Realizacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w Centrali Kasy Rolniczego Ubezpieczenia Społecznego.

Dzienniki resortowe

Dz.Urz.PKRUS.2003.3.3

Akt utracił moc
Wersja od: 1 maja 2004 r.

PISMO OKÓLNE Nr 3
PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO
z dnia 9 lipca 2002 r.
w sprawie realizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w Centrali Kasy Rolniczego Ubezpieczenia Społecznego *

Na podstawie ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.) oraz zarządzenia Nr 11 Prezesa Kasy Rolniczego Ubezpieczenia Społecznego z dnia 30 kwietnia 1999 r. w sprawie realizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zmienionego zarządzeniami Prezesa KRUS: Nr 14 z dnia 28 marca 2000 r., Nr 21 z dnia 23 maja 2000 r., Nr 28 z dnia 31 sierpnia 2000 r. i Nr 39 z dnia 29 grudnia 2000 r., ustalam co następuje:
§  1.
Ochroną danych osobowych w Centrali Kasy Rolniczego Ubezpieczenia Społecznego objęte są dane zawarte w:
1)
aktach osobowych pracowników i byłych pracowników Centrali Kasy,
2)
aktach osobowych kadry kierowniczej i byłych pracowników kadry kierowniczej oddziałów regionalnych oraz innych jednostek organizacyjnych Kasy,
3)
aktach ubezpieczonych i świadczeniobiorców Kasy, będących w dyspozycji biur Centrali Kasy,
4)
bazach danych systemów informatycznych przetwarzających te dane, w tym przede wszystkim systemach SATURN HR, REHOR oraz wydrukach z tych baz danych,
5)
będących w dyspozycji biur Centrali testowych bazach danych innych systemów informatycznych eksploatowanych w jednostkach organizacyjnych Kasy oraz wydrukach z tych baz danych,
6)
wydrukach zawierających dane osobowe ubezpieczonych i świadczeniobiorców, gromadzonych w biurach Centrali Kasy w celach kontrolnych lub analitycznych.
§  2.
Wszystkie przeznaczone do zniszczenia wydruki komputerowe lub inne materiały zawierające dane osobowe, niszczone muszą być w sposób uniemożliwiający rozpoznanie danych osobowych.
§  3.
1.
Dyrektorzy biur Centrali Kasy odpowiedzialni są za zapewnienie niezbędnych warunków organizacyjnych i technicznych gwarantujących właściwą ochronę danych osobowych zawartych w wydrukach komputerowych, w aktach osobowych i innych zbiorach dokumentów będących w dyspozycji biura oraz za właściwe wykorzystanie danych osobowych zawartych w eksploatowanych przez biuro systemach informatycznych.
2.
Dyrektorzy biur wyznaczają osoby uprawnione w biurze do dostępu do danych osobowych z wyodrębnieniem rodzaju uprawnień dostępu do akt osobowych, innych dokumentów zawierających dane osobowe i systemów informatycznych, w których przetwarzane są dane osobowe, określają komputerowe stacje robocze mające dostęp do systemów informatycznych zawierających dane osobowe podlegające ochronie oraz wyznaczają w porozumieniu z administratorem bezpieczeństwa informacji, administratorów systemów informatycznych.
3.
Wykazy osób, o których mowa w ust. 2, sporządzone według wzoru określonego w załączniku Nr 5 do zarządzenia Nr 11 Prezesa Kasy z dnia 30 kwietnia 1999 r. w sprawie realizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z późniejszymi zamianami, oraz wykazy stacji komputerowych, przekazywane będą na bieżąco Prezesowi Kasy.
4.
Udostępnianie danych osobowych podlegających ochronie pracownikom Centrali Kasy może być udzielane przez upoważnione osoby, wymienione w wykazie osób, o którym mowa w ust. 3.
5.
Dyrektorzy biur udzielają osobom wyznaczonym do dostępu do danych osobowych instruktażu z zakresu obowiązków określonych w ustawie o ochronie danych osobowych.
§  4.
1.
Obowiązki i uprawnienia administratora bezpieczeństwa informacji w Centrali Kasy powierzam głównemu specjaliście w Biurze Administracji i Inwestycji Panu Piotrowi Szymczakowi.
2.
Do podstawowych zadań i obowiązków administratora bezpieczeństwa informacji należy:
1)
ustalanie i rejestrowanie w systemach informatycznych przetwarzających dane osobowe podlegające ochronie osób uprawnionych do pracy w tych systemach na podstawie wykazu osób, o którym mowa w § 3 ust. 3 i upoważnienia, o którym mowa w § 5 ust. 3,
2)
zakładanie hasła dostępu do tych systemów upoważnionym osobom oraz wyrejestrowywanie tych osób z systemów w przypadku wygaśnięcia uprawnień do dostępu do danych osobowych oraz zakładanie innych niezbędnych zabezpieczeń uniemożliwiających osobom nieupoważnionym dostęp do danych osobowych zawartych w systemach informatycznych,
3)
prowadzenie na bieżąco rejestru informacji o pracownikach będących operatorami systemu informatycznego przetwarzającego dane osobowe z uwzględnieniem stosowanego identyfikatora oraz okresu zatrudnienia, w jakim pracownik miał dostęp do danych osobowych i jakie posiadał uprawnienia oraz rejestru haseł dostępu do komputera i systemu informatycznego; wzór ewidencji, o której mowa określają załączniki nr 1 i 2 do niniejszego pisma,
4)
okresowa zmiana haseł w porozumieniu z administratorem systemu,
5)
kontrola funkcjonowania wdrożonych zabezpieczeń służących ochronie danych osobowych w systemach informatycznych,
6)
przeszkolenie osób dopuszczanych do baz danych osobowych w zakresie zabezpieczeń systemu informatycznego,
7)
nadzór nad realizacją zadań przez administratorów systemów informatycznych przetwarzających dane osobowe w Centrali Kasy,
8)
informowanie Prezesa Kasy o ewentualnych faktach naruszenia zabezpieczeń systemów informatycznych Centrali Kasy.
§  5.
1.
Dyrektor Biura Kadr, Szkolenia i Informacji, na podstawie przedstawianych na bieżąco przez Dyrektorów biur propozycji wynikających z § 3 ust. 3, zapewnia zamieszczanie w karcie czynności administratora bezpieczeństwa informacji, administratorów systemów informatycznych oraz osób upoważnionych do dostępu do danych osobowych, odpowiednich zapisów określających zadania, obowiązki i zakres odpowiedzialności związanych z ochroną danych osobowych.
2.
W aktach osobowych pracowników upoważnionych do dostępu do danych osobowych zamieszczone będą oświadczenia o zapoznaniu się z przepisami o ochronie danych osobowych oraz upoważnienia do dostępu do danych osobowych.
3.
Wzór upoważnienia pracownika do dostępu do danych osobowych wydanego przez Dyrektora biura Centrali Kasy określa załącznik nr 4 do niniejszego pisma okólnego.
§  6.
1.
Dyrektorzy biur Centrali Kasy decydują o możliwościach udostępnienia danych osobowych, będących w dyspozycji biura, osobom lub podmiotom uprawnionym do ich otrzymania zgodnie z zasadami określonymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.).
2.
Każde udostępnienie lub przekazanie danych osobowych innym instytucjom musi być odnotowane w rejestrze udostępnienia danych osobowych (wzór określa załącznik nr 3 do niniejszego pisma okólnego) prowadzonym przez Biuro Organizacyjno-Prawne.
§  7.
Traci moc Pismo Okólne Nr 1 Dyrektora Generalnego Kasy Rolniczego Ubezpieczenia Społecznego z dnia 31 marca 1999 r. w sprawie realizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w Centrali Kasy Rolniczego Ubezpieczenia Społecznego.
§  8.
Pismo okólne wchodzi w życie z dniem podpisania.

