Ustalenie podziału obowiązków współadministratorów danych Systemu Wspomagania Decyzji Państwowej Straży Pożarnej (SWD PSP) oraz minimalnych wymagań dotyczących realizacji zadań w tym zakresie.
Dz.Urz.KGPSP.2020.1
Akt obowiązującyZARZĄDZENIE Nr 14
KOMENDANTA GŁÓWNEGO PAŃSTWOWEJ STRAŻY POŻARNEJ
z dnia 17 grudnia 2019 r.
w sprawie ustalenia podziału obowiązków współadministratorów danych Systemu Wspomagania Decyzji Państwowej Straży Pożarnej (SWD PSP) oraz minimalnych wymagań dotyczących realizacji zadań w tym zakresie
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1
Zakres odpowiedzialności oraz podział zadań współadministratorów Systemu Wspomagania Decyzji Państwowej Straży Pożarnej
Zakres odpowiedzialności oraz podział zadań współadministratorów Systemu Wspomagania Decyzji Państwowej Straży Pożarnej
I.
Przepisy ogólne
Przepisy ogólne
II.
Zasady przetwarzania danych osobowych
Zasady przetwarzania danych osobowych
III.
Relacje zachodzące pomiędzy współadministratorami
Relacje zachodzące pomiędzy współadministratorami
Z uwagi na funkcjonalność, pionową strukturę i budowę SWD PSP, wprowadzony zostaje następujący, opisany w poniższej tabeli, podział odpowiedzialności, obowiązków i zadań współadministratorów związanych z przetwarzaniem danych osobowych w tym systemie. Ponadto wprowadza się ograniczenie w dostępie do danych przetwarzanych w SWD PSP na równorzędnych poziomach struktury organizacyjnej PSP. Oznacza to, że administratorzy na danym szczeblu posiadają dostęp do własnych danych oraz do danych jednostek podległych (nadzorowanych), lecz nie posiadają dostępu do danych jednostek z tego samego szczebla organizacyjnego PSP. Wyjątek stanowią dane przetwarzane przez szkoły pożarnicze, do których mają dostęp również jednostki szczebla powiatowego, na których terenie działania funkcjonuje Szkoła oraz przypadki celowego udostępnienia danych w ramach realizacji zadań. Jednocześnie ustala się, że dokonywany podział zadań i obowiązków nie prowadzi, ani też nie będzie prowadził do pozbawienia realnej kontroli nad przetwarzaniem danych osobowych któregokolwiek ze współadministratorów.
A.
Podział odpowiedzialności, obowiązków i zadań
Podział odpowiedzialności, obowiązków i zadań
LP | Zadanie | Szczebel organizacyjny PSP | |||
Komendant Główny PSP | Administratorzy danych osobowych w Szkołach pożarniczych PSP | Komendanci wojewódzcy PSP | Komendanci powiatowi i miejscy PSP | ||
Wdrożenie odpowiednich środków technicznych i organizacyjnych, w tym zapewnienie realizacji procedur bezpieczeństwa opisanych w przyjętej polityce ochrony danych* | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | |
2. | Analiza ryzyka w związku z przetwarzaniem danych w systemie | X - w odniesieniu do całości systemu - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
3. | Ocena skutków dla ochrony danych osobowych | X - w odniesieniu do całości systemu | |||
4. | Zapewnienie adekwatności danych do celu | X - na etapie projektowania systemu określa zakres danych przetwarzanych w systemie - dokonuje okresowego przeglądu danych w systemie w odniesieniu do celu i usuwa zbędne dane, które uprzednio wprowadził | X - dokonuje okresowego przeglądu danych w systemie w odniesieniu do celu i usuwa zbędne dane, które uprzednio wprowadził | X - dokonuje okresowego przeglądu danych w systemie w odniesieniu do celu i usuwa zbędne dane, które uprzednio wprowadził | X - dokonuje okresowego przeglądu danych w systemie w odniesieniu do celu i usuwa zbędne dane, które uprzednio wprowadził |
5. | Zapewnienie rozliczalności operacji przetwarzania | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
6. | Prowadzenie rejestru czynności przetwarzania | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
7. | Powierzenie przetwarzania danych w związku ze zlecaniem obsługi technicznej systemu | X - w odniesieniu do całości systemu | |||
8. | Udostępnianie danych, które nie jest powierzeniem danych | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
9. | Zgłaszanie naruszeń i postępowanie po ich stwierdzeniu | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
10. | Wykonanie obowiązku informacyjnego oraz udostępnienie treści uzgodnień osobom, których dane dotyczą | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
11. | Realizacja praw osób, których dane dotyczą, w tym zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
12. | Współpraca z wyznaczonym przez administratora inspektorem ochrony danych i zapewnienie współpracy z organem nadzorczym | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
13. | Realizacja zadań punktu kontaktowego dla osób, których dane dotyczą | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
14. | Kontrole i audyty | X - wobec bezpośrednio podległych i nadzorowanych jednostek - wewnętrzne | X - wewnętrzne | X - wobec bezpośrednio podległych i nadzorowanych jednostek - wewnętrzne | X - wewnętrzne |
15. | Przestrzeganie obowiązujących przepisów i procedur wewnętrznych | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej | X - w odniesieniu do przetwarzania we własnej jednostce organizacyjnej |
16. | Przekazywanie danych do państw trzecich | X - w odniesieniu do całości systemu | |||
17. | Realizacja polityki prywatności domyślnej i prywatności w fazie projektowania | X - w odniesieniu do całości systemu |
1) Wydawanie upoważnień do przetwarzania danych i nadawanie uprawnień do pracy w SWD PSP;
2) Prowadzenie i aktualizowanie ewidencji osób upoważnionych do przetwarzania danych osobowych w SWD PSP;
3) Prowadzenie szkoleń dla użytkowników w zakresie bezpieczeństwa teleinformatycznego oraz ochrony danych osobowych;
4) Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Przeglądy i kontrole bezpieczeństwa w zakresie stosowanych środków technicznych, zarządzanie uprawnieniami i zapewnienie odpowiedniego poziomu wiedzy i świadomości użytkowników;
5) Zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, w tym tworzenie zabezpieczeń technicznych, ograniczeń dostępu fizycznego i zdalnego, przestrzeganie zasad zarządzania - administrowania, zarządzanie użytkownikami i uprawnieniami w odniesieniu do serwera, bazy danych, sieci oraz stacji roboczych i oprogramowania końcowego;
6) Zdolność (adekwatnie do zarządzanych zasobów) do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego odnoszącego się w szczególności do:
a) Serwera i bazy danych,
b) Sieci teleinformatycznych i kanałów przesyłu danych,
c) Stacji roboczych i oprogramowania końcowego.
IV.
Odpowiedzialność i zadania innych niż PSP jednostek ochrony przeciwpożarowej mających dostęp do SWD PSP
Odpowiedzialność i zadania innych niż PSP jednostek ochrony przeciwpożarowej mających dostęp do SWD PSP
ZAŁĄCZNIK Nr 2
Minimalne wymagania dotyczące realizacji zadań przez współadministratorów Systemu Wspomagania Decyzji Państwowej Straży Pożarnej
Minimalne wymagania dotyczące realizacji zadań przez współadministratorów Systemu Wspomagania Decyzji Państwowej Straży Pożarnej
I.
Organizacja przetwarzania danych
Organizacja przetwarzania danych
II.
Realizacja praw osób, których dane dotyczą
Realizacja praw osób, których dane dotyczą
III.
Obowiązek informacyjny
Obowiązek informacyjny
IV.
Mechanizmy i procedury bezpieczeństwa
Mechanizmy i procedury bezpieczeństwa