W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies.

Kontakt

Urząd Miejski w Mirosławcu  
ul. Wolności 37
78-650 Mirosławiec
tel.: +48 (67) 259 50 42; fax: + 48 (67) 259 61 88  
NIP: 765 100 33 97 REGON:00124 15 40
Serwis www: miroslawiec.pl 
TERYT: 3217033
adres skrytki ePUAP: /3217033/skrytka  
email: urzad@miroslawiec.pl


Dane dla kontrahentów do wystawiania faktur:
GMINA MIROSŁAWIEC 
ul. Wolności 37, 78-650 Mirosławiec
NIP:  765 160 34 18 REGON: 570791508
Skrzynka PEPPOL: GMINA MIROSŁAWIEC
Nr PEPPOL: 7651603418 

Zarządzenie nr 71

Wersja strony w formacie XML
Szczegóły
wydane przez Burmistrza Mirosławca Piotr Pawlik
z dnia
w sprawie ustalenia "Polityki ochrony danych osobowych w Urzędzie Miejskim w Mirosławcu"
Status obowiązujące

ZARZĄDZENIE NR 71

Burmistrza Mirosławca

z dnia 10 września 2018 r.

w sprawie ustalenia "Polityki ochrony danych osobowych w Urzędzie Miejskim w Mirosławcu"

Na podstawie art. 24 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zarządza się, co następuje:

§ 1. Ustala się „Politykę Ochrony Danych w Urzędzie Miejskim w Mirosławcu” stanowiącą załącznik nr 1 do niniejszego zarządzenia.

§ 2. Zobowiązuje się wszystkie osoby przetwarzające dane osobowe w Urzędzie Miejskim w Mirosławcu do przestrzegania zasad i realizacji zadań określonych w załączniku, o którym mowa w § 1.

§ 3. Traci moc Zarządzenie nr 89 Burmistrza Mirosławca z dnia 22 maja 2012 r. w sprawie ustalenia „Polityki bezpieczeństwa danych osobowych przetwarzanych w Urzędzie Gminy i Miasta Mirosławiec oraz „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy i Miasta Mirosławiec”.

§ 4. Zarządzenie wchodzi w życie z dniem podpisania.
Załącznik do zarządzenia Nr 71

Burmistrza Mirosławca

z dnia 10 września 2018 r.

Polityka ochrony danych osobowych w Urzędzie Miejskim w Mirosławcu.

WSTĘP

Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora - Burmistrza Mirosławca w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).

Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.

DEFINICJE:

Administrator (danych) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

RODO – rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016).

Dane osobowe - to wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego. Tożsamość tej osoby fizycznej.

Przetwarzanie danych osobowych -  to dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.

Ograniczenie przetwarzania - polega na oznaczeniu przetwarzanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

Anonimizacja - zmiana danych osobowych, w wyniku której dane te tracą charakter danych osobowych.

Zgoda osoby, której dane dotyczą - oznacza dowolne, dowolnie określone, konkretne, świadome
i jednoznaczne wskazanie osoby, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania potwierdzającego, wyrażającego zgodę na przetwarzanie danych osobowych z nim związanych. Zgoda musi być udokumentowana we właściwy sposób, aby ją udowodnić.

Ocena skutków w ochronie danych - to proces przeprowadzany przez Administratora, jeśli jest wymagany przez obowiązujące prawo i, jeśli to konieczne, z uczestnictwem inspektora ochrony danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz
z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych.

Podmiotem danych jest każda osoba fizyczna, która jest przedmiotem przetwarzanych danych.

Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

Podmiot przetwarzający (Procesor) - to osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora.

Inspektor Ochrony Danych (IOD) - to osoba formalnie wyznaczona przez Administratora w celu 
informowania i doradzania Administratorowi/Podmiotowi przetwarzającemu/pracownikom


w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego. 

Pseudonimizacja - oznacza przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że ​​dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Szczególne kategorie danych osobowych - ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych i obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące naturalnego życie seksualne osoby lub orientację seksualną. W zależności od obowiązującego prawa, specjalne kategorie danych osobowych mogą również zawierać informacje o środkach zabezpieczenia społecznego lub postępowaniach administracyjnych i karnych oraz o sankcjach.

Profilowanie – jest dowolną forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Naruszenie ochrony danych osobowych - jest to przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Rozdział 1.

