Formularz:
Osoba: Krzysztof
Temat: Nadzór nad bezpieczeństwem informacji
Pytanie: Dzień dobry! Mam do Pani kilka pytań w związku z przetargiem na "Wykonanie Diagnozy Cyberbezpieczeństwa w Urzędzie Miejskim w Przecławiu w ramach Cyfrowej Gminy": W jaki sposób Urząd Gminy Przecław prowadzi nadzór nad bezpieczeństwem informacji ? Czy w kontekście przetwarzania danych osobowych • dane osobowe (niezależnie od formy przetwarzania), • urządzenia, • programy, • procedury przetwarzania informacji zarządzania systemem informatycznym, • narzędzia programowe stosowane w celu przetwarzania informacji, • personel. są odpowiednio zabezpieczone przed wystąpieniem incydentu, którego skutkiem może być szkoda dla systemu lub urzędu ? Czy w Urzędzie dane osobowe są zabezpieczone według ( Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).? Czy w Urzędzie stopień bezpieczeństwa jest odpowiedni, uwzględniając w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem • zniszczenia, • utraty, • modyfikacji, • nieuprawnionego ujawnienia lub • nieuprawnionego dostępu do danych osobowych Czy w Urzędzie jest wdrożona polityka ochrony danych ? Czy w Urzędzie prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych? Ile razy w Urzędzie przeprowadzany był Audyt bezpieczeństwa danych osobowych ? kiedy ostatnio ? Czy raport z audytu jest udostępniony publicznie ? Pozdrawiam Krzysztof
Odpowiedź:
Szanowny Panie,
Zapewnienie bezpieczeństwa informacji jest jednym z najważniejszych obszarów działania Urzędu Miejskiego w Przecławiu. Mamy świadomość jak niezwykle ważna jest ochrona wszelkich informacji pozyskanych w Urzędzie. Aktualne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, dalej RODO (w przeciwieństwie do uchylonego w 2019 r. cytowanego przez Pana Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) nie nakłada obowiązku opracowania konkretnych polityk ochrony danych, jednak w celach bezpieczeństwa sporządzono i wdrożono w Urzędzie m.in. Politykę Bezpieczeństwa Danych Osobowych oraz Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. Z przepisów RODO nie wynika także obowiązek przeprowadzania audytu. Natomiast obowiązkowe jest regularne dokonywanie przeglądów i oceny skuteczności wdrożonych zabezpieczeń. Dlatego mając na uwadze prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osób w procesie przetwarzania danych osobowych, wprowadzono w Urzędzie Miejskim w Przecławiu procedurę szacowania ryzyka w stosunku do aktualnie prowadzonych jak i planowanych operacji przetwarzania danych osobowych, aby móc odpowiednio wcześniej reagować i zapewnić ochronę praw i wolności osób, których przetwarzanie dotyczy. Wszystkie zatrudnione osoby w Urzędzie mają upoważnienie do przetwarzanych przez siebie danych, które zawarte są w ewidencji osób upoważnionych.
Z poważaniem,
Sekretarz Gminy Przecław
Janusz Krakowski