System Analiz Rejestrów Państwowych Centralnego Biura Antykorupcyjnego.
Dzienniki resortowe
Dz.Urz.CBA.2018.6
Akt obowiązujący Wersja od: 7 maja 2018 r.
ZARZĄDZENIE Nr 6/18
SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO
z dnia 7 maja 2018 r.
w sprawie Systemu Analiz Rejestrów Państwowych Centralnego Biura Antykorupcyjnego
Na podstawie art. 10 ust. 3 ustawy z dnia 9 czerwca 2006 r.o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2017 r., poz. 1993 i 2405 oraz z 2018 r. poz. 138, 650 i 730) zarządza się, co następuje:
§ 1.
1.
Zarządzenie określa zasady działania Systemu Analiz Rejestrów Państwowych Centralnego Biura Antykorupcyjnego, zwanego dalej "SARP" oraz nadzoru nad nim, a w szczególności:1)
jednostki organizacyjne odpowiedzialne za funkcjonowanie SARP oraz zakres sprawowanego przez nie nadzoru;2)
podmioty uprawnione do dostępu do SARP oraz zakres ich uprawnień;3)
zasady kontroli dostępu do danych przetwarzanych w SARP.2.
Użyte w zarządzeniu pojęcia oznaczają:1)
gestor - dyrektora Departamentu Analiz CBA;2)
jednostka organizacyjna - jednostkę organizacyjną, o której mowa w zarządzeniu nr 72 Prezesa Rady Ministrów z dnia 6 października 2010 r. w sprawie nadania statutu Centralnemu Biuru Antykorupcyjnemu (M.P. z 2010 r. Nr 76, poz. 953);3)
zarządzanie uprawnieniami - proces, w którym łączy się organizacyjne, formalne i techniczne czynności zmierzające do przypisania ról oraz nadania, modyfikacji lub odebrania uprawnień do SARP;4)
zapytanie - sprawdzenia kierowane do baz danych według określonych kryteriów.§ 2.
1.
Tworzy się SARP, jako system komunikacyjny pozwalający na wyszukiwanie informacji oraz powiązań między nimi.2.
SARP umożliwia:1)
dokonywanie zapytań do zewnętrznych zbiorów danych, w tym wyszukiwanie i identyfikację informacji, również zawierających dane osobowe, o cechach odpowiadających określonym kryteriom selekcyjnym oraz w oparciu o zastosowane algorytmy;2)
uzyskiwanie odpowiedzi na zapytania, o których mowa w pkt 1;3)
integrację zapytań oraz odpowiedzi, o których mowa w pkt 1 i 2;4)
graficzną prezentację danych uzyskanych w wyniku zapytań, o których mowa w pkt 1.3.
SARP zapewnia rozliczalność przetwarzanych danych i informacji, rozumianą jako przypisanie określonego działania w systemie do osoby lub procesu oraz umiejscowienie go w czasie.§ 3.
1.
Gestor jest odpowiedzialny za:1)
nadzór nad eksploatacją merytoryczną SARP;2)
nadzór nad nadawaniem, modyfikacją lub odbieraniem uprawnień do SARP;3)
inicjowanie i monitorowanie zmian systemowych w SARP;4)
współpracę z Biurem Teleinformatyki CBA w zakresie modyfikacji i rozwoju SARP.2.
Gestor wyznacza spośród podległych mu osób, z zastrzeżeniem § 9 ust. 2, administratorów odpowiedzialnych za:1)
realizację czynności administracyjno-technicznych, związanych z nadawaniem, modyfikacją lub odbieraniem uprawnień do SARP;2)
obsługę raportów w Module Kontroli i Nadzoru SARP oraz Module Statystycznym SARP;3)
obsługę słowników systemowych SARP.§ 4.
1.
Dyrektor Biura Teleinformatyki CBA jest odpowiedzialny za:1)
nadzór nad eksploatacją techniczną SARP, w tym zapewnieniem ciągłości jego działania;2)
współpracę z gestorem w zakresie rozwoju technicznego SARP.2.
Dyrektor Biura Teleinformatyki CBA wyznacza spośród podległych mu osób administratorów odpowiedzialnych za:1)
realizację czynności w ramach eksploatacji technicznej SARP;2)
realizację zgłoszeń serwisowych, dotyczących funkcjonowania SARP;3)
usuwanie awarii SARP;4)
sporządzanie kopii zapasowych SARP.§ 5.
1.
Zasady przetwarzania danych osobowych w SARP określa Polityka Bezpieczeństwa SARP, udostępniana na portalu wewnętrznym CBA.2.
Za aktualizację Polityki Bezpieczeństwa SARP jest odpowiedzialny gestor w porozumieniu z dyrektorami Biura Teleinformatyki CBA i Departamentu Ochrony CBA.§ 6.
1.