ZAŁĄCZNIKI

ZAŁĄCZNIK  Nr 1

Wzór rejestru informacji o pracownikach będących operatorami systemu informatycznego przetwarzającego dane osobowe z uwzględnieniem stosowanego identyfikatora oraz okresu zatrudnienia w jakim miał dostęp do danych osobowych i jakie posiadał uprawnienia

Lp.Nazwisko i imię /identyfikator/Niepowtarzalny kod osoby mającej dostęp do danych osobowychOkres pracy, w którym pracownik jest uprawniony do korzystania z danych osobowych od-doData nadania uprawnieńSYSTEM - UPRAWNIENIAInne Uwagi
UPRAWNIENIA W ZAKRESIEuprawnienia
1czytanie/ pełne2czytanie/ pełne3czytanie/ pełne4czytanie/ pełne...czytanie/ pełne
123456789101112
Zakres uprawnień: 1. ..............

2. ..............

3. ..............

4. ..............

5. ..............

6. ..............

ZAŁĄCZNIK  Nr 2

Wzór rejestru haseł dostępu do komputera i do systemu informatycznego

Lp.Nazwisko i imię/identyfikator/Niepowtarzalny kod osoby mającej dostęp do danych osobowychData obowiązywania hasła od-doNazwa komp. lokalizacjaNazwa komp. lokalizacjaNazwa komp. lokalizacjaNazwa komp. lokalizacjaNazwa komp. lokalizacjaUwagi
1234567891011121314151617181920

ZAŁĄCZNIK  Nr 3

Wzór rejestru udostępnień

LpData złożenia wnioskuNazwa instytucji lub nazwisko i imię osoby składającej wniosek wraz z adresemPodstawa prawna upoważniająca wnioskodawcę do otrzymania danych na mocy przepisów prawaData wydania wnioskowanej informacji lub kopii dokumentówZakres przekazanych informacjiBiuro/ ArchiwumData zwrotu dokumentów lub ich kopiiInformacja o zniszczeniu kopiiInformacja o odmowie udostępnienia wnioskowanej informacjiKto przekazał informację - czytelny podpis
1234567891011

ZAŁĄCZNIK  Nr 4

Wzór upoważnienia pracownika do dostępu do danych osobowych

Warszawa, dnia ............

Upoważniam pracownika Biura ..................................

/nazwa Biura/

..............................................................

.............................................................

/nazwisko i imię, stanowisko/

do dostępu do danych osobowych w zakresie ....................

..............................................................

..............................................................

Upoważnienie ważne do ........................................

/określić datę lub bezterminowo/

Podpis Dyrektora Biura

Podpis pracownika

* Z dniem 1 maja 2004 r. nin. pismo okólne traci moc w zakresie, w jakim zostało wydane na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.98.80.521), zgodnie z art. 1 pkt 26 ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz.U.04.33.285).
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .