wewnętrznych SG, oddział SG, ośrodek szkolenia, ośrodek SG;
9)
graniczna jednostka organizacyjna - placówka SG, dywizjon SG;
10)
komórka organizacyjna - komórkę organizacyjną KGSG;
11)
BOI KGSG - Biuro Ochrony Informacji Komendy Głównej Straży Granicznej;
12)
administrator danych - administratora danych w rozumieniu art. 7 pkt 4 ustawy;
13)
lokalny administrator danych - kierowników komórek organizacyjnych, jednostek organizacyjnych, granicznych jednostek organizacyjnych oraz kierownika Archiwum Straży Granicznej;
14)
ABI KGSG - Administratora Bezpieczeństwa Informacji Komendanta Głównego Straży Granicznej;
15) 3
 (uchylony);
16) 4
 ABZ - Administratora Bezpieczeństwa Zbioru;
17)
ATI - Administratora Systemu Teleinformatycznego;
18)
BIOS - (ang. Basic Input/Output System - podstawowy system wejścia-wyjścia) - zapisany w pamięci stałej komputera zestaw podstawowych procedur pośredniczących pomiędzy systemem operacyjnym a sprzętem, które po włączeniu komputera uruchamiają system operacyjny;
19)
informatyczny nośnik danych - materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej jak również elektroniczny nośnik informacji i nośnik informacji.

Rozdział  2.

Administratorzy danych

§  4. 
Administratorami danych w SG są:
1)
Komendant Główny Straży Granicznej;
2)
kierownicy jednostek organizacyjnych.
§  5. 
Komendant Główny Straży Granicznej jest administratorem danych:
1)
przetwarzanych w zbiorach danych wymienionych w wykazie zbiorów danych, z wyłączeniem zbiorów danych, których administratorami są kierownicy jednostek organizacyjnych;
2)
funkcjonariuszy pełniących służbę oraz pracowników zatrudnionych w KGSG, osób świadczących usługi na podstawie umów cywilnoprawnych, a także osób uczących się w KGSG;
3)
osób przebywających w obiektach KGSG, których dane są przetwarzane dla potrzeb zapewnienia ochrony tych obiektów;
4)
osób, których dane są przetwarzane dla potrzeb związanych z prowadzoną na ich rzecz działalnością, w szczególności mieszkaniową oraz świadczoną opieką medyczną;
5)
innych osób, których dane są przetwarzane w związku z realizacją zadań przez Komendanta Głównego Straży Granicznej.
§  6. 
1. 
Kierownicy jednostek organizacyjnych są administratorami danych:
1)
funkcjonariuszy pełniących służbę, pracowników zatrudnionych w podległych im jednostkach organizacyjnych, osób świadczących usługi na podstawie umów cywilnoprawnych, a także osób uczących się w tych jednostkach;
2)
osób przebywających w podległych im obiektach, których dane są przetwarzane dla potrzeb zapewnienia ochrony tych obiektów;
3)
osób, których dane są przetwarzane dla potrzeb związanych z prowadzoną na ich rzecz działalnością, w szczególności mieszkaniową oraz świadczoną opieką medyczną;
4)
funkcjonariuszy pełniących służbę oraz pracowników zatrudnionych w SG znajdujących się na ich zaopatrzeniu w odniesieniu do danych osobowych niezbędnych do realizacji tych czynności;
5)
innych osób, których dane są przetwarzane w związku z realizacją zadań przez kierowników jednostek organizacyjnych.
2. 
Utworzenie zbiorów danych osób, o których mowa w ust. 1 pkt 5, jest uzależnione od uzyskania zgody Komendanta Głównego Straży Granicznej.

Rozdział  3.

Lokalni administratorzy danych

§  7. 
1. 
Lokalni administratorzy danych, w zakresie właściwości, realizują zadania Komendanta Głównego Straży Granicznej jako administratora danych.
2. 
Lokalni administratorzy danych są zobowiązani w szczególności do:
1)
stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem;
2)
zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru danych wprowadzone oraz komu zostały przekazane;
3)
zapewnienia prowadzenia rejestru nadanych upoważnień do przetwarzania danych osobowych oraz ewidencji, o której mowa w art. 39 ust. 1 ustawy;
4)
wyznaczania obszarów, w których mogą być przetwarzane dane osobowe;
5)
zapewnienia prowadzenia w formie pisemnej wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe oraz niezwłocznego jego aktualizowania;
6)
wykonywania obowiązku informacyjnego wynikającego z realizacji praw osób, których dane dotyczą;
7)
niezwłocznego przekazywania do ABI KGSG informacji niezbędnych do aktualizowania wykazu zbiorów danych;
8)
zapewnienia szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie ochrony danych osobowych;
9)
wyznaczania ABZ, chyba że sami wykonują te czynności;
10)
wyznaczania ATI, w przypadku przetwarzania danych osobowych w systemie informatycznym, chyba że sami wykonują te czynności;
11)
występowania o utworzenie zbioru danych przed rozpoczęciem przetwarzania w nim danych osobowych, zmianę struktury zbioru danych przed dokonaniem zmian w zbiorze danych lub likwidację zbioru danych w przypadku zaprzestania przetwarzania danych osobowych w zbiorze danych, którego administratorem jest Komendant Główny Straży Granicznej;
12)
udzielania ABI KGSG niezbędnej pomocy w zakresie realizacji jego zadań, a w szczególności do opracowania i przekazania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz jej aktualizacji;
13)
wykonywania zaleceń dyrektora BOI KGSG oraz ABI KGSG w zakresie ochrony danych osobowych;
14)
sprawowania nadzoru w zakresie przetwarzania danych osobowych zgodnie z przepisami w podległych im komórkach organizacyjnych, jednostkach organizacyjnych, granicznych jednostkach organizacyjnych oraz Archiwum Straży Granicznej.
3. 
Zadania, o których mowa w ust. 1 i 2, nie obejmują zgłaszania zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
§  8. 
Lokalni administratorzy danych są uprawnieni do:
1)
przetwarzania danych osobowych, w tym udostępniania danych osobowych ze zbiorów danych, w których przetwarzają te dane w związku z realizacją zadań służbowych, podmiotom uprawnionym do ich otrzymania, chyba że podmioty, które udostępniły dane, wprowadziły w tym zakresie ograniczenia lub zastrzeżenia;
2)
nadawania i odwoływania, zgodnie z właściwością, upoważnień do przetwarzania danych osobowych, w tym udostępniania danych osobowych.
§  9. 
Lokalni administratorzy danych realizują, zgodnie z właściwością, zadania i uprawnienia administratora danych także w odniesieniu do danych osobowych udostępnionych Komendantowi Głównemu Straży Granicznej lub SG. Przepisy § 7 i 8 stosuje się odpowiednio.
§  10. 
Dyrektor Biura Łączności i Informatyki Komendy Głównej Straży Granicznej udziela kierownikom komórek organizacyjnych niezbędnej pomocy w konfiguracji wskazanych przez nich stanowisk komputerowych, na których są przetwarzane dane osobowe, zgodnie z obowiązującymi w tym zakresie przepisami dotyczącymi ochrony danych osobowych.

Rozdział  4.

Zadania ABI KGSG, zastępcy ABI KGSG, ABZ, ATI  5

§  11. 
1.  6
 ABI KGSG realizuje zadania administratora bezpieczeństwa informacji określone w przepisach dotyczących ochrony danych osobowych, w odniesieniu do danych osobowych, których administratorem jest Komendant Główny Straży Granicznej oraz danych osobowych udostępnionych przez inne podmioty Komendantowi Głównemu Straży Granicznej lub SG.
2. 
ABI KGSG realizuje czynności polegające na:
1)
dokonywaniu okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych w celu zapewnienia właściwego poziomu ochrony danych osobowych przetwarzanych w SG;
2)
realizowaniu procedur związanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych, których administratorem jest Komendant Główny Straży Granicznej;
3)
organizowaniu szkoleń z zakresu ochrony danych osobowych dla osób przetwarzających dane osobowe w KGSG;
4)
przetwarzaniu danych osobowych w zakresie wynikającym z realizacji obowiązków służbowych;
5)
wydawaniu zaleceń w zakresie ochrony danych osobowych;
6)
opiniowaniu wniosków dotyczących tworzenia, zmiany struktury lub zaprzestania przetwarzania danych osobowych w zbiorze danych;
7)
realizacji procedur związanych z nadawaniem upoważnień do przetwarzania danych osobowych przez Komendanta Głównego Straży Granicznej;
8)
prowadzeniu:
a)
wykazu zbiorów danych,
b)
ewidencji osób upoważnionych przez Komendanta Głównego Straży Granicznej do przetwarzania danych osobowych,
c)
ewidencji osób, które przeszkolono w KGSG w zakresie bezpieczeństwa i ochrony danych osobowych.
3. 
Zadania ABI KGSG wykonuje wyznaczony przez Komendanta Głównego Straży Granicznej funkcjonariusz BOI KGSG.
4.  7
 ABI KGSG realizuje zadania przy pomocy zastępców ABI KGSG oraz innych funkcjonariuszy i pracowników podległych ABI KGSG.
§  12.  8
1. 
Zastępca ABI KGSG realizuje zadania ABI KGSG określone w przepisach dotyczących ochrony danych osobowych, w jednostce organizacyjnej, z której został wyznaczony, z wyjątkiem § 11 ust. 2 pkt 2, 7 i 8 oraz art. 36a ust. 2 pkt 2 ustawy.
2. 
Zastępca ABI KGSG realizuje zadania przy pomocy podległych mu funkcjonariuszy i pracowników.
§  13.  9
1. 
ABZ jest odpowiedzialny za zapewnienie bezpieczeństwa przetwarzanych danych osobowych w ramach określonego zbioru lub zbiorów danych w jednostce organizacyjnej lub komórce organizacyjnej, w której został wyznaczony. Do jego zadań należy w szczególności:
1)
wykonywanie poleceń lokalnego administratora danych oraz realizacja zadań przez niego wskazanych, w szczególności wynikających z innych dokumentów opracowanych dla konkretnych zbiorów danych oraz systemów informatycznych, w których są przetwarzane dane osobowe;
2)
wdrażanie zasad bezpieczeństwa określonych w przepisach dotyczących ochrony danych osobowych, w szczególności w decyzji oraz nadzór nad ich przestrzeganiem;
3)
przygotowanie, przechowywanie i rejestrowanie upoważnień do przetwarzania danych osobowych;
4)
prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w art. 39 ust. 1 ustawy;
5)
prowadzenie wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
6)
przyjmowanie informacji o przypadkach naruszenia bezpieczeństwa przetwarzania danych osobowych, niezwłoczne podejmowanie działań zmierzających do zapobieżenia powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności danych osobowych oraz ustalenia przyczyn ich powstania;
7)
informowanie lokalnego administratora danych o naruszeniach zasad bezpieczeństwa przetwarzania danych osobowych, podjętych działaniach, dokonanych ustaleniach oraz propozycjach mających na celu wyeliminowanie zagrożenia w przyszłości;
8)
prowadzenie szkoleń z zakresu ochrony danych osobowych oraz bezpieczeństwa systemów informatycznych, w przypadku posiadania w tym zakresie niezbędnej wiedzy i doświadczenia;
9) 10
 wykonywanie zaleceń ABI KGSG lub zastępcy ABI KGSG w zakresie ochrony danych osobowych;
10)
prowadzenie dziennika działań ABZ i ewidencjonowanie w nim wykonywanych czynności.
2. 
Zadania ABZ może wykonywać, w zależności od potrzeb, jedna osoba lub zespół osób w danej jednostce organizacyjnej lub komórce organizacyjnej.
§  14. 
1. 
ATI jest odpowiedzialny za prawidłowe i bezpieczne funkcjonowanie systemu informatycznego, w którym są przetwarzane dane osobowe w jednostce organizacyjnej lub komórce organizacyjnej, w której został wyznaczony. Do jego zadań należy w szczególności:
1)
wykonywanie poleceń lokalnego administratora danych oraz realizacja zadań przez niego wskazanych, w szczególności wynikających z innych dokumentów opracowanych dla konkretnych zbiorów danych oraz systemów informatycznych, w których są przetwarzane dane osobowe;
2)
konfiguracja stanowisk komputerowych zgodnie z wymaganiami, instalacja i aktualizacja oprogramowania, w tym antywirusowego;
3)
utrzymywanie w aktualności hasła administratora systemu informatycznego złożonego w depozycie w miejscu wyznaczonym przez lokalnego administratora danych zapewniającym jego dostępność, integralność i poufność;
4)
zakładanie, blokowanie i zamykanie kont użytkownikom do systemu informatycznego w zakresie zgodnym z upoważnieniem do przetwarzania danych osobowych;
5)
podejmowanie czynności związanych z bieżącą naprawą, konserwacją i rozbudową systemu informatycznego w zakresie umożliwiającym utrzymywanie go w stałej sprawności technicznej oraz funkcjonalnej;
6)
sporządzanie kopii zapasowych lokalnych systemów informatycznych i zbiorów danych oraz ich przechowywanie w miejscu wyznaczonym przez lokalnego administratora danych zapewniającym jej dostępność, integralność i poufność;
7)
dokonywanie oględzin sprzętu odebranego z naprawy przed zainstalowaniem w systemie informatycznym, pod kątem spełnienia wymogów bezpieczeństwa;
8)
prowadzenie ewidencji osób uprawnionych do przetwarzania danych osobowych w systemie informatycznym, którego jest administratorem, zawierającej informacje, o których mowa w art. 39 ust. 1 ustawy;
9)
stosowanie procedury nadawania oraz odbierania uprawnień do zbiorów danych;
10)
przyjmowanie od użytkowników uwag o spostrzeżonych nieprawidłowościach w działaniu systemu informatycznego oraz podejmowanie działań zmierzających do zapewnienia sprawności systemu informatycznego;
11)
przyjmowanie informacji o przypadkach naruszenia bezpieczeństwa przetwarzania danych osobowych, niezwłoczne podejmowanie działań zmierzających do zapobieżenia powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności danych osobowych oraz ustalenia przyczyn ich powstania;
12)
informowanie lokalnego administratora danych o naruszeniach zasad bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, podjętych działaniach, dokonanych ustaleniach oraz propozycjach mających na celu wyeliminowanie zagrożenia w przyszłości;
13)
nadzór nad przekazywaniem przez użytkowników uszkodzonych informatycznych nośników danych osobowych do właściwej kancelarii w celu zniszczenia;
14)
udział w prowadzonych szkoleniach dotyczących ochrony danych osobowych w zakresie bezpieczeństwa systemów informatycznych, a w szczególności przedstawianie uregulowań zawartych w Instrukcji;
15) 11
 wykonywanie zaleceń ABI KGSG lub zastępcy ABI KGSG w zakresie ochrony danych osobowych;
16)
prowadzenie dziennika działań ATI i ewidencjonowanie w nim wykonywanych czynności.
2. 
Zadania ATI może wykonywać, w zależności od potrzeb, jedna osoba lub zespół osób w danej jednostce organizacyjnej lub komórce organizacyjnej.
§  15. 
1.  12
 (uchylony).
2. 
Zadania ABZ oraz ATI mogą być realizowane przez tę samą osobę.
3.  13
 (uchylony).
4.  14
 Ewidencje, o których mowa w § 13 ust. 1 pkt 4 i § 14 ust. 1 pkt 8, ABZ i ATI, w porozumieniu, mogą prowadzić jako jedną ewidencję.

Rozdział  5.

Wymagania w zakresie przetwarzania danych osobowych

§  16. 
1. 
Przetwarzanie danych osobowych jest dopuszczalne w zbiorach danych:
1)
zawartych w wykazie zbiorów danych;
2)
utworzonych przez kierowników jednostek organizacyjnych

- w celu i zakresie, w jakim zbiory danych zostały utworzone.

2. 
Przetwarzanie danych osobowych jest dopuszczalne również poza zbiorami danych, w przypadku gdy spełnione są przesłanki wynikające z art. 23 lub 27 ustawy i jednocześnie dane osobowe nie stanowią zbioru danych.
3. 
Do przetwarzania danych osobowych mogą być dopuszczone osoby, które spełniają łącznie następujące warunki:
1)
realizują zadania służbowe wymagające przetwarzania danych osobowych;
2)
odbyły szkolenie z zakresu ochrony danych osobowych;
3)
posiadają upoważnienie do przetwarzania danych osobowych.
4. 
Upoważnienie do przetwarzania danych osobowych nadaje się osobie, która w ramach realizowanych zadań służbowych przetwarza dane osobowe. Proponowany zakres uprawnień oraz nazwę zbiorów danych, do których osoba ma otrzymać upoważnienie i czas, na jaki ma być ono udzielone określa się na podstawie analizy zakresu obowiązków i uprawnień danej osoby.
5. 
Upoważnienie do przetwarzania danych osobowych traci ważność w przypadku:
1)
zmiany przez osobę upoważnioną komórki organizacyjnej, jednostki organizacyjnej, granicznej jednostki organizacyjnej, w której pełni służbę lub jest zatrudniona;
2)
zmiany zakresu obowiązków, w wyniku której osoba utraciła prawo do przetwarzania danych osobowych;
3)
zawieszenia osoby w czynnościach służbowych;
4)
zwolnienia osoby ze służby lub pracy w SG;
5)
zakończenia przez osobę upoważnioną świadczenia usług lub nauki w SG;
6)
odwołania upoważnienia;
7)
upływu czasu, na który upoważnienie zostało udzielone.
§  17. 
1. 
Wzór upoważnienia do przetwarzania danych osobowych określa załącznik nr 3 do decyzji.
2. 
Wzoru upoważnienia, o którym mowa w ust. 1, można nie stosować w uzasadnionych przypadkach, w szczególności gdy:
1)
istnieje potrzeba zbiorowego wydawania upoważnienia;
2)
upoważnienie jest wydawane przy wykorzystaniu wbudowanej funkcjonalności systemu teleinformatycznego;
3)
upoważnienie jest wydawane osobom świadczącym usługi na podstawie umów cywilnoprawnych lub uczącym się u administratora danych.
3. 
Zakres upoważnienia może być określony poprzez podanie nazwy profilu (grupy roboczej), do której użytkownik będzie dopisany w przypadku, gdy dane osobowe będą przetwarzane w systemie informatycznym.
4.  15
 (uchylony).
§  18. 
1. 
Osoba upoważniona do przetwarzania danych osobowych jest odpowiedzialna za zapewnienie bezpieczeństwa przetwarzanych danych osobowych na swoim stanowisku służby lub pracy.
2. 
Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do:
1)
zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym decyzją oraz z innymi dokumentami opisującymi sposób przetwarzania danych osobowych, do których przetwarzania zostały upoważnione oraz do ich przestrzegania;
2)
dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności są obowiązane zapewnić, aby dane te były:
a)
przetwarzane zgodnie z prawem,
b)
zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami,
c)
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
d)
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, z uwzględnieniem przepisów odrębnych dotyczących zasad przechowywania informacji i danych osobowych;
3)
zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia;
4)
zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem, w szczególności po zakończeniu służby lub pracy;
5)
korzystania z dostępu wyłącznie do tych zbiorów danych, w tym przetwarzanych w systemach informatycznych, do których dostęp ten wynika z powierzonych jej przez przełożonego obowiązków służbowych i z zakresu upoważnienia;
6)
nie tworzenia i nie przechowywania zbędnych kopii zbiorów danych oraz dokumentów zawierających dane osobowe;
7)
zabezpieczenia dokumentów i informatycznych nośników danych z danymi osobowymi w przeznaczonych do tego szafach lub pomieszczeniach zgodnie z obowiązującymi w tym zakresie przepisami;
8)
przetwarzania danych osobowych w taki sposób, aby osoby nieupoważnione nie widziały oraz nie słyszały treści danych osobowych;
9)
opuszczania stanowiska służby lub pracy po aktywowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób;
10)
informowania przełożonych oraz ABZ i ATI o przypadkach naruszeniach zasad bezpieczeństwa przetwarzania danych osobowych, przyczynach ich powstania, podjętych działaniach mających na celu zapobieżenie powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności danych osobowych oraz propozycjach mających na celu wyeliminowanie zagrożenia dla bezpieczeństwa danych osobowych w przyszłości;
11)
udziału w organizowanych szkoleniach z zakresu ochrony danych osobowych, do odbycia których, zostali wyznaczeni.
3. 
Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do przestrzegania tajemnicy, o której mowa w ust. 2 pkt 3, przez cały czas realizacji zadań, a także po ustaniu stosunku służby lub pracy, odwołaniu z pełnionej funkcji, zrealizowaniu umowy lub porozumienia.
§  19. 
Osoby kontrolujące zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, na podstawie imiennego upoważnienia do kontroli, mają prawo wglądu do zbioru danych zawierającego dane osobowe w zakresie niezbędnym do przeprowadzenia kontroli.

Rozdział  6.

Organizacja i prowadzenie szkoleń z zakresu ochrony danych osobowych

§  20. 
1. 
Za organizację i przeprowadzenie szkoleń z zakresu ochrony danych osobowych odpowiedzialni są:
1)
dyrektor BOI KGSG;
2)
kierownicy jednostek organizacyjnych;
3)
kierownicy granicznych jednostek organizacyjnych.
2. 
Dyrektor BOI KGSG organizuje i przeprowadza szkolenia z własnej inicjatywy lub na wniosek kierowników komórek organizacyjnych dla funkcjonariuszy pełniących służbę i pracowników zatrudnionych w tych komórkach.
3. 
Kierownicy komórek organizacyjnych, w zakresie właściwości, udzielają dyrektorowi BOI KGSG niezbędnej pomocy w organizacji i przeprowadzeniu szkoleń.
4. 
Dyrektor BOI KGSG może zapewnić przeszkolenie funkcjonariuszy pełniących służbę i pracowników zatrudnionych w jednostkach organizacyjnych lub granicznych jednostkach organizacyjnych, na wniosek kierowników tych jednostek.
5. 
Kierownicy jednostek organizacyjnych oraz granicznych jednostek organizacyjnych organizują i przeprowadzają szkolenia dla funkcjonariuszy i pracowników w podległych im jednostkach.
6. 
Kierownicy jednostek organizacyjnych oraz granicznych jednostek organizacyjnych mogą zapewnić przeszkolenie funkcjonariuszy pełniących służbę i pracowników zatrudnionych w innych jednostkach organizacyjnych lub granicznych jednostkach organizacyjnych, a także komórkach organizacyjnych, na wniosek kierowników tych jednostek lub komórek.
7. 
Kierownicy jednostek organizacyjnych udzielą kierownikom granicznych jednostek organizacyjnych pomocy w organizacji i przeprowadzeniu szkolenia, w tym w przygotowaniu instruktorów.
8. 
Komendanci ośrodków szkolenia, w których prowadzone jest szkolenie podstawowe, są zobowiązani do przeszkolenia w zakresie ochrony danych osobowych funkcjonariuszy odbywających to szkolenie.
9. 
Osoby, o których mowa w ust. 1:
1)
wydają dla przeszkolonych osób zaświadczenia potwierdzające odbycie szkolenia;
2)
prowadzą ewidencję osób przeszkolonych.
10. 
Ewidencja, o której mowa w ust. 9 pkt 2, zawiera co najmniej:
1)
imię i nazwisko;
2)
datę urodzenia lub numer PESEL;
3)
termin szkolenia;
4)
temat szkolenia.
11. 
Ewidencja, o której mowa w ust. 9 pkt 2, może być jednocześnie wykorzystywana jako rejestr wydanych zaświadczeń.
§  21. 
1. 
Komendant Główny Straży Granicznej może zobowiązać funkcjonariuszy i pracowników SG przetwarzających dane osobowe do ukończenia, w wyznaczonym terminie, kursu doskonalącego w zakresie ochrony danych osobowych, organizowanego w trybie e-learningowym, zwanego dalej "kursem doskonalącym".
2. 
Dyrektor BOI KGSG przygotowuje materiały niezbędne do przeprowadzenia kursu doskonalącego, uwzględniające w szczególności zidentyfikowane zagrożenia oraz zmiany w przepisach dotyczących ochrony danych osobowych.
3. 
Materiały, o których mowa w ust. 2, stanowią podstawę opracowania przez ośrodek szkolenia programu kursu doskonalącego.
4. 
Ośrodek szkolenia, o którym mowa w ust. 3, zamieszcza kurs doskonalący na platformie e-learningowej SG.
5. 
W uzasadnionych przypadkach, w szczególności braku możliwości udziału w kursie doskonalącym, Dyrektor BOI KGSG, na wniosek kierowników jednostek lub komórek organizacyjnych może wyrazić zgodę na odbycie kursu doskonalącego w innym trybie lub innym terminie.
6. 
Odbycie kursu doskonalącego nie wymaga wydania zaświadczenia. Ukończenie kursu dokumentuje się w formie wykazu osób, które ukończyły kurs.

Rozdział  7.

Powierzanie przetwarzania danych osobowych

§  22. 
1. 
Powierzenie przetwarzania danych osobowych, których administratorem jest Komendant Główny Straży Granicznej oraz danych osobowych udostępnionych przez inne podmioty Komendantowi Głównemu Straży Granicznej lub SG, podmiotowi zewnętrznemu, zwanemu dalej "Podmiotem", może nastąpić tylko po uzyskaniu zgody Komendanta Głównego Straży Granicznej lub osoby przez niego upoważnionej, na podstawie pisemnej umowy.
2. 
Umowa, o której mowa w ust. 1, powinna określać w szczególności:
1)
zakres i cel powierzenia Podmiotowi przetwarzania danych osobowych;
2)
zakres odpowiedzialności Podmiotu z tytułu niewykonania lub nienależytego wykonania umowy;
3)
zobowiązanie Podmiotu, przed rozpoczęciem przetwarzania danych osobowych, do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, co najmniej na poziomie określonym w SG, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
4)
prawo SG do kontroli realizacji przez Podmiot ochrony powierzonych przetwarzaniu danych osobowych w zakresie wynikającym z realizacji przedmiotu umowy w miejscu, w których Podmiot przetwarza powierzone dane osobowe, w tym w siedzibie Podmiotu.
3. 
Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności administratora danych, w tym lokalnych administratorów danych, za zgodne z prawem przetwarzanie powierzonych danych osobowych.

Rozdział  8.

Przepisy końcowe

§  23. 
Ilekroć w dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych opracowanej w SG mowa jest o decyzji, Polityce bezpieczeństwa lub Instrukcji należy przez to rozumieć niniejszą decyzję wraz z Polityką bezpieczeństwa i Instrukcją, stanowiącymi załączniki do decyzji.
§  24. 
Osoby, które posiadają zaświadczenia o przeszkoleniu z zakresu bezpieczeństwa i ochrony danych SIS i VIS odbytym po dniu 20 maja 2008 r. na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 6 maja 2008 r. w sprawie sposobu przeprowadzania szkoleń z zakresu bezpieczeństwa i ochrony danych wykorzystywanych poprzez Krajowy System Informatyczny (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń (Dz. U. Nr 80, poz. 482 oraz z 2011 r. Nr 143, poz. 844), uznaje się za osoby przeszkolone z zakresu ochrony danych osobowych.
§  25. 
1. 
Upoważnienia do przetwarzania danych osobowych nadane zgodnie z decyzją, o której mowa w § 26, zachowują ważność przez okres, na który zostały nadane.
2. 
Wykaz zbiorów danych osobowych przetwarzanych w Straży Granicznej prowadzony zgodnie ze wzorem określonym w decyzji, o której mowa w § 26, staje się wykazem zbiorów danych, o którym mowa w niniejszej decyzji.
§  26. 
Traci moc decyzja nr 3 Komendanta Głównego Straży Granicznej z dnia 10 stycznia 2005 r. w sprawie zabezpieczenia danych osobowych w Straży Granicznej (Dz. Urz. KGSG Nr 1, poz. 6, Nr 6, poz. 39 i Nr 9, poz. 63, z 2007 r. Nr 13, poz. 115, z 2009 r. Nr 8, poz. 56 oraz z 2014 r. poz. 26).
§  27. 
Decyzja wchodzi w życie po upływie 14 dni od dnia podpisania.

ZAŁĄCZNIKI

ZAŁĄCZNIK Nr  1

POLITYKA BEZPIECZEŃSTWA

przetwarzania danych osobowych w Straży Granicznej

Rozdział  1.

Budynki, pomieszczenia lub części pomieszczeń tworzące obszar, w którym są przetwarzane dane osobowe

§  1. 
1. 
Dane osobowe mogą być przetwarzane w budynkach i pomieszczeniach:
1)
KGSG;
2)
komend oddziałów SG;
3)
ośrodków szkolenia;
4)
ośrodków SG;
5)
placówek i dywizjonów SG

- zgodnie z aktualnie obowiązującą strukturą organizacyjną.

2. 
Dane osobowe mogą być przetwarzane przez funkcjonariuszy i pracowników SG w budynkach i pomieszczeniach podmiotów innych niż SG, w których realizują oni zadania zgodnie z zawartymi z tymi podmiotami umowami, porozumieniami oraz dokonanymi uzgodnieniami lub gdy wynika to z charakteru realizowanych przez nich zadań.
3. 
Dane osobowe mogą być przetwarzane poza budynkami i pomieszczeniami, o których mowa w ust. 1 i 2, w szczególności za pomocą urządzeń mobilnych, w ramach wykonywania ustawowych zadań w miejscu ich realizacji.
4. 
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym są przetwarzane dane osobowe, prowadzony jest przez lokalnych administratorów danych w formie pisemnej jako odrębny dokument. Wykaz stanowi integralną część Polityki bezpieczeństwa.

Rozdział  2.

Zbiory danych oraz ich struktura

§  2. 
1. 
Komendant Główny Straży Granicznej z urzędu lub na pisemny wniosek kierowników jednostek organizacyjnych lub kierowników komórek organizacyjnych tworzy zbiory danych, których jest administratorem, zmienia ich strukturę lub je likwiduje.
2. 
Wniosek, o którym mowa w ust. 1, kierowany jest do Komendanta Głównego Straży Granicznej, za pośrednictwem dyrektora BOI KGSG.
3. 
Wniosek, o którym mowa w ust. 1, podlega uzgodnieniu przez dyrektora BOI KGSG z właściwymi kierownikami jednostek organizacyjnych lub kierownikami komórek organizacyjnych nadzorującymi realizację zadań związanych z przetwarzaniem danych osobowych objętych wnioskiem.
4. 
Wniosek, o którym mowa w ust. 1, zawiera:
1)
informacje, o których mowa w § 4 ust. 1;
2)
informacje określone we wzorze zgłoszenia zbioru danych do rejestracji do Generalnego Inspektora Danych Osobowych, w przypadku gdy zbiór podlega takiej rejestracji;
3)
termin utworzenia, zmiany struktury lub likwidacji zbioru danych;
4)
osoby odpowiedzialne za administrowanie i zapewnienie bezpieczeństwa zbioru.
5. 
Komisja powołana przez Komendanta Głównego Straży Granicznej usuwa dane ze zbioru zlikwidowanego przez Komendanta Głównego Straży Granicznej lub dokonuje ich archiwizacji. Komisja sporządza protokół z przeprowadzonych czynności. W protokole wskazuje się sposób usunięcia zgromadzonych danych lub sposób zarchiwizowania danych osobowych.
6. 
Przepisy ust. 1-5 stosuje się odpowiednio do zbiorów danych udostępnionych Komendantowi Głównemu Straży Granicznej lub SG.
§  3. 
1. 
Kierownicy jednostek organizacyjnych tworzą zbiory danych, których są administratorami, zmieniają ich strukturę lub je likwidują.
2. 
Kierownicy jednostek organizacyjnych są zobowiązani do poinformowania ABI KGSG o przesłanych do Generalnego Inspektora Ochrony Danych Osobowych zgłoszeniach zbiorów danych, o których mowa w ust. 1, do rejestracji oraz o ich zarejestrowaniu lub odmowie rejestracji. Zgłoszenie zbioru może nastąpić po uprzedniej konsultacji z Dyrektorem BOI KGSG.
§  4. 
1.  16
 Wykaz zbiorów danych stanowi odrębny dokument i zawiera, w szczególności informacje, o których mowa w § 3 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. poz. 719).
2.  17
 Opis struktury zbiorów danych może być zawarty w wykazie zbiorów danych, w zakresie danych przetwarzanych w zbiorze lub może być prowadzony jako odrębny dokument, w szczególności w dokumentacjach technicznych systemów informatycznych.
3. 
Wykaz zbiorów danych obejmuje zbiory danych:
1)
których administratorem danych jest Komendant Główny Straży Granicznej;
2)
o których mowa w § 6 ust. 1 pkt 5 decyzji;
3)
udostępnione Komendantowi Głównemu Straży Granicznej lub SG.
4. 
Wykaz zbiorów danych prowadzony jest w formie pisemnej.

Rozdział  3.

Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych

§  6. 
1. 
Podczas przetwarzania danych osobowych, należy stosować następujące środki bezpieczeństwa w zakresie ochrony fizycznej:
1)
wszystkie operacje na danych osobowych, a w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie muszą się odbywać w miejscach zabezpieczonych przed dostępem osób nieupoważnionych;
2)
budynki i pomieszczenia, w których odbywa się przetwarzanie danych osobowych oraz szafy do przechowywania informatycznych nośników danych i dokumentów, muszą spełniać wymagania przynajmniej jak dla informacji niejawnych o klauzuli "zastrzeżone";
3)
budynki i pomieszczenia, w których są przetwarzane dane osobowe, powinny być zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych;
4)
klucze do budynków i pomieszczeń powinny być przechowywane i wydawane zgodnie z procedurą przewidzianą w planie ochrony podmiotu, którego dotyczą;
5)
przebywanie osób nieuprawnionych wewnątrz budynków i pomieszczeń, w których przetwarzane są dane osobowe, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych;
6)
wydruki i inne dokumenty, w tym informatyczne nośniki danych, zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w budynkach i pomieszczeniach, w których przetwarzane są dane osobowe. Niepotrzebne wydruki lub inne dokumenty należy niszczyć w niszczarkach, z uwzględnieniem przepisów dotyczących obiegu informacji jawnych i niejawnych w SG.
2. 
Podczas przetwarzania danych osobowych w systemie informatycznym, należy stosować środki techniczne i organizacyjne dotyczące urządzeń i systemów informatycznych służących do przetwarzania danych osobowych określone w przepisach odrębnych, w szczególności w rozporządzeniu.
§  7. 
1. 
Komputery przenośne używane do przetwarzania danych osobowych, powinny być zabezpieczone podczas transportu, przechowywania i użytkowania, przed dostępem do nich osób nieupoważnionych oraz poprzez:
1)
zabezpieczenie hasłem dostęp do BIOS;
2)
zabezpieczenie dostępu do komputera poprzez zastosowanie jednej z dostępnych metod uwierzytelniania;
3)
zaszyfrowanie plików z danymi osobowymi, jeżeli jest taka możliwość;
4)
zainstalowanie oprogramowania antywirusowego, zgodne z zasadami obowiązującymi w SG i dbanie o jego bieżącą aktualizację.
2.  18
 Należy stosować środki ochrony kryptograficznej wobec przetwarzanych danych osobowych w przypadku transportu, przechowywania i użytkowania informatycznych nośników danych poza budynkami i pomieszczeniami, o których mowa w § 1 ust. 1 i 2.

ZAŁĄCZNIK Nr  2

INSTRUKCJA

zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Straży Granicznej

§  1. 
Przepisy ogólne
1.
Instrukcja zawiera ogólne procedury zarządzania systemami informatycznymi oraz warunki i sposób postępowania przy wykorzystaniu systemów służących do przetwarzania danych osobowych w SG.
2.
Procedury, warunki i sposób postępowania, o których mowa w ust. 1, obowiązują wszystkich użytkowników systemów informatycznych, stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności.
3.
W przypadkach uzasadnionych wymaganiami konkretnego systemu informatycznego mogą być tworzone do tych systemów szczególne wymagania bezpieczeństwa i procedury bezpiecznej eksploatacji oraz polityki bezpieczeństwa przetwarzania danych osobowych i instrukcje zarządzania systemem informatycznym służącym do przetwarzania danych lub inne dokumenty.
§  2. 
Procedura nadawania i odbierania uprawnień do przetwarzania danych osobowych, rejestrowania tych uprawnień w systemie informatycznym oraz osoby odpowiedzialne za te czynności
1. 
Nadanie uprawnień w systemie informatycznym może nastąpić na podstawie posiadanego przez użytkownika upoważnienia do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, lub wniosku o nadanie uprawnień, który zawiera:
1)
zakres uprawnień - nazwę profilu (grupy roboczej), do której użytkownik będzie dopisany;
2)
numer upoważnienia do przetwarzania danych osobowych, o którym mowa w § 17 decyzji;
3)
inne informacje niezbędne do nadania uprawnień.
2. 
ATI po nadaniu uprawnień w systemie informatycznym potwierdza ten fakt poprzez:
1)
złożenie na upoważnieniu do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, czytelnego podpisu oraz wpisaniu daty i przydzielonego użytkownikowi identyfikatora użytkownika, albo
2)
pisemne zawiadomienie wnioskującego zawierające informacje wskazujące osobę, której nadano uprawnienia oraz przydzielony jej identyfikator użytkownika.
3. 
W przypadku, o którym mowa w ust. 2 pkt 2, w upoważnieniu do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, identyfikator użytkownika oraz numer i datę pisemnego zawiadomienia wpisuje właściwy ABZ.
4. 
Identyfikator użytkownika i hasło tymczasowe do systemu informatycznego lub inne przyjęte metody uwierzytelniania (np. elektroniczna karta Infrastruktury Klucza Publicznego - karta PKI wraz z kodem PIN) są przekazywane użytkownikowi systemu informatycznego przez ATI lub przez inną upoważnioną osobę, w sposób uniemożliwiający zapoznanie się z nimi osób postronnych.
5. 
Odebranie uprawnień użytkownikowi w systemie informatycznym następuje po utracie ważności upoważnienia do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, w przypadkach wymienionych w § 16 ust. 5 decyzji, bądź na polecenie lokalnego administratora danych.
6. 
Odebranie uprawnień w systemie informatycznym może nastąpić na podstawie wniosku o odebranie uprawnień lub wpisu w treści upoważnienia do przetwarzania danych osobowych, o którym mowa w § 17 decyzji.
7. 
ATI po odebraniu uprawnień w systemie informatycznym potwierdza ten fakt poprzez:
1)
złożenie na upoważnieniu do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, czytelnego podpisu oraz wpisaniu daty odebrania uprawnień, albo
2)
pisemne zawiadomienie wnioskującego zawierające informacje wskazujące osobę, której odebrano uprawnienia.
8. 
W przypadku, o którym mowa w ust. 7 pkt 2, w upoważnieniu do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, numer i datę pisemnego zawiadomienia wpisuje właściwy ABZ.
9. 
Wniosek, o którym mowa w ust. 1 i ust. 6 może złożyć każda osoba, która stwierdzi potrzebę nadania lub odebrania uprawnień użytkownikowi w systemie informatycznym w związku z realizacją lub zaprzestaniem realizacji czynności służbowych.
10. 
Na polecenie lokalnego administratora danych uprawnienia użytkownika w systemie informatycznym mogą zostać zablokowane.
11. 
Wnioski o nadanie i odebranie uprawnień użytkownikowi w systemie informatycznym przechowuje i archiwizuje ATI. Wnioski może przechowywać i archiwizować także ABZ, jeżeli takie rozwiązanie przyjęto dla danego systemu informatycznego.
§  3. 
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
1. 
BIOS należy zabezpieczyć hasłem.
2. 
ATI przydziela hasło tymczasowe (startowe) użytkownikowi, któremu nadano uprawnienia w systemie informatycznym i przypisano lub wygenerowano identyfikator.
3. 
W przypadku, gdy z systemu informatycznego korzysta więcej niż jeden użytkownik dostęp do systemu informatycznego powinien być zabezpieczony za pomocą przyjętych mechanizmów uwierzytelniania. Każdemu użytkownikowi przypisuje się odrębny, indywidualny identyfikator użytkownika oraz dane służące uwierzytelnieniu.
4. 
Nie dopuszcza się przetwarzania danych osobowych w systemie informatycznym z uprawnieniami administracyjnymi. Zakaz nie dotyczy danych osobowych niezbędnych do nadania uprawnień.
5. 
W odniesieniu do systemów informatycznych, w których do uwierzytelniania użytkowników używa się identyfikatora użytkownika i hasła należy stosować następujące zasady:
1)
identyfikator użytkownika i hasło tymczasowe do systemu informatycznego są przekazywane użytkownikowi systemu informatycznego osobiście przez ATI w sposób uniemożliwiający zapoznanie się z nimi przez osoby trzecie;
2)
zmiana hasła tymczasowego jest wymuszona przy pierwszym zalogowaniu użytkownika;
3)
hasła muszą spełniać poniższe wymagania:
a)
dla systemów informatycznych, w których nie są przetwarzane dane osobowe, o których mowa w art. 27 ustawy oraz żadne z urządzeń tych systemów informatycznych nie są połączone z siecią publiczną:
minimalna długość - 6 znaków (12 dla ATI),
maksymalny okres ważności - 30 dni,
system informatyczny wymusza zmianę hasła,
b)
dla systemów informatycznych, w których są przetwarzane dane osobowe, o których mowa w art. 27 ustawy oraz żadne z urządzeń tych systemów informatycznych nie są połączone z siecią publiczną:
minimalna długość - 8 znaków (12 dla ATI),
maksymalny okres ważności - 30 dni
system informatyczny wymusza zmianę hasła,
hasło musi zawierać małe i wielkie litery oraz cyfry lub znaki specjalne, jeżeli system informatyczny to umożliwia,
c)
dla systemów informatycznych, w których przynajmniej jedno urządzenie systemu połączone jest z siecią publiczną, stosuje się zabezpieczenie wymienione w lit. b oraz wykorzystuje się środki ochrony kryptograficznej wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane do sieci publicznej;
4)
zmiana hasła w systemie informatycznym powinna być wymuszana przez system informatyczny przy logowaniu po upływie jego okresu ważności;
5)
hasła, w stosunku do których zaistniało podejrzenie ich ujawnienia, podlegają bezzwłocznej zmianie.
6. 
W odniesieniu do systemów informatycznych, w których do uwierzytelniania używa się karty PKI lub innej przyjętej metody uwierzytelniania należy stosować następujące zasady:
1)
karta PKI i kod PIN do niej są przekazywane użytkownikowi systemu informatycznego w sposób uniemożliwiające zapoznanie się z nimi przez osoby trzecie;
2)
użytkownik jest zobowiązany zmienić kod PIN do karty na swój własny po pierwszym użyciu karty;
3)
zabrania się udostępniania karty PKI oraz kodu PIN do niej innym osobom;
4)
użytkownik powinien niezwłocznie po zagubieniu karty zawiadomić ATI.
7. 
Raz użyty identyfikator użytkownika nie może być ponownie nadany w danym systemie informatycznym innej osobie.
8. 
W przypadku odebrania uprawnień użytkownikowi w systemie informatycznym, identyfikator użytkownika powinien w tym systemie pozostać.
9. 
W celu zabezpieczenia awaryjnego dostępu do systemu informatycznego przetwarzającego dane osobowe, aktualne hasło ATI jest przechowywane w depozycie w miejscu wyznaczonym przez lokalnego administratora danych, w którym jest zapewniona integralność i poufność tego hasła oraz kontrola nad tym, kto się z nim zapoznał.
10.  19
 W uzasadnionych przypadkach lokalny administrator danych może wydać pisemne polecenie wykorzystania w trybie awaryjnym, przez upoważnioną osobę, uprawnień ATI w systemie informatycznym. Po wykorzystaniu uprawnień ATI w trybie awaryjnym sporządza się notatkę i informuje zastępcę ABI KGSG.
§  4. 
Procedura rozpoczęcia pracy przeznaczona dla użytkowników systemu informatycznego

Rozpoczynając pracę użytkownik systemu informatycznego jest zobowiązany:

1)
ustawić monitor w sposób uniemożliwiający podgląd ekranu osobom nieuprawnionym;
2)
po włączeniu zasilania, obserwować monitor ekranowy, kontrolować proces uruchamiania systemu informatycznego, obserwować komunikaty wyświetlane na ekranie monitora i w razie stwierdzenia nieprawidłowości, w szczególności nietypowych komunikatów, zawieszenia systemu informatycznego, powiadomić ATI;
3)
zalogować się, zwracając szczególną uwagę, aby uwierzytelnianie odbywało się w sposób dyskretny (nie było możliwości obserwacji klawiatury przez osoby przebywające w pomieszczeniu).
§  5. 
Procedura zawieszenia pracy przeznaczona dla użytkowników systemu informatycznego

W przypadku krótkotrwałego opuszczenia stanowiska pracy lub pomieszczenia, w szczególności, gdy w pomieszczeniu pracuje więcej niż jedna osoba, użytkownik systemu informatycznego jest zobowiązany uaktywnić wygaszacz ekranu zabezpieczony hasłem lub w inny sposób zabezpieczyć system przed dostępem innych osób.

§  6. 
Procedura zakończenia pracy przeznaczona dla użytkowników systemu informatycznego

Kończąc pracę użytkownik systemu informatycznego jest zobowiązany:

1)
przed wylogowaniem sprawdzić, czy nie ma pozostawionych zadań do wydrukowania zarówno w pamięci komputera, jak i drukarki;
2)
w przypadku problemów powstałych podczas drukowania, wydrukować pustą (niezapisaną) stronę lub stronę testową. Jeżeli strona zostanie poprawnie wydrukowana, użytkownik może zakończyć pracę na stanowisku. W przeciwnym razie musi powiadomić ATI;
3)
sprawdzić, czy w komputerze nie pozostały zewnętrzne (przenośne) informatyczne nośniki danych, w szczególności takie jak dyskietki, płyty CD lub DVD, pamięci flash itp.;
4)
prawidłowo wylogować się z systemu informatycznego, wyłączyć komputer i zabezpieczyć stanowisko przed dostępem osób nieuprawnionych;
5)
zwrócić szczególną uwagę na właściwe zabezpieczenie informatycznych nośników danych i wydruków zawierających dane osobowe po zakończeniu pracy;
6)
sprawdzić, czy nie pozostały w drukarce, niezabezpieczonych szufladach itp. dokumenty zawierające dane osobowe;
7)
zniszczyć wydruki wadliwe w niszczarce dokumentów, bądź zabezpieczyć je przed dostępem osób nieuprawnionych do czasu ich zniszczenia.
§  7. 
Czynności zabronione podczas rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego
1. 
Zabrania się:
1)
kontynuowania uruchamiania systemu informatycznego, w sytuacji kiedy użytkownik zauważy nietypowe działanie systemu informatycznego, np. wyświetlanie nietypowych komunikatów;
2)
eksploatacji systemu informatycznego sygnalizującego nieprawidłowe bądź nietypowe działanie;
3)
kontynuowania uruchamiania systemu informatycznego, w sytuacji, kiedy oprogramowanie antywirusowe wykryje obecność wirusa;
4)
zapisywania i pozostawiania w miejscach niezabezpieczonych przed ujawnieniem identyfikatora użytkownika i hasła oraz kodu PIN do karty PKI;
5)
ujawniania innym osobom identyfikatora użytkownika i hasła;
6)
udostępniania innym osobom karty PKI oraz kodu PIN;
7)
opuszczania pomieszczenia bez zabezpieczenia dostępu do stanowiska (wylogowania lub włączenia zabezpieczonego hasłem wygaszacza);
8)
pozostawiania wykorzystywanych dokumentów papierowych i informatycznych nośników danych bez nadzoru;
9)
wykonywania czynności wykraczających poza zakres upoważnienia do przetwarzania danych osobowych, o którym mowa w § 17 decyzji, w szczególności dokonywania nieuprawnionych prób dostępu do zasobów;
10)
wpuszczania, podczas przetwarzania danych osobowych, osób nieuprawnionych do pomieszczeń, gdzie zlokalizowano stanowiska systemu informatycznego, w którym są przetwarzane dane osobowe, bez zgody administratora danych lub obecności osoby upoważnionej do przetwarzania danych osobowych;
11)
samowolnego uruchamiania i instalowania jakiegokolwiek oprogramowania, jeżeli nie jest to w zakresie obowiązków użytkownika;
12)
nieuprawnionego kopiowania jakichkolwiek danych znajdujących się w systemie informatycznym;
13)
samowolnej zmiany ustawień konfiguracyjnych, przemieszczania urządzeń wchodzących w skład systemu informatycznego;
14)
używania na stanowiskach niezaewidencjonowanych informatycznych nośników danych.
2. 
W przypadkach, o których mowa w ust. 1 pkt 1-3, o zaistniałych sytuacjach należy niezwłocznie powiadomić ATI.
§  8. 
Procedura tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
1. 
Za wykonywanie kopii zapasowych zbiorów danych odpowiedzialny jest ATI, w którego właściwości pozostaje wykonywanie tych kopii. Kopie wykonuje ATI lub upoważnia do ich wykonania użytkownika z odpowiednimi uprawnieniami.
2. 
Kopie zapasowe zbiorów danych powinny być wykonywane na odpowiednich nośnikach informacji, zarejestrowanych i dokładnie opisanych.
3. 
Kopie zapasowe zbiorów danych należy wykonywać zgodnie ze specyfiką poszczególnych zbiorów danych. Powinny one obejmować, zgodnie z przyjętym harmonogramem, aktualny stan systemu informatycznego, operacyjnego, bazę danych, aplikacje oraz zasoby plikowe.
4. 
Częstotliwość i metodę wykonywania kopii zapasowych zbiorów danych określa szczegółowy harmonogram dla danego systemu informatycznego, który akceptuje lokalny administrator danych.
5. 
Kopie zapasowe zbiorów danych nie powinny być przechowywane w tych samych pomieszczeniach, w których znajdują się zbiory danych.
6. 
Kopie zapasowe zbiorów danych powinny być przechowywane w sposób uniemożliwiający dostęp do nich nieupoważnionym osobom oraz w miarę możliwości zabezpieczone przed nieuprawnionym zniszczeniem np. w przypadku pożaru, zalania czy katastrofy budowlanej.
7. 
Informatyczne nośniki danych, na których są zapisane kopie zapasowe zbiorów danych, które uległy uszkodzeniu lub stały się niepotrzebne pozbawia się zapisu danych, a w przypadku, gdy nie jest to możliwe, niszczy się w stopniu uniemożliwiającym ich odczytanie.
§  9. 
Procedura postępowania z wydrukami z systemów informatycznych
1. 
Wydruki z systemu informatycznego zawierające dane osobowe mogą być sporządzane jedynie w związku z realizacją zadań i podlegają ochronie zgodnie z przepisami dotyczącymi ochrony danych osobowych.
2. 
Wydruki z systemów informatycznych zawierające dane osobowe podlegają ewidencjonowaniu, przechowywaniu, przekazywaniu, archiwizacji i brakowaniu, zgodnie z odrębnymi przepisami dotyczącymi obiegu informacji jawnych i niejawnych w SG.
3. 
Wydruki próbne z systemów informatycznych, do czasu ich zniszczenia, należy chronić jak dokumenty właściwe.
4. 
Zniszczenia wydruków dokonuje się przy użyciu przeznaczonych do tego celu urządzeń (niszczarek) zgodnie z odrębnymi przepisami dotyczącymi obiegu informacji jawnych i niejawnych w SG.
§  10. 
Procedura zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
1. 
Systemy informatyczne służące do przetwarzania danych osobowych muszą być zabezpieczone przed szkodliwym oprogramowaniem.
2. 
Wszystkie informatyczne nośniki danych z oprogramowaniem używanym w systemie (system informatyczny, operacyjny, programy użytkowe, oprogramowanie narzędziowe, sterowniki oraz pliki z danymi), jak również zawierające dane osobowe podlegają procedurze kontroli na obecność wirusów.
3. 
Należy zachować szczególną ostrożność przy używaniu informatycznych nośników danych pochodzących z zewnątrz, każdorazowo sprawdzając je na obecność szkodliwego oprogramowania przed użyciem w systemie informatycznym.
4. 
Makropolecenia (tzw. makra) zawarte w dokumentach wolno uruchamiać tylko przy aktywnym skanerze antywirusowym.
5. 
W przypadku stwierdzenia zawirusowania informatycznych nośników danych, należy niezwłocznie powiadomić ATI lub ABZ.
6. 
Zabrania się samowolnego usuwania wirusów przez użytkowników systemu informatycznego.
7. 
ATI oraz ABZ podejmują działania, mające na celu uniemożliwienie lub ograniczenie powstania szkód w wyniku działania wirusa oraz zabezpieczają zawirusowany informatyczny nośnik danych w celu zidentyfikowania wirusa oraz ustalenia źródła infekcji poprzez jego zatrzymanie i uniemożliwienie dalszego jego wykorzystania.
8. 
ATI podejmuje działania, mające na celu uniemożliwienie w przyszłości zawirusowania systemu informatycznego ze źródła, o którym mowa w ust. 7 i 11.
9. 
Zainfekowany informatyczny nośnik danych należy oznaczyć napisem ostrzegawczym.
10. 
Zaistniałe zdarzenie ATI i ABZ odnotowują w prowadzonych przez siebie dziennikach działań.
11.  20
 ABZ wspólnie z ATI podejmuje kroki, mające na celu wyjaśnienie źródła infekcji, a o wynikach dochodzenia informuje lokalnego administratora danych oraz zastępcę ABI KGSG.
§  11. 
Odnotowywanie informacji o odbiorcach, którym dane osobowe zostały udostępnione

Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, z wyjątkiem systemów informatycznych służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie oraz używanych do przetwarzania danych zawartych w zbiorach jawnych, system informatyczny musi zapewniać odnotowanie informacji o:

1)
odbiorcach, którym dane osobowe zostały udostępnione;
2)
dacie i zakresie udostępnienia danych osobowych.

Informacje te mogą zostać odnotowane w odrębnym dokumencie lub systemie informatycznym, określonym przez lokalnego administratora danych.

§  12. 
Procedura postępowania w sytuacji naruszenia zabezpieczenia systemu informatycznego i bezpieczeństwa przetwarzanych w nim danych osobowych
1. 
Każda osoba przetwarzająca dane osobowe jest zobowiązana do niezwłocznego powiadomienia ATI lub ABZ o:
1)
stwierdzonym naruszeniu zabezpieczenia systemu informatycznego;
2)
wystąpieniu zagrożenia naruszenia bezpieczeństwa przetwarzanych danych osobowych w systemie informatycznym, w szczególności gdy stan urządzenia, zawartość zbioru danych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.
2. 
Użytkownik systemu informatycznego w każdym przypadku naruszenia lub uzasadnionego podejrzenia naruszenia zabezpieczenia systemu informatycznego, w którym są przetwarzane dane osobowe, powinien:
1)
powstrzymać się od rozpoczęcia lub kontynuowania jakiejkolwiek czynności mogącej spowodować zatarcie śladów, bądź dowodów naruszenia;
2)
podjąć, stosownie do zaistniałej sytuacji, niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować naruszeniem danych osobowych.
3. 
ATI niezwłocznie po otrzymaniu informacji o naruszeniu lub o podejrzeniu naruszenia zabezpieczenia systemu informatycznego przetwarzającego dane osobowe, podejmuje działania zmierzające do usunięcia zagrożenia bezpieczeństwa tych danych.
4. 
ATI ma obowiązek:
1)
zarejestrować zgłoszenie w odpowiednim rejestrze (np. w dzienniku działań ATI, itp.) odnotowując: dane osoby zgłaszającej, datę i godzinę zgłoszenia oraz jego treść;
2)
ustalić przyczyny, rodzaj, rozmiar i okoliczności stworzenia zagrożenia lub dokonania naruszenia ochrony danych osobowych wraz z zabezpieczeniem dowodów;
3)
podjąć działania mające na celu ustalenie sprawcy, miejsca, czasu i sposobu dokonania naruszenia oraz zapobieżenie dalszemu naruszaniu ochrony danych osobowych;
4)
podjąć decyzję o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych i wydać stosowne polecenia i wskazówki osobom przetwarzającym dane osobowe (administrującym danymi) lub obsłudze urządzeń służących do tego celu;
5) 21
 niezwłocznie zawiadomić ABZ, jeżeli nie został powiadomiony wcześniej oraz lokalnego administratora danych lub zastępcę ABI KGSG o zaistniałym zdarzeniu.
5. 
ABZ sporządza z przebiegu zdarzenia raport, w którym zamieszcza, w szczególności informacje o:
1)
ustaleniach dotyczących sytuacji naruszenia zasad ochrony danych osobowych;
2)
przeprowadzonych czynnościach;
3)
podjętych decyzjach i ich uzasadnieniu;
4)
wnioskach i propozycjach ewentualnego podniesienia poziomu zabezpieczeń w systemie informatycznym.
6.  22
 Raport przekazuje się niezwłocznie lokalnemu administratorowi danych za pośrednictwem zastępcy ABI KGSG.
§  13. 
Przetwarzanie danych osobowych na stanowiskach podłączonych do sieci publicznej (Internet)
1. 
W systemie informatycznym podłączonym do sieci publicznej (Internet) nie powinny być przechowywane zbiory danych lub przetwarzane dane osobowe, o których mowa w art. 27 ust. 1 ustawy.
2. 
W przypadku zaistnienia konieczności lokalny administrator danych może wydać pisemną zgodę na przetwarzanie, w tym przechowywanie, danych osobowych w systemie informatycznym, o którym mowa w ust. 1.
3. 
System informatyczny, o którym mowa w ust. 1, podłączony do sieci publicznej powinien być zabezpieczony w sposób zapewniający wysoki poziom bezpieczeństwa przetwarzania danych osobowych określony w rozporządzeniu.
§  14. 
Procedura postępowania z informatycznymi nośnikami danych
1. 
Procedury postępowania z informatycznymi nośnikami danych, w tym ewidencjonowanie, oznaczanie, przechowywanie, archiwizacja i brakowanie, powinny być zgodne z odrębnymi przepisami dotyczącymi obiegu informacji jawnych lub niejawnych w SG.
2. 
Zabrania się:
1)
nieuprawnionego wynoszenia poza obszar, w którym są przetwarzane dane osobowe informatycznych nośników danych zawierających te dane;
2)
nieuprawnionego wnoszenia do obszaru, w którym są przetwarzane dane osobowe niezarejestrowanych informatycznych nośników danych z wyjątkiem informatycznych nośników danych, które są:
a)
dołączane do pism,
b)
wykorzystywane do działalności służbowej innej niż przechowywanie informacji zawierających dane osobowe (np. czynności administratora);
3)
wykorzystywania zarejestrowanych informatycznych nośników danych do celów innych niż te, do których są przeznaczone.
3. 
Nakazuje się:
1)
przechowywanie informatycznych nośników danych w sposób uniemożliwiający dostęp do nich osób nieuprawnionych;
2)
usuwanie z informatycznych nośników danych zbędnych danych osobowych, które nie są wykorzystywane do bieżącej działalności służbowej i nie podlegają archiwizacji;
3) 23
 szyfrowanie informatycznych nośników danych w przypadku ich transportu, przechowywania i użytkowania poza obiektami SG - jeżeli jest taka możliwość.
§  15. 
Procedura wykonywania przeglądów, konserwacji i naprawy systemu informatycznego
1. 
Wszelkie prace konserwacyjne i naprawcze mogą być wykonywane jedynie przez ATI.
2. 
Prace wykraczające poza możliwości ATI prowadzone są przez serwis łączności i informatyki SG w obecności i pod nadzorem ATI.
3. 
Prace dotyczące przeglądów, konserwacji i napraw systemu informatycznego prowadzone na terenie budynków i pomieszczeń SG, wymagające zaangażowania autoryzowanych firm zewnętrznych, są wykonywane przez uprawnionych przedstawicieli tych firm (serwisantów) pod nadzorem ATI, bez możliwości dostępu do danych osobowych przetwarzanych w tych systemach.
4. 
Systemy informatyczne, przeznaczone do naprawy, pozbawia się przed naprawą zapisu danych osobowych lub naprawia się je pod nadzorem ATI lub innej osoby upoważnionej przez lokalnego administratora danych.
5. 
Jeżeli informatyczny nośnik danych stanowiący element składowy systemu informatycznego jest uszkodzony i nie ma możliwości usunięcia z niego danych osobowych, należy wymontować go z urządzenia i wybrakować.
6. 
Przed przekazaniem sprzętu stanowiącego element składowy systemu informatycznego do naprawy lub magazynu, ATI usuwa informatyczne nośniki danych i przechowuje je w szafie metalowej, w sposób uniemożliwiający dostęp osób nieupoważnionych.
7. 
Sprzęt przekazuje się na podstawie protokołu przekazania sprzętu do naprawy i odnotowuje ten fakt w dzienniku działań ATI.
8. 
Po odebraniu sprzętu z serwisu lub jego wymiany ATI lub inna upoważniona osoba, dokonuje jego szczegółowych oględzin i osobiście instaluje go w systemie informatycznym. Fakt ten odnotowuje w dzienniku działań ATI.
9. 
Zabrania się:
1)
samowolnego wynoszenia z obszaru, gdzie zlokalizowano system informatyczny przetwarzający dane osobowe, wszelkich elementów wchodzących w jego skład;
2)
samowolnej wymiany przez użytkownika jakiegokolwiek elementu składowego systemu informatycznego;
3)
pozostawiania bez nadzoru informatycznych nośników danych stanowiących element składowy systemu informatycznego podczas przeglądów, konserwacji i naprawy systemu informatycznego.
§  16. 
Procedura wykonywania przeglądów, konserwacji i napraw informatycznych nośników danych
1. 
Przeglądy, konserwacja i naprawy informatycznych nośników danych prowadzi serwis łączności i informatyki SG w obecności osoby odpowiedzialnej za dany nośnik lub innej osoby wskazanej przez lokalnego administratora danych. Jeśli informatyczny nośnik danych jest na gwarancji, a warunki gwarancji tego wymagają, w pracach może uczestniczyć przedstawiciel gwaranta.
2. 
W przypadku informatycznych nośników danych, które uległy awarii, o ich przydatności do dalszego użytku decyduje serwis, o którym mowa w ust. 1, w miejscu jego zainstalowania u użytkownika.
3. 
Informatyczne nośniki danych zawierające dane osobowe, które są wycofywane z użycia lub uszkodzone podlegają brakowaniu.
4. 
Brakowanie informatycznych nośników danych odbywa się w sposób uniemożliwiający odczytanie informacji na nim zawartych, np. poprzez ich fizyczne zniszczenie.
5. 
Informatyczny nośnik danych, zakwalifikowany do brakowania, podlega wstępnemu zniszczeniu przez serwis, o którym mowa w ust. 1, w obecności osoby odpowiedzialnej za nośnik danych, np. przez przedziurawienie nośnika lub jego przecięcie, Wstępne zniszczenie może odbyć się bez udziału serwisu, jeżeli dotyczy nośników o małej wartości materialnej, w szczególności dyskietek magnetycznych oraz płyt CD i DVD.
6. 
Do czasu brakowania informatyczne nośniki danych przechowywane są we właściwej kancelarii w sposób uniemożliwiający dostęp do nich osób nieuprawnionych.
7. 
W przypadku konieczności odzyskania danych osobowych zawartych na informatycznym nośniku danych, w pierwszej kolejności nośnik przekazuje się do serwisu, o którym mowa w ust. 1. W razie potrzeby skorzystania z usług firmy zewnętrznej, przy odzyskiwaniu danych uczestniczy ATI, ABZ lub inna upoważniona osoba.
8. 
Brakowania informatycznych nośników danych dokonuje się zgodnie z odrębnymi przepisami dotyczącymi obiegu informacji jawnych lub niejawnych w SG oraz przepisami dotyczącymi gospodarowania mieniem będącym w zarządzie SG.

ZAŁĄCZNIK Nr  3

UPOWAŻNIENIE Nr ...

wydane na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.)

DO PRZETWARZANIA DANYCH OSOBOWYCH

NazwiskoImię
Lotus IDNumer PESEL
Lp.Nazwa zbioru lub zakres danychZakres upoważnienia oraz uprawnień w SI1)

Identyfikator użytkownika2)

Upoważnienie oraz uprawnienie w SI1)Data, imię i nazwisko (lub pieczątka imienna) oraz podpis osoby występującej o nadanie/odwołanie upoważnienia (np. przełożonego).3)Data, imię i nazwisko (lub pieczątka imienna) oraz podpis administratora danych/lokalnego administratora danych lub innej upoważnionej osobyData i czytelny podpis administratora systemu4)Data i czytelny podpis osoby upoważnionej
1.Zakres uprawnień:Nadanie
Identyfikator: użytkownika:Odwołanie/ wygaśnięcie z dniem

................................

2.Zakres uprawnień:Nadanie
Identyfikator: użytkownika:Odwołanie/ wygaśnięcie z dniem

.................................

3.Zakres uprawnień:Nadanie
Identyfikator: użytkownika:Odwołanie/ wygaśnięcie z dniem

1) SI - System Informatyczny;

2) dotyczy systemów informatycznych - wypełniane w przypadku, gdy nadany identyfikator użytkownika jest różny od Lotus ID;

3) nie wypełnia się w przypadku, gdy administrator danych lub inna upoważniona do tego osoba jest jednocześnie występującą o udzielenie upoważnienia;

4) dotyczy ATI właściwego do spraw nadawania/odebrania uprawnień w systemie informatycznym. W przypadku, gdy nadanie/odebranie uprawnień w systemie informatycznym jest realizowane na podstawie pisemnego wniosku, wpisuje się nr i datę przesłanej przez ATI informacji o założeniu konta.

1 § 1 ust. 1 pkt 3 zmieniony przez § 1 pkt 1 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
2 § 3 pkt 8 zmieniony przez § 1 decyzji nr 17 z dnia 25 stycznia 2018 r. (Dz.Urz.KGSG.2018.15) zmieniającej nin. decyzję z dniem 27 stycznia 2018 r.
3 § 3 pkt 15 uchylony przez § 1 pkt 2 lit. a decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
4 § 3 pkt 16 zmieniony przez § 1 pkt 2 lit. b decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
5 Tytuł rozdziału 4 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
6 § 11 ust. 1 zmieniony przez § 1 pkt 3 lit. a decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
7 § 11 ust. 4 zmieniony przez § 1 pkt 3 lit. b decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
8 § 12 zmieniony przez § 1 pkt 4 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
9 § 13 zmieniony przez § 1 pkt 5 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
10 § 13 ust. 1 pkt 9 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
11 § 14 ust. 1 pkt 15 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
12 § 15 ust. 1 uchylony przez § 1 pkt 6 lit. a decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
13 § 15 ust. 3 uchylony przez § 1 pkt 6 lit. a decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
14 § 15 ust. 4 zmieniony przez § 1 pkt 6 lit. b decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
15 § 17 ust. 4 uchylony przez § 1 pkt 7 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
16 Załącznik nr 1 § 4 ust. 1 zmieniony przez § 1 pkt 8 lit. a decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
17 Załącznik nr 1 § 4 ust. 2 zmieniony przez § 1 pkt 8 lit. a decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
18 Załącznik nr 1 § 7 ust. 2 zmieniony przez § 1 pkt 8 lit. b decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
19 Załącznik nr 2 § 3 ust. 10 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
20 Załącznik nr 2 § 10 ust. 11 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
21 Załącznik nr 2 § 12 ust. 4 pkt 5 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
22 Załącznik nr 2 § 12 ust. 6 zmieniony przez § 1 pkt 10 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
23 Załącznik nr 2 § 14 ust. 3 pkt 3 dodany przez § 1 pkt 9 decyzji nr 271 z dnia 9 grudnia 2015 r. (Dz.Urz.KGSG.2015.92) zmieniającej nin. decyzję z dniem 17 grudnia 2015 r.
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .