2020-01-03

Odpowiedzialność i zadania innych niż PSP jednostek ochrony ppoż.

Odpowiedzialność i zadania innych niż PSP jednostek ochrony przeciwpożarowej mających dostęp do SWD PSP

Inne jednostki ochrony przeciwpożarowej, które zostaną dopuszczone do przetwarzania danych w SWD PSP, na mocy odrębnych przepisów, są zobowiązane do:

  1. Dopuszczania do pracy w SWD PSP wyłącznie osób spełniających minimalne wymogi odnośnie bezpieczeństwa osobowego. Oznacza to, że każda osoba mająca przetwarzać dane, które będą trafiały do SWD PSP powinna: posiadać imienne upoważnienie pisemne do przetwarzania danych osobowych wydane przez właściwego administratora, podpisać oświadczenie o poufności zawierające dodatkowo informację o zapoznaniu się z procedurami, przepisami i instrukcjami oraz zobowiązanie do ich przestrzegania, odbyć szkolenie obejmujące zasady przetwarzania w systemach teleinformatycznych oraz ochrony danych osobowych. Dodatkowo każda osoba mająca przetwarzać dane w SWD PSP powinna dodatkowo: posiadać dokument zatwierdzony przez administratora, upoważniający do przetwarzania danych w systemie teleinformatycznym łączące jego nazwę oraz nazwę użytkownika, pod którą dozwolone jest przetwarzanie danych dla danej osoby.
  2. Prowadzenia i aktualizowania ewidencji osób upoważnionych do przetwarzania danych osobowych w SWD PSP.
  3. Prowadzenia szkoleń dla użytkowników w zakresie bezpieczeństwa teleinformatycznego oraz ochrony danych osobowych.
  4. Regularnego testowania, mierzenia i oceniania skuteczności środków technicznych
    i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  5. Zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, w tym tworzenia zabezpieczeń technicznych, ograniczeń dostępu fizycznego i zdalnego, przestrzegania zasad zarządzania - administrowania, zarządzania użytkownikami i uprawnieniami w odniesieniu do sieci oraz stacji roboczych i oprogramowania końcowego.
  6. Zapewnienia rozliczalności operacji przetwarzania.
  7. Zgłaszania naruszeń i przeprowadzania postępowań po ich stwierdzeniu.
  8. Wykonania obowiązku informacyjnego oraz udostępnienia treści uzgodnień strażakom i innym osobom z własnych jednostek, których dane dotyczą.
  9. Zapewnienia współpracy z IOD z właściwej jednostki PSP oraz UODO.
  10. Zapewnienia przestrzegania obowiązujących przepisów i procedur wewnętrznych przez własnych członków i pracowników.

Dodatkowo inne jednostki ochrony przeciwpożarowej, są również obowiązane do przestrzegania minimalnych wymogów bezpieczeństwa dotyczących przetwarzania danych osobowych w SWD PSP w zakresie:

  1. Zbierania danych, tj.:
    1. osoby pozyskujące dane powinny spełniać minimalne wymogi odnośnie bezpieczeństwa osobowego opisane powyżej.
  2. Utrwalania danych, tj.:
    1. Dane zbierane w związku z prowadzonymi działaniami ratowniczymi mogą być pierwotnie utrwalane na nośnikach tradycyjnych – papierowych, skąd niezwłocznie przenoszone są do SWD PSP. Dane utrwalone w formie papierowej (notatki odręcznej) powinny zostać zniszczone, po ich skutecznym przeniesieniu do SWD PSP, chyba, że zostały lub będą włączone do akt sprawy. Odpowiedzialność za te czynności spoczywa na osobie pierwotnie utrwalającej dane;
    2. Wyjątek mogą stanowić notatniki KDR i notatniki dyżurnego stanowiska kierowania/punktu alarmowego (dyżurnego), które podlegają rejestracji wiążącej notatnik z konkretną osobą odpowiedzialną. Notatniki te podlegają niszczeniu do 3 miesięcy po upływie roku kalendarzowego, w którym zostały wytworzone. Dokumentacja w postaci notatników KDR i dyżurnych powinna być odpowiednio chroniona przed dostępem osób nieupoważnionych;
    3. Dokumentacja multimedialna (audio, zdjęcia i wideo) powinna być wykonywana za pomocą sprzętu służbowego przez osoby spełniające minimalne wymogi odnośnie bezpieczeństwa osobowego;
    4. Użycie sprzętu prywatnego do wykonywania dokumentacji multimedialnej dozwolone jest wyłącznie za wiedzą i zgodą właściwego administratora;
    5. Zabrania się wykorzystywania ogólnie dostępnych systemów informatycznych, w tym mediów społecznościowych w celu przetwarzania dokumentacji ze zdarzenia, a zwłaszcza dokumentacji multimedialnej (audio, zdjęcia, wideo);
    6. Podczas zgrywania materiałów z urządzeń w celu ich dalszego przetwarzania, należy dokonać ich przeglądu pod kątem niezbędności ich przechowywania oraz adekwatności zawartości w odniesieniu do celu, jakim jest dokumentowanie działań ratowniczych;
    7. Systemy informatyczne, służące do przechowywania materiałów multimedialnych powinny spełniać wymogi bezpieczeństwa analogiczne jak określone dla SWD PSP;
    8. Administrator może zdecydować o wykorzystaniu wybranej dokumentacji multimedialnej do celów związanych z działalnością informacyjną oraz do działań związanych z zapobieganiem powstawania i rozprzestrzeniania się pożarów, klęsk żywiołowych lub innych miejscowych zagrożeń w ramach prewencji społecznej.
  3. Przekazywania danych za pomocą środków łączności, tj.:
    1. Przekazując i przyjmując dane w formie informacji ustnej, za pomocą środków łączności, należy zawsze mieć na względzie ochronę danych osobowych; nie wolno robić tego w obecności osób nieupoważnionych;
    2. Zabronione jest przekazywanie za pomocą niekodowanych środków łączności informacji, które umożliwiają zidentyfikowanie konkretnych osób, w tym obejmujących szczególne kategorie danych osobowych, o których mowa
      w art. 9 ust 1 RODO.
  4. Usuwania danych, tj.: usunięcie danych z SWD PSP może nastąpić wyłącznie
    w przypadkach określonych w art. 17 RODO, na pisemny wniosek osoby, której dane dotyczą lub z inicjatywy administratora.
  5. Zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, tj.:
    1. W zakresie funkcjonowania stacji roboczych i oprogramowania końcowego:
      • urządzenia muszą być zlokalizowane w pomieszczeniach spełniających wymogi bezpieczeństwa fizycznego dla przetwarzania danych osobowych,
      • sprzęt oraz oprogramowanie na nim używane musi być wyposażone
        w zabezpieczenia przed nieautoryzowanym dostępem zdalnym
        w postaci: login i hasło oraz odseparowany od sieci publicznej przy pomocy zapory sieciowej,
      • wymagana jest praca użytkowników pod indywidualnym identyfikatorem,
      • dopuszczalna jest praca na wspólnym loginie w stanowiskach kierowania/punktach alarmowych pod warunkiem zapewnienia innego mechanizmu rozliczalności operacji przetwarzania danych,
      • wskazane jest rozdzielenie uprawnień użytkownika od uprawnień administracyjnych i technicznych.
    2. W zakresie przetwarzania w formie papierowej:
      • kopie papierowe z danymi osobowymi muszą być przechowywane
        w zamykanych na klucz szafach, szufladach lub sejfach,
      • obowiązuje tzw. „zasada czystego biurka”, czyli niepozostawianie dokumentów z danymi osobowymi w trakcie nieobecności
        w pomieszczeniu bez odpowiedniego ich zabezpieczenia,
      • dopuszcza się przechowywanie danych osobowych w niezamykanych szafach lub regałach tylko w pomieszczeniu archiwum lub pomieszczeniu do przechowywania informacji niejawnych zabezpieczonym zgodnie z odrębnymi przepisami.
  6. Zasad napraw urządzeń teleinformatycznych, tj.:
    1. Urządzenia teleinformatyczne powinny być oddawane do naprawy po usunięciu z nich nośników pamięci zawierających dane osobowe lub po trwałym skasowaniu tych danych;
    2. W przypadku, gdy naprawa dotyczy samego nośnika, a nie jest możliwe usunięcie z niego danych, administrator jest zobowiązany podpisać umowę powierzenia przetwarzania danych osobowych z podmiotem dokonującym naprawy.
  7. Zabezpieczenia przed dostępem fizycznym do obszaru przetwarzania, tj.:
    1. Administrator definiuje obszar, w którym dozwolone jest przetwarzanie danych osobowych oraz zasady przebywania w nim osób postronnych, nieupoważnionych do przetwarzania danych;
    2. Administrator określa zasady dostępu do pomieszczeń i obszarów, gdzie są przetwarzane dane osobowe, które zapewniają poufność przetwarzanych danych oraz rozliczalność w zakresie osób w nich przebywających;
    3. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób dopuszczonych do danych osobowych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym;
    4. Przetwarzanie danych osobowych poza wyznaczonymi pomieszczeniami
      i obszarami powinno się odbywać wyłącznie na polecenie administratora lub osoby przez niego upoważnionej, przy zachowaniu adekwatnym do ryzyka, zasad i procedur bezpieczeństwa. Procedury te powinny być co najmniej tak skuteczne jak stosowane do wyznaczonych pomieszczeń i obszarów.
  8. Postępowania w sytuacji naruszeń praw i wolności osób fizycznych w związku
    z przetwarzaniem ich danych osobowych, tj.:
    1. Administrator po stwierdzeniu lub uzyskaniu informacji o naruszeniu ochrony danych osobowych powinien:
      • przystąpić do identyfikacji rodzaju zdarzenia, a w szczególności do określenia skali zniszczeń, dostępu do danych osobowych itp.,
      • powiadomić właściwego IOD, a także przekazać mu wszelkie niezbędne informacje do realizacji jego obowiązków,
      • podjąć odpowiednie kroki w celu zminimalizowania szkód i rozmiarów zdarzenia oraz zabezpieczenia przed usunięciem śladów zdarzenia,
      • opisać zdarzenie w prowadzonej dokumentacji naruszeń (również takie, które nie wymaga zgłoszenia do UODO),
      • w terminie 72 godzin przesłać do UODO zgłoszenie naruszenia ochrony danych osobowych, jeżeli skutkowało ono ryzykiem naruszenia praw i wolności osób fizycznych,
      • zgodne z art. 34 RODO, bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o naruszeniu, jeżeli skutkowało ono dużym ryzykiem naruszenia praw i wolności osób fizycznych.
    2. W przypadku zdarzenia mającego związek z systemem informatycznym należy dodatkowo:
      • dokonać szczegółowej analizy systemu w celu potwierdzenia lub wykluczenia faktu naruszenia,
      • wygenerować, wydrukować dokumenty, raporty lub zestawienia, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrując je datą
        i podpisem,
      • w razie konieczności dokonać fizycznego odłączenia urządzenia, segmentu sieci, które mogły umożliwiać dostęp do bazy danych osobowych osobie nieupoważnionej,
      • wylogować użytkownika podejrzewanego o naruszenie ochrony danych osobowych,
      • dokonać zmiany haseł na kontach, poprzez które uzyskano nielegalny dostęp,
      • przywrócić normalne działanie systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, przywrócić ją z ostatniej kopii awaryjnej
        z zachowaniem środków ostrożności przed ponownym dostępem tą samą drogą przez osobę nieupoważnioną.