Uprawnienia do SARP mogą zostać nadane:1)
funkcjonariuszowi CBA, dla którego dostęp do SARP jest uzasadniony zakresem i charakterem powierzonych obowiązków i wykonywanych zadań, realizującemu zapytania własne oraz zapytania zlecone przez innych funkcjonariuszy CBA ("zapytania w imieniu");2)
pracownikowi CBA, dla którego dostęp do SARP jest uzasadniony zakresem i charakterem powierzonych obowiązków i wykonywanych zadań, wyłącznie w zakresie czynności administracyjno-technicznych umożliwiających realizację zapytań w imieniu.2.
Uprawnienia do SARP nadaje się na uzasadniony wniosek kierownika jednostki organizacyjnej.3.
Przepis ust. 2 stosuje się odpowiednio w przypadkach modyfikacji lub odebrania uprawnień do SARP.4.
Szczegółowe zasady zarządzania uprawnieniami, zakres dostępu oraz możliwości poszczególnych ról i użytkowników w SARP określa Polityka Bezpieczeństwa SARP.5.
Wzór wniosku o nadanie, modyfikację lub odebranie uprawnień do SARP opracowuje gestor. Wzór jest udostępniany na portalu wewnętrznym CBA.§ 7.
1.
Kierownik jednostki organizacyjnej, o którym mowa w § 6 ust. 2, jest obowiązany:1)
dokonywać bieżącej weryfikacji uprawnień wykorzystywanych przez podległą jednostkę;2)
niezwłocznie sporządzić wniosek o modyfikację lub odebranie uprawnień do SARP, w przypadku zmiany okoliczności uzasadniających przyznany zakres uprawnień;3)
złożyć wniosek o odebranie uprawnień do SARP przed rozliczeniem z obowiązków służbowych i pracowniczych.§ 8.
1.
Kontrola dostępu polega na ustaleniu czynności wykonywanych w SARP oraz określeniu zakresu oraz treści informacji i danych, w tym danych osobowych, do których uzyskano dostęp.2.
Kontrola dostępu obejmuje:1)
historię nadanych uprawnień do SARP;2)
statystkę działań w SARP;3)
dokonane zapytania oraz ich kryteria, a także operacje na uzyskanych danych, w tym wydruki, eksporty, przesłania odpowiedzi oraz raporty.§ 9.
1.
Kontrolę dostępu przeprowadza gestor, z zastrzeżeniem ust. 2:1)
na polecenie Szefa CBA lub jego zastępców;2)
na pisemny wniosek pełnomocnika do spraw kontroli przetwarzania przez CBA danych osobowych;3)
na pisemny wniosek kierownika jednostki organizacyjnej CBA - w odniesieniu do podległych mu osób;4)
z urzędu - w przypadku stwierdzenia nieprawidłowości w działaniu SARP lub w czynnościach wykonanych przez osobę, której nadano uprawnienia do SARP.2.
Kontrolę dostępu, w przypadkach uzasadnionych właściwością rzeczową Biura Kontroli i Spraw Wewnętrznych CBA, przeprowadza upoważniony przez dyrektora tej jednostki organizacyjnej funkcjonariusz, któremu gestor nadał uprawnienia do obsługi Modułu Kontroli i Nadzoru SARP.§ 10.
Po zakończeniu kontroli dostępu gestor sporządza i przekazuje wnioskującemu o przeprowadzenie kontroli:1)
wykaz informacji i danych, w tym danych osobowych do których dostęp posiadała kontrolowana osoba;2)
informacje o czasie, formie i trybie dokonanych zapytań oraz innych operacji na pozyskanych danych, zastosowanych kryteriach zapytań oraz zakresie uzyskanych odpowiedzi;3)
wykaz osób posiadających dostęp do informacji i danych, w tym danych osobowych, określonych we wniosku o przeprowadzenie kontroli dostępu.§ 11.
1.
Treści zawarte w Module Kontroli i Nadzoru Centralnego Systemu Informacyjnego Centralnego Biura Antykorupcyjnego podlegają przeniesieniu do Modułu Kontroli i Nadzoru SARP.2.
Przepisy zarządzenia nr 13/13 Szefa Centralnego Biura Antykorupcyjnego z dnia 10 czerwca 2013 r. w sprawie Centralnego Systemu Informacyjnego Centralnego Biura Antykorupcyjnego (Dz. Urz. CBA z 2013 r. poz. 19 i 37) zachowują moc do dnia osiągnięcia przez SARP pełnej operacyjności, rozumianej jako osiągnięcie co najmniej tych samych funkcjonalności co Centralny System Informacyjny Centralnego Biura Antykorupcyjnego, nie dłużej jednak niż do dnia 31 grudnia 2018 r.3.
Po osiągnięciu przez SARP pełnej operacyjności, gestor poinformuje o tym fakcie pisemnie Szefa CBA, kierowników jednostek organizacyjnych oraz zamieści na portalu wewnętrznym CBA komunikat, informujący o uruchomieniu SARP i zakończeniu pracy Centralnego Systemu Informacyjnego CBA.4.
Gestor w porozumieniu z dyrektorami Biura Teleinformatyki CBA i Departamentu Ochrony CBA, opracują Politykę Bezpieczeństwa SARP i udostępnią ją na portalu wewnętrznym CBA nie później niż do dnia 30 listopada 2018 r.§ 12.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.