Polityka bezpieczeństwa danych osobowych w Dyrekcji Generalnej Lasów Państwowych.
Dzienniki resortowe
B.I.LP.2015.10.127
Akt utracił moc Wersja od: 15 września 2015 r.
ZARZĄDZENIE Nr 61
DYREKTORA GENERALNEGO LASÓW PAŃSTWOWYCH
z dnia 15 września 2015 r.
w sprawie polityki bezpieczeństwa danych osobowych w Dyrekcji Generalnej Lasów Państwowych
GK.0171.11.2015
Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024) oraz § 6 Statutu Państwowego Gospodarstwa Leśnego Lasy Państwowe, nadanego Zarządzeniem nr 50 Ministra Ochrony Środowiska, Zasobów Naturalnych i Leśnictwa z dnia 18 maja 1994 r., zarządzam, co następuje:
§ 1.
W celu:1)
ochrony danych osobowych przetwarzanych - przez osoby upoważnione - w formie tradycyjnej oraz w systemach informatycznych;2)
zabezpieczenia danych osobowych przed dostępem osób nieuprawnionych;3)
ochrony danych osobowych przed ich zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem -wprowadza się do stosowania w Dyrekcji Generalnej Lasów Państwowych politykę bezpieczeństwa danych osobowych, zwaną w dalszej części "Polityką bezpieczeństwa", która stanowi zbiór zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych, określonych niniejszym zarządzeniem.
§ 2.
1.
Zakres "Polityki bezpieczeństwa" obejmuje wszystkie obszary, w których przetwarzane są dane osobowe, tj. jakiekolwiek operacje wykonywane na danych osobowych, czyli utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.2.
"Polityka bezpieczeństwa" opisuje procedury bezpieczeństwa danych osobowych zawartych w zbiorach tradycyjnych (papierowych) oraz w systemach informatycznych Dyrekcji Generalnej Lasów Państwowych, które określają granice dopuszczalnego zachowania wszystkich użytkowników systemu informatycznego Dyrekcji Generalnej Lasów Państwowych. "Polityka bezpieczeństwa" zawiera również opis konsekwencji, jakie mogą ponieść osoby przekraczające określone granice, oraz procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń.§ 3.
"Polityka bezpieczeństwa" zapewnia ochronę wszystkich danych osobowych przetwarzanych w Dyrekcji Generalnej Lasów Państwowych przez osoby upoważnione.§ 4.
"Polityka bezpieczeństwa" zawiera:1)
wykaz budynków oraz pomieszczeń stanowiących obszar, gdzie przetwarzane są dane osobowe (załącznik nr 1);2)
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz zakresem zbiorów danych osobowych (załącznik nr 2);3)
sposób przepływu danych pomiędzy poszczególnymi systemami (załącznik nr 3);4)
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych (załącznik nr 4);5)
wzór upoważnienia do przetwarzania danych osobowych (załącznik nr 5);6)
instrukcję postępowania w sytuacji naruszenia bezpieczeństwa przetwarzania danych osobowych (załącznik nr 6);7)
wzór raportu z naruszenia bezpieczeństwa danych osobowych w Dyrekcji Generalnej Lasów Państwowych (załącznik nr 7). (Załączników nie drukujemy - przyp. red.).§ 5.
Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowią instrukcje SILP.§ 6.
1.
Administratorem danych jest Dyrekcja Generalna Lasów Państwowych reprezentowana przez Dyrektora Generalnego Lasów Państwowych.2.
Administrator danych realizuje zadania w zakresie ochrony danych osobowych przy udziale wydziału właściwego ds. kadr (w zakresie wskazanym w § 7), wydziału właściwego ds. administracji (w zakresie wskazanym w § 8), wydziału właściwego ds. informatyki (w zakresie wskazanym w § 9), a także kierowników komórek organizacyjnych (w zakresie wskazanym w § 10), w tym zwłaszcza:1)
podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia danych osobowych;2)
upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnym zakresie, odpowiadającym zakresowi ich obowiązków;3)
podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpieczeństwa przetwarzania danych osobowych.§ 7.
Wydział właściwy ds. kadr realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych w Dyrekcji Generalnej Lasów Państwowych, tj.:1)
sprawuje nadzór nad stosowaniem środków organizacyjnych, tj.:1)
prowadzi ewidencję osób upoważnionych,2)
przygotowuje upoważnienia do przetwarzania danych osobowych zgodnie z załącznikiem nr 5;2)
koordynuje - przy udziale wydziału właściwego ds. informatyki - wewnętrzne audyty przestrzegania przepisów o ochronie danych osobowych;3)
przygotowuje projekty zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz odpowiada za korespondencję z Generalnym Inspektorem oraz Biurem Generalnego Inspektora Ochrony Danych Osobowych;4)
przygotowuje projekty zmian niniejszego zarządzenia, w szczególności w przypadku zmian organizacyjnych w Dyrekcji Generalnej Lasów Państwowych oraz zmian przepisów o ochronie danych osobowych;5)
zapoznaje pracowników z procedurami przetwarzania danych osobowych.§ 8.
Wydział właściwy ds. administracji realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych w Dyrekcji Generalnej Lasów Państwowych, tj. sprawuje nadzór nad wdrożeniem stosownych środków technicznych w zakresie:1)
prawidłowego wydawania kluczy do pomieszczeń przetwarzania danych;2)
prawidłowego zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe.§ 9.
Wydział właściwy ds. informatyki realizuje zadania w zakresie zarządzania systemem informatycznym i bieżącego nadzoru nad przestrzeganiem zasad ochrony danych osobowych w systemie informatycznym Dyrekcji Generalnej Lasów Państwowych, w tym zwłaszcza:1)
zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z poziomu administratora;2)
przeciwdziała dostępowi osób niepowołanych do systemu informatycznego;3)
zakłada konta oraz przydziela uprawnienia upoważnionym użytkownikom zgodnie z przekazanym wnioskiem i na podstawie wewnętrznych regulacji dotyczących zarządzania systemami informatycznymi;4)
dokonuje wyrejestrowania użytkowników z systemu informatycznego zgodnie z przekazanym wnioskiem i na podstawie wewnętrznych regulacji dotyczących zarządzania systemami informatycznymi;5)
nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;6)
w sytuacjach stwierdzenia naruszenia zabezpieczeń systemu informatycznego, informuje Administratora Danych o naruszeniu i podejmuje działania mające na celu usunięcie skutków naruszenia;7)
sprawuje nadzór nad:a)
wykonywaniem napraw, konserwacji oraz likwidacji urządzeń komputerowych,b)
wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego;8)
podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji.§ 10.
Kierownicy komórek organizacyjnych Dyrekcji Generalnej Lasów Państwowych:1)
nadzorują bezpieczeństwo przetwarzania danych osobowych w swoich komórkach organizacyjnych, w tym sprawują nadzór nad wdrożeniem stosownych środków technicznych w zakresie prawidłowego zabezpieczenia danych w formie papierowej;2)
informują wydział właściwy ds. kadr o przetwarzaniu bądź zamiarze przetwarzania nowych zbiorów danych osobowych - nie ujętych w załączniku nr 2;3)
kierują do wydziału właściwego ds. kadr wnioski o zgłoszenie zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych;4)
składają wniosek (w formie pisemnej lub e-mailem) do wydziału właściwego ds. kadr o przygotowanie upoważnienia dla pracownika przystępującego do pracy na stanowisku, na którym przetwarzane są dane osobowe;5)
zgłaszają potrzebę odwołania lub zmiany upoważnienia do przetwarzania danych osobowych do wydziału właściwego ds. kadr.§ 11.
Każdy pracownik zobowiązany jest do:1)
przestrzegania zasad przetwarzania danych osobowych zapisanych w "Polityce bezpieczeństwa",2)
przekazywania wydziałowi właściwemu ds. kadr wszelkich problemów związanych z ochroną danych osobowych,3)
informowania wydziału właściwego ds. kadr o zmianach zaistniałych w przetwarzanych zbiorach,4)
niezwłocznego powiadomienia wydziału właściwego ds. kadr w sytuacji, gdy pracownik uzna, że dane osobowe zostały bądź są bezprawnie przetwarzane.§ 12.
1.
Wewnętrzne audyty, o których mowa w § 7 pkt 2, przeprowadzane są nie częściej niż raz w roku.2.
Audyt przeprowadza się w celu:1)
stwierdzenia stanu wykonania przepisów o ochronie danych osobowych,2)
identyfikacji i oceny istniejących mechanizmów ochrony pod kątem ich zgodności z obowiązującymi wymaganiami prawnymi.3.
Audyt stanowi przegląd i ocenę działania środków organizacyjnych, fizycznych oraz technicznych w celu:1)
weryfikacji adekwatności zastosowanych środków;2)
sprawdzenia, czy system ochrony danych osobowych działa zgodnie z wprowadzonymi procedurami;3)
porównania zgodności z aktualnymi wymaganiami prawnymi;4)
oceny funkcjonowania przyjętych procedur.4.
Z przeprowadzonego audytu sporządza się raport, w szczególności wskazujący rozbieżności pomiędzy stanem faktycznym a wymaganiami przepisów o ochronie danych osobowych.§ 13.
Procedury i zasady zawarte w niniejszym zarządzeniu oraz w jego załącznikach obowiązują wszystkich pracowników Dyrekcji Generalnej Lasów Państwowych. Obowiązują one także stażystów, praktykantów, zleceniobiorców oraz inne osoby, które mają dostęp do przetwarzania danych osobowych w Dyrekcji Generalnej Lasów Państwowych, jeżeli zobowiązały się pisemnie do ich przestrzegania.§ 14.
Udostępnianie danych osobowych poza Dyrekcję Generalną Lasów Państwowych może wystąpić wyłącznie na wniosek, po uprzednim pisemnym wyrażeniu zgody przez osoby, których dane dotyczą, chyba że obowiązek ten wynika z przepisów prawa.§ 15.
1.
We wszystkich przypadkach naruszenia lub podejrzenia naruszenia ochrony danych osobowych pracownik zobowiązany jest do działania zgodnie z "Instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych" (załącznik nr 6).2.
Pracownik, który w przypadku naruszenia ochrony danych osobowych, zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia, nie podjął działania określonego w niniejszym zarządzeniu, a w szczególności nie powiadomił odpowiednich osób zgodnie z tymi zasadami, ponosi konsekwencje prawne.3.
Przypadki nieuzasadnionego niewykonania obowiązków wynikających z niniejszego zarządzenia mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.§ 16.
Tracą moc:1)
Zarządzenie nr 39 Dyrektora Generalnego Lasów Państwowych z dnia 18 czerwca 2014 r. w sprawie polityki bezpieczeństwa danych osobowych w Dyrekcji Generalnej Lasów Państwowych.2)
Zarządzenie nr 18 z dnia 23 lutego 2015 r. zmieniające Zarządzenie nr 39 Dyrektora Generalnego Lasów Państwowych z dnia 18 czerwca 2014 r. w sprawie polityki bezpieczeństwa danych osobowych w Dyrekcji Generalnej Lasów Państwowych.3)
Decyzja nr 37 Dyrektora Generalnego Lasów Państwowych z dnia 20 maja 2008 r. w sprawie wyznaczenia Administratora Bezpieczeństwa Informacji odpowiedzialnego za bezpieczeństwo danych osobowych w Dyrekcji Generalnej Lasów Państwowych.§ 17.
Zarządzenie wchodzi w życie z dniem podpisania.