 

 

Przeczytaj o systemie i przetwarzanych w nim danych

Tożsamość administratora systemu
Administratorem Scentralizowanego Systemu Dostępu do Informacji Publicznej (SSDIP), który służy do udostępniania podmiotowych stron BIP, jest Minister Cyfryzacji, mający siedzibę w Warszawie (00-060) przy ul. Królewskiej 27, który zapewnia jego rozwój i utrzymanie. Minister Cyfryzacji, w ramach utrzymywania i udostępniania systemu SSDIP, zapewnia bezpieczeństwo publikowanych danych, wymagane funkcjonalności oraz rejestrowanie i nadawanie uprawnień redaktorów BIP osobom wskazanym we wnioskach podmiotów zainteresowanych utworzeniem własnych stron podmiotowych przy użyciu SSDIP zgodnie z art. 9 ust. 4 pkt 3 ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429).
Minister Cyfryzacji, jako administrator systemu SSDIP jest jednocześnie administratorem danych osób wnioskujących o dostęp do SSDIP w celu utworzenia podmiotowych stron BIP oraz osób wyznaczonych do ich redagowania.
Tożsamość administratora danych
Administratorem danych osobowych przetwarzanych w systemie SSDIP w zakresie osób wnioskujących o utworzenie podmiotowej strony BIP oraz osób wyznaczonych do ich redagowania (redaktorów podmiotowych stron BIP) jest Minister Cyfryzacji.

Administratorami danych publikowanych na podmiotowych stronach BIP utworzonych w ramach SSDIP są podmioty, które daną stronę podmiotową BIP utworzyły. Podmioty te decydują o treści danych, w tym treści i zakresie danych osobowych publikowanych na podmiotowych stronach BIP, ich rozmieszczeniu, modyfikacji i usuwaniu. Minister Cyfryzacji, jako Administrator systemu SSDIP, w odniesieniu do materiałów publikowanych na podmiotowych stronach BIP, jest podmiotem przetwarzającym. Może on ingerować w treść materiałów publikowanych na poszczególnych stronach podmiotowych BIP jedynie w przypadku, gdy właściwy podmiot, który daną stronę utworzył i nią zarządza utracił do niej dostęp lub z innych przyczyn utracił nad nią kontrolę.
Dane kontaktowe administratora systemu SSDIP
Z administratorem systemu SSDIP można się skontaktować poprzez adres email: kancelaria@cyfra.gov.pl lub pisemnie na adres siedziby administratora: ul. Królewska 27, 00-060 Warszawa.
Dane kontaktowe inspektora ochrony danych osobowych
Administrator systemu SSDIP wyznaczył inspektora ochrony danych, z którym może się Pani/Pan skontaktować poprzez email iod.mc@cyfra.gov.pl lub listownie - na adres ul. Królewska 27, 00-060 Warszawa. Z inspektorem ochrony danych można się kontaktować wyłącznie w sprawach dotyczących przetwarzania danych osobowych osób składających wnioski o udostepnienie SSDIP, redaktorów poszczególnych stron BIP, oraz incydentów bezpieczeństwa.
W sprawach przetwarzania danych osobowych zawartych w treści materiałów publikowanych w ramach poszczególnych stron podmiotowych, należy się kontaktować z inspektorem ochrony danych podmiotu, którego strona BIP dotyczy, ich redaktorem lub kierownictwem podmiotu, który daną stronę podmiotowa BIP utworzył.
Cele przetwarzania i podstawa prawna przetwarzania
Celem przetwarzania danych publikowanych na stronach podmiotowych BIP przez poszczególne podmioty jest udostępnienie informacji publicznej wytworzonej w urzędzie i dotyczącej działalności urzędu. Podstawę prawną publikacji stanowi wypełnienie obowiązku prawnego, o którym mowa w art. 8 oraz art. 9 ust 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej.
Celem udostępniania systemu SSDIP przez Ministra Cyfryzacji jest umożliwienie podmiotom zobowiązanym, o których mowa w art. 4 ust 1 i 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej, utworzenia i prowadzenia własnych stron BIP (co wynika z art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ww. ustawy).
Odbiorcy danych lub kategorie odbiorców danych
Dane osobowe w zakresie imienia, nazwiska, nr telefonu, nr faksu dotyczące redaktorów podmiotowych stron BIP oraz dane osobowe publikowane w ramach treści materiałów zamieszczanych na poszczególnych podmiotowych stronach BIP są danymi udostępnianymi publicznie bez żadnych ograniczeń, w tym Centralnemu Ośrodkowi Informatycznemu w Warszawie przy Alejach Jerozolimskich 132-136, któremu Ministerstwo Cyfryzacji powierzyło przetwarzanie danych przetwarzanych w ramach platformy SSDIP.
Okres przechowywania danych
Dane dotyczące osób wnioskujących o udostępnienie systemu SSDIP oraz dane osób wyznaczonych na redaktorów stron podmiotowych przechowywane są przez czas, w jakim osoby te pełniły swoje funkcje oraz przez okres wskazany w przepisach prawa po okresie, w którym osoby te przestały pełnić swoje funkcje.
Dane osobowe osób zawarte w materiałach publikowanych w ramach podmiotowych stron BIP przechowywane są przez okres ustalony przez osoby zarządzające treścią tych stron.
Prawa podmiotów danych
Osoby, których dane są przetwarzane w systemie głównym SSDIP, w tym osoby składające wnioski o przyznanie dostępu do SSDIP oraz osoby będące redaktorami podmiotowych stron BIP, mają prawo dostępu do swoich danych, prawo do sprzeciwu, prawo ograniczenia przetwarzania oraz prawo żądania ich sprostowania oraz usunięcia po okresie, o którym mowa powyżej. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora systemu tj. Ministra Cyfryzacji lub wyznaczonego inspektora ochrony danych na adres iod.mc@cyfra.gov.pl.
Osoby, których dane są publikowane w ramach treści materiałów zamieszczanych na podmiotowych stronach BIP maja prawo dostępu do danych, prawo do sprzeciwu, prawo do ograniczenia przetwarzania, prawo żądania ich sprostowania oraz usunięcia po okresie, w którym ich publikacja jest wymagana. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora danych podmiotu, którego dana strona BIP dotyczy, lub wyznaczonego przez niego inspektora ochrony danych.
Prawo wniesienia skargi do organu nadzorczego
Osobom, których dane są przetwarzane w systemie SSDIP lub na podmiotowych stronach BIP publikowanych przez poszczególne podmioty przysługuje prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych tj. do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą w Warszawie przy ul. Stawki 2, 00-193 Warszawa.
Informacja o dobrowolności lub obowiązku podania danych
Przetwarzanie danych osobowych osób składających wnioski o dostęp do SSDIP oraz osób wyznaczonych do redakcji poszczególnych stron podmiotowych BIP jest niezbędne dla zapewnienia kontroli dostępu i wynika z przepisu prawa, tj. art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429) oraz § 15 ust. 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. Nr 10, poz. 68), w związku z art. 20a ustawy z dnia 17 lutego o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700, 730, 848, 1590 i 2294) i przepisami rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247).
Publikowanie danych osobowych na stronie systemu SSDIP oraz na podmiotowych stronach BIP jest dopuszczalne tylko wtedy, jeśli wynika z przepisów prawa, lub jeśli administrator danych uzyskał zgodę tych osób na ich publikację.



Zapoznałem się..