Ocena skutków (analiza ryzyka)

Ocena skutków jest formalną, określoną w art. 37 RODO procedurą przeprowadzenia analizy ryzyka za wykonanie której odpowiada Administrator. Jeżeli Administrator nie jest zobowiązany do przeprowadzenia oceny skutków, może mimo to stosować poniższą procedurę do przeprowadzenia analizy ryzyka na potrzeby wykazania rozliczalności spełnienia wymagań RODO.

Ocena skutków musi być wykonana z współudziałem inspektora ochrony danych osobowych.

§ 1. Opis operacji przetwarzania (inwentaryzacja aktywów).

1. W celu dokonania analizy ryzyka wymagane jest zidentyfikowanie danych osobowych, które należy zabezpieczyć. Dane te w postaci zbiorów (kategorii osób) zostały wykazane Rejestrze czynności przetwarzania (wykaz zbiorów danych osobowych) prowadzonym przez Administratora.

2. Opis zbiorów (kategorii osób) obejmuje takie informacje, jak:

1) nazwę zbioru (opis kategorii osób),

2) opis celów przetwarzania,

3) charakter, zakres, kontekst danych osobowych,

4) odbiorcy danych,

5) funkcjonalny opis operacji przetwarzania,

6) aktywa służące do przetwarzania danych osobowych (Informacje, Programy, Systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing) czyli Lista potencjalnych aktywów,

7) informacja o konieczności wpisu do rejestru czynności przetwarzania,

8) informacja o konieczności przeprowadzenia oceny skutków dla zbioru.

§ 2. Ocena niezbędności oraz proporcjonalności (zgodność z przepisami RODO).

1. W ramach przeprowadzenia oceny skutków (analizy ryzyka) Administrator przetwarzający dane osobowe zobowiązany jest do spełnienia wobec nich obowiązków prawnych. W szczególności należy zapewnić, że:
1) dane te są legalnie przetwarzane (na podstawie art. 6, 9 RODO),

2) dane te są adekwatne w stosunku do celów przetwarzania,

3) dane te są przetwarzane przez określony czas (retencja danych),

4) wobec tych osób wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14 RODO) wraz ze wskazaniem ich praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, odwołania zgody),

5) opracowano klauzule informacyjne dla powyższych osób,

6) istnieją umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO), wykaz podmiotów przetwarzających prowadzony jest w Rejestrze umów powierzenia),

7) potwierdzenie spełnienia powyższych wymagań prawnych RODO znajduje się w Wykazie zbiorów danych osobowych.

§ 3. Analiza ryzyka.

1. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

2. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania (np. dla zbioru pracowników, zbioru klientów, zbioru dostawców).

3. Definicje:

1) aktywa – środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych.

2) naruszenie (incydent) ochrony danych osobowych - to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3) zagrożenie - potencjalne naruszenie (potencjalny incydent).

4) skutki - rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia).

5) ryzyko - prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów.

§ 4. Wyznaczenie zagrożeń.

1. Administrator jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić
w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania.

2. Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów.

3. Wykaz przykładowych zagrożeń znajduje się w prowadzonej przez Administratora Liście potencjalnych zagrożeń.

§ 5. Wyliczenie ryzyka dla zagrożeń.

1. Administrator określa Prawdopodobieństwo (P) wystąpienia poszczególnych zagrożeń
w zbiorze lub w procesie przetwarzania.

2. Proponowaną skalę prawdopodobieństwa prezentuje Tabela A.

3. Administrator określa Skutki (S) wystąpienia incydentów (materializacji zagrożeń), uwzględniając straty finansowe, utratę reputacji, sankcje/skutki karne.

4. Proponowaną Skalę skutków prezentuje Tabela B.

5. Administrator wylicza Ryzyka (R) dla wszystkich zagrożeń i ich skutków w/g formuły: R = P * S.

  Tabela A PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA
SKALA (WAGA)
zagrożenie niskie
1
  zagrożenie średnie
2
zagrożenie wysokie
3
Tabela B SKUTKI WYSTĄPIENIA ZAGROŻENIA
SKALA (WAGA)
małe (do 10000 PLN, incydent prasowy lokalny)
1
średnie (10000-100000 PLN, incydent prasowy ogólnopolski)
2
duże (od 100000 PLN, naruszenie prawa)
3
§ 6. Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem.

1. Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem.

2. Proponowaną skalę Ryzyka prezentuje Tabela C.

  Tabela C POZIOM RYZYKA 
WARTOŚĆ [R = P*S]
ryzyko pomijalne i akceptowalne (akceptujemy)
1-2
ryzyko jest opcjonalne (akceptujemy albo obniżamy)
3-6
ryzyko jest nieakceptowalne (musimy obniżyć)
9
§ 7. Reakcja na wartość ryzyka.

1. Akceptacja ryzyka – zabezpieczenia są właściwe – brak potrzeby stosowania dodatkowych zabezpieczeń.

2. Działania obniżające ryzyko, które może zastosować Administrator:

1) przeniesienie –przerzucenie ryzyka (outsourcing, ubezpieczenie),

2) unikanie – eliminacja działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza obszar organizacji),

3) redukcja – zastosowanie zabezpieczeń w celu obniżenia ryzyka (np. zaszyfrowanie pendrive’ów z danymi wynoszonych poza firmę).

3. Wykaz przykładowych zabezpieczeń znajduje się w prowadzonej przez Administratora Liście potencjalnych zabezpieczeń.

4. Analizę ryzyka przeprowadza się w specjalnym szablonie stanowiącym Arkusz analizy ryzyka RODO.

§ 8. Ponowna analiza ryzyka.

1. Ponowna analiza ryzyka przeprowadzana jest cyklicznie lub po znaczących zmianach w przetwarzaniu danych (np. przetwarzanie nowych zbiorów, nowych procesów przetwarzania, zmiany prawne).

§ 9. Plan postępowania z ryzykiem.

1. Wszędzie, gdzie Administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne.

2. Administrator zobowiązany jest do monitorowania wdrożenia zabezpieczeń.

Rozdział 2.

Upoważnienia

§ 10.  Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych
w zbiorach papierowych, systemach informatycznych.

§ 11. Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie administratora lub
na podstawie przepisu prawa.

§ 12. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie.

§ 13. Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, 
audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy 
powierzenia.

§ 14. Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych. Patrz załącznik nr 10 Ewidencja osób upoważnionych.

Rozdział 3.

Instrukcja postepowania z incydentami

§ 15. 

1.  Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

2. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego lub Inspektora Ochrony Danych.

3. Do typowych podatności bezpieczeństwa danych osobowych należą:

1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą
i utratą danych osobowych,

3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników
(np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).

4. Do typowych incydentów bezpieczeństwa danych osobowych należą:

1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),

2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych),

3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

4. W przypadku stwierdzenia wystąpienia incydentu Inspektor Ochrony Danych prowadzi postępowanie wyjaśniające w toku, którego:

1) ustala zakres i przyczyny incydentu oraz jego ewentualne skutki,

2) inicjuje ewentualne działania dyscyplinarne,

3) działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu,

4) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.

5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania w prowadzonym Formularzu rejestracji incydentu.

6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych.

7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

Rozdział 4.

Regulamin ochrony danych osobowych

§ 16. Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie 
bezpiecznych zasad przetwarzania. W tym celu Administrator wprowadza Regulamin Ochrony Danych 
Osobowych.
 

§ 17. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, w tzw. Oświadczeniu poufności.

Rozdział 5.

Szkolenia

§ 18. 

1.  Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO.

2. Za przeprowadzenie szkolenia odpowiada Administrator.

3. W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia za pomocą Planu szkolenia RODO.

4. Materiały szkoleniowe dla uczestników szkolenia opracowano jako Szkolenie wewnętrzne RODO.

5. Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, w tzw. Oświadczeniu poufności.

Rozdział 6.

Rejestr czynności przetwarzania

§ 19. 

1.  Administrator prowadzi Rejestr czynności przetwarzania (wykaz zbiorów danych osobowych).

Rozdział 7.

Audyty

§ 20. 

1.  Zgodnie z art. 32 RODO, Administrator będzie regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. W tym celu Administrator stosuje procedurę audytów.

Rozdział 8.

procedura przywrócenia dostępności danych

§ 21.  Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (BCP) zgodnie z art. 32 RODO,. Administrator przyjmuje procedury przywracania w Planie ciągłości działania.

Rozdział 9.

Wykaz zabezpieczeń

§ 22. 

1.  Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych w Wykazie zabezpieczeń RODO.

2. W wykazie wskazuje sie stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne i organizacyjne.

3. Wykaz jest aktualizowany po każdej analizie ryzyka.

Powiadom znajomego