STRONA GŁÓWNA

 
 

 

OBOWIĄZEK INFORMACYJNY „RODO”

SZKOŁA PODSTAWOWA NR 77 W GDAŃSKU

 

RODO

Od 25 maja 2018 r. rozpoczyna obowiązywanie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane popularnie, jako „RODO”). RODO obowiązywać będzie w identycznym zakresie we wszystkich krajach Unii Europejskiej, a więc także w Polsce i wprowadza szereg zmian w zasadach regulujących przetwarzanie danych osobowych, które będą miały wpływ na wiele dziedzin życia, w tym na korzystanie ze strony internetowej Szkoły Podstawowej nr 77 w Gdańsku.

 

Czym są dane osobowe?

Dane osobowe to, zgodnie z RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku korzystania z naszych serwisów takimi danymi są np. adres e-mail, adres IP lub dane zawarte w nazwie konta poczty elektronicznej czy w innej usłudze oferowanej przez Szkołę Podstawową nr 77. Dane osobowe mogą być zapisywane w plikach cookie lub podobnych technologiach (np. local storage) instalowanych w systemach teleinformatycznych.

 

Zgoda

Informujemy, iż w ramach udostępnianych serwisów przetwarzać będziemy jako administrator Państwa dane osobowe w oparciu o prawnie uzasadniony interes.

Administratorem Państwa danych osobowych jest Szkoła Podstawowa nr 77, przy ul. Orłowskiej 13

80-347 Gdańsk,

e-mail: sekretariat_sp77@op.pl

 

Podstawa i cel przetwarzania

RODO przewiduje kilka rodzajów podstawy prawnej dla przetwarzania danych. Państwa dane osobowe przetwarzane będą w wyrażonej przez Państwa zgodzie na przetwarzanie danych osobowych, o której mowa w art. 6 ust. 1 lit. a RODO oraz w celu wypełnienia obowiązku prawnego ciążącego na administratorze, na podstawie art. 6 ust. 1 lit. c RODO, wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, na podstawie art. 6 ust. 1 lit. e RODO.

 

Realizacja usług edukacyjnych i archiwizacja danych po zrealizowaniu usługi

Czas, przez jaki będziemy przetwarzać dane osobowe, jest uzależniony od podstawy prawnej stanowiącej legalną przesłankę przetwarzania danych osobowych przez Szkołę Podstawową nr 77. Nigdy nie będziemy przetwarzać danych osobowych ponad okres dłuższy niż wynika to z podstaw prawnych. Państwa dane zawsze będą przetwarzane przez okres niezbędny do realizacji celu przetwarzania, w tym również obowiązku archiwizacyjnego wynikającego z przepisów prawa.

Przekazanie danych nie zwalnia przekazującego z odpowiedzialności za ich przetwarzanie. Państwa dane nie będą przekazywane do państw trzecich.

 

Dane osobowe mogą być przekazywane organom państwowym, organom ochrony prawnej (Policja, Prokuratura, Sąd) lub organom samorządu terytorialnego w związku z prowadzonym postępowaniem.

 

 

 

Twoje prawa w związku z przetwarzaniem przez nas Twoich danych osobowych

Masz prawo:

 dostępu do treści Twoich danych,

 do sprostowania Twoich danych,

 do usunięcia Twoich danych,

 do ograniczenia przetwarzania Twoich danych,

 do wniesienia sprzeciwu wobec przetwarzania danych.

Przysługuje Ci również prawo wniesienia skargi do organu nadzorczego, gdy uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy obowiązującego prawa.

Podanie danych w celach realizacji usług edukacyjnych i archiwizacji danych po zrealizowaniu usługi jest wymagane ustawowo lub jest niezbędne do zawarcia umowy. Jeżeli odmówisz podania swoich danych lub podasz nieprawidłowe dane, nie będziemy mogli zrealizować dla Ciebie usługi.

Pana/Pani dane osobowe nie będą podlegały zautomatyzowanym procesom podejmowania decyzji przez Administratora, w tym profilowaniu.

 

 

 Dyrektor szkoły

 Bogdan Derkowski

 


 

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 77 W GDAŃSKU

 

Spis treści

1.            Pojęcia

2.            Wprowadzenie

3.            Opis zdarzeń naruszających bezpieczeństwo danych osobowych

4.            Cel i zakres polityki bezpieczeństwa

5.            Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwa danych osobowych

6.            Obszary przetwarzania danych osobowych wraz ze wskazaniem przetwarzanych zbiorów oraz sposobu zabezpieczenia

6.1.         Obszary oraz zbiory danych osobowych przetwarzane w sposób tradycyjny

6.2.         Obszary oraz zbiory danych osobowych przetwarzane w systemie informatycznym

7.            Wykaz zbiorów danych osobowych

7.1.         Zbiory danych osobowych przetwarzane w sposób tradycyjny

7.2.         Zbiory danych osobowych przetwarzane w systemie informatycznym

 

Załączniki:

 

 

Nr 1

Upoważnienie do przetwarzania danych osobowych

Nr 2

Oświadczenie o zachowaniu poufności

Nr 3

Upoważnienie dla ABI

Nr 4

Wykaz osób upoważnionych do przetwarzania danych osobowych

Nr 5

Wykaz udostępnień danych osobowych innym podmiotom

Nr 6

Wykaz podmiotów, którym powierzono przetwarzanie danych osobowych

Nr 7

Wykaz udostępnień danych osobowych osobom, których dane dotyczą

Nr 8

Dziennik uchybień i zagrożeń

Nr 9

Protokół uchybienia

Nr 10

Protokół zagrożenia

Nr 11

Umowa powierzenia przetwarzania danych osobowych

Nr 12

 Nr 13

Oświadczenie pracownika o zapoznaniu się z zasadami ochrony danych osobowych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

 

 

 

1. Pojęcia.

 

1.1

Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

1.2

Dane osobowe – za dane osobowe uważa się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio  lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną

 

1.3

Zbiór danych – rozumie się przez to każdy posiadający uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie

1.4

Integralność danych — rozumie się przez to właściwość zapewniającą,  że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

1.5

Poufność danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom

1.6

Rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi

1.7

Szkoła – Szkoła Podstawowa nr 77

1.8

Przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany  lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

 

1.9

Administrator Danych Osobowych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydującą o celach i środkach przetwarzania danych osobowych. W Szkole funkcję tę pełni: Dyrektor.

1.10

Administrator Bezpieczeństwa Informacji – osoba nadzorująca  z upoważnienia Administratora Danych Osobowych przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną.

1.11

Identyfikator użytkownika – rozumie się przez to ciąg znaków  literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną  do przetwarzania danych osobowych w systemie informatycznym

1.12

Zgoda - dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

1.13

Hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

1.14

System informatyczny – rozumie się przez to zespół współpracujących  ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

1.15

SIDO - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych

1.16

poufność - zapewnienie, aby tylko uprawniona osoba posiadała dostęp do danych osobowych w zakresie wymaganym realizowanymi zadaniami;

1.17

dostępność – zapewnienie, aby użytkownik SIDO posiadał możliwość pracy na stanowisku komputerowym zgodnie z założonymi wymaganiami ochrony;

1.18

integralność – zapewnienie, aby wszelkie operacje wykonywane na danych osobowych przetwarzanych w SIDO były skutkiem świadomych   i zaplanowanych działań użytkowników SIDO;

 

2. Wprowadzenie.

 

            Niniejsza polityka bezpieczeństwa przetwarzanych danych osobowych  w Szkole została opracowana zgodnie z wymogami:

 

·                     rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024),

·                     ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

·                     ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

 

Dokument   reguluje   sprawy   ochrony   danych   osobowych   zawartych w systemach informatycznych oraz  w  postaci  dokumentacji  papierowej  w  szkole. Polityka Bezpieczeństwa określa:

·                     granice dopuszczalnego zachowania Użytkowników Systemu stosowanego  w Szkole oraz wskazuje konsekwencje w stosunku do osób naruszających przepisy ustawy  o ochronie danych osobowych;

·                     prawa i obowiązki Użytkowników Systemu w zakresie bezpieczeństwa informacji,  w tym ochrony danych osobowych w nim przetwarzanych;

·                     sposób przetwarzania danych osobowych oraz środki organizacyjne i techniczne zapewniające ochronę tych danych;

·                     podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

·                     wymagania w zakresie odnotowywania udostępniania i bezpieczeństwa przetwarzania danych osobowych;

·                     instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych;

·                     wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar,  w którym przetwarzane są dane osobowe;

·                     wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych  do przetwarzania tych danych;

·                     opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

·                     środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności

i rozliczalności przy przetwarzaniu danych osobowych;

 

Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

·                     poufność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobom;

·                     integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

·                     rozliczalność danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;

·                     integralność systemu - rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji zamierzonej, jak i przypadkowej;

·                     dostępność informacji - rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;

·                     zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa.

 

 

3. Opis zdarzeń naruszających bezpieczeństwo danych osobowych.

 

Główne zdarzenia naruszające bezpieczeństwo danych osobowych lub zakwalifikowane jako uzasadnione podejrzenie naruszenia to:

Możliwość wystąpienia zagrożeń w zakresie poufności:

·                     nieuprawniony dostęp do obszarów i pomieszczeń, w których zlokalizowane są zasoby SIDO;

·                     ujawnienie haseł dostępu do SIDO;

·                     nieuprawnione udostępnienie informacji przez osobę uzyskującą dostęp do danych osobowych SIDO;

·                     nieuprawnione przeniesienie informacji na inny nośnik elektroniczny lub papierowy;

·                     utratę nośnika zawierającego dane osobowe;

·                     podszycie się osoby trzeciej pod osobę posiadającą uprawnienia użytkownika SIDO.

Możliwość wystąpienia zagrożeń w zakresie dostępności:

·                     brak możliwości przetwarzania danych osobowych spowodowany brakiem dostępu  do pomieszczeń, w których zainstalowane są zasoby SIDO;

·                     awaria sprzętu lub SIDO;

·                     zakłócenia w zasilaniu sprzętu wraz z SIDO;

·                     brak dostępu do haseł SIDO;

·                     klęska żywiołowa.

Możliwość wystąpienia zagrożeń w zakresie naruszenia integralności:

·                     brak kontroli nad operacjami wykonywanymi na danych osobowych przez użytkowników SIDO;

·                     nieuprawnione przetwarzanie danych osobowych;

·                     nieuprawniony dostęp do danych osobowych;

·                     błędy sprzętu i SIDO.

Możliwość wystąpienia zagrożeń rozliczalności w SIDO:

·                     brak kontroli nad czynnościami wykonywanymi w SIDO;

·                     nieaktualne wykazy osób uprawnionych do przetwarzania danych osobowych  w SIDO;

·                     brak poufności haseł dostępu do SIDO;

·                     brak ochrony fizycznej stanowisk dostępu do danych osobowych;

·                     braki w dokumentacji eksploatacyjnej SIDO, w tym faktu dokumentowania dokonywanych zmian w SIDO.

 

 

 

 

Tabela nr 1. Zasady działania w przypadku zagrożenia lub naruszenia ochrony danych osobowych

 

Kod naruszenia

Formy naruszeń

Sposób postępowania

A

Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych

A.1

W zakresie wiedzy:

A.1.1

Ujawnianie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym

Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji.

A.1.2

 

Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej

Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji.

A.1.3

Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji

Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji.

A.2

W zakresie sprzętu i oprogramowania

A.2.1

Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do komputera.

 Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport.

A.2.2

Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do komputera i sieci

Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A.2.3

Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do dokumentacji przez osoby nie będące pracownikami

Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji.

Sporządzić raport.

A.2.4

Samodzielne instalowanie jakiegokolwiek oprogramowania.

Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport.

A.2.5

Modyfikowanie parametrów systemu i aplikacji.

Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport.

 

A.2.6

Odczytywanie nośników przed sprawdzeniem ich programem antywirusowym.

Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić raport.

A.3

W zakresie dokumentów i obrazów zawierających dane osobowe

A.3.1

Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru

Zabezpieczyć dokumenty. Sporządzić raport.

A.3.2

Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych

 

Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń sporządzić raport.

A.3.3

Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie.

Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport.

A.3.4

Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią

Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport.

A.3.5

Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane dane osobowe

Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane. Sporządzić raport.

A.3.6

Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą.

Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A.3.7

Utrata kontroli nad kopią danych osobowych

Podjąć próbę odzyskania kopii. Powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A.4

W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych

A.4.1

Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych

 Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełożonych . Sporządzić raport.

 A.4.2

Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym

Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość.

Powiadomić przełożonych i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A.4.3

Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji.

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A.5

W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci.

A.5.1

Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.)

 Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

A.5.2

Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych

lub ignorowania takiego faktu

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport.

B

Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych

B.1

Ślady manipulacji przy układach sieci komputerowej lub komputerach

Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.

Sporządzić raport.

B.2

Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu

Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B.3

Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych

Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B.4

Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych

Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B.5

Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania

Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.

B.6

Ślady włamania do pomieszczeń, w których przetwarzane dane osobowe

Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji.

Sporządzić raport.

C

Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem

C.1

Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej

Powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

C.2

Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika.

Powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.

 

W przypadku stwierdzenia wystąpienia zagrożenia, ABI prowadzi postępowanie wyjaśniające, w toku którego:

·                     ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki

·                     inicjuje ewentualne działania dyscyplinarne

·                     rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości

·                     dokumentuje prowadzone postępowania

W przypadku stwierdzenia wystąpienia zagrożenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego:

·                     ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;

·                     inicjuje ewentualne działania dyscyplinarne;

·                     rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości;

·                     dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu z zagrożenia bezpieczeństwa danych osobowych (zał.nr 3), podejmuje działania zapobiegawcze.

W przypadku stwierdzenia naruszenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu o naruszeniu ochrony danych osobowych wg załączonego wzoru który zawiera co najmniej:

·                     ustala datę, czas, miejsce wystąpienia naruszenia, jego zakres, przyczyny ujawnienia, skutki, oraz wielkość szkód które zaistniały;

·                     zabezpiecza ewentualne dowody winy;

·                     ustala osoby odpowiedzialne za naruszenia;

·                     podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody);

·                     inicjuje działania dyscyplinarne;

·                     rekomenduje działania prewencyjne (korekcyjne, korygujące, zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości.

ABI sporządzony raport  ewidencjonuje w „Dzienniku uchybień i zagrożeń” .

 

ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa, zagrożeń lub słabości systemu ochrony danych osobowych. Gdy stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa:

Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy,  w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność  z wymaganiami ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.

Osobą odpowiedzialną za nadzór nad procedurą jest ABI.

Definicje:

·                     incydent – naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność  i integralność;

·                     zagrożenie – potencjalna możliwość wystąpienia incydentu;

·                     korekcja – działanie w celu wyeliminowania skutków incydentu;

·                     działanie korygujące – jest to działanie przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji;

·                     działania zapobiegawcze – jest to działanie, które należy przedsięwziąć,  aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądane;

·                     kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, polityki bezpieczeństwa i instrukcji zarzadzania systemem informatycznym.

 

 

4. Cel i zakres polityki bezpieczeństwa.

 

Ustanowienie ochrony danych osobowych przez:

·                     stosowanie i przestrzeganie procedur przetwarzania danych osobowych w formie papierowej i elektronicznej;

·                     szkolenie pracowników z zakresu bezpieczeństwa danych;

·                     utrzymywanie procedury zarządzania ryzykiem;

 

 

            Polityka bezpieczeństwa zakłada pełne zaangażowanie Dyrekcji oraz pracowników szkoły dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych w sposób tradycyjny oraz za pomocą systemów informatycznych oraz w formie papierowej.

Administratorem Danych Osobowych przetwarzanych w szkole jest Dyrektor jednostki.

Dla skutecznej realizacji zasad i reguł polityki bezpieczeństwa Administrator Danych Osobowych zapewnia:

·                     odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne,

·                     szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony,

·                     utrzymywanie procedury zarządzania ryzykiem;

·                     nadzorowanie przestrzegania niniejszej polityki oraz monitorowanie ryzyka i przeciwdziałanie ich skutkom.

 

Cele Szkoły w dziedzinie bezpieczeństwa danych osobowych:

·                     ochrona zasobów informacyjnych i zapewnienie ciągłości działania procesów  w szkole,

·                     zapewnienie zgodności z prawem podejmowanych działań,

·                     uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa zasobów szkoły rozumiane, jako zapewnienie poufności, integralności  i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych działań.

 

Dane osobowe mogą być wykorzystywane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu, dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.

W przypadku konieczności udostępniania dokumentów i danych w nich zawartych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać pseudominizacji tych danych.

W przypadku, gdy dane osobowe osoby, od której zostały zebrane, są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, ADO lub osoba przez niego upoważniona jest zobowiązana do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.

Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne  do stwierdzonego poziomu ryzyka dla poszczególnych SIDO, rodzajów zbiorów  i kategorii danych osobowych.

W oparciu o obowiązujące normy ABI i ASI przeprowadzają okresową analizę ryzyka dla poszczególnych SIDO i na tej podstawie przedstawiają Administratorowi propozycje dotyczące zastosowania środków technicznych i organizacyjnych (środków ochrony), celem zapewnienia właściwej ochrony przetwarzanych danych osobowych.

 

 

 

 

 

5. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych.

 

Nadrzędną rolą w działaniach Dyrektora jednostki wynikających z jego funkcji jest ochrona powierzonych danych osobowych. Odpowiedzialność za powierzone dane osobowe ponoszą wszyscy pracownicy szkoły, mający dostęp do danych osobowych w ramach swoich obowiązków służbowych.

 

Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym przy współdziałaniu osób upoważnionych do przetwarzania danych  z Administratorem Danych Osobowych.

 

Osoby upoważnione do przetwarzania danych osobowych w szkole zobowiązane są do:

·                     przetwarzania danych osobowych zgodnie z obowiązującymi przepisami,

·                     postępowania zgodnie z polityką bezpieczeństwa w szkole,

·                     ścisłego przestrzegania zakresu udzielonego upoważnienia,

·                     zachowania w tajemnicy danych osobowych, sposobu ich zabezpieczania  oraz zapoznanie się z przepisami dotyczącymi ochrony danych osobowych;

·                     natychmiastowego zgłoszenia Administratorowi Danych Osobowych lub Administratorowi Bezpieczeństwa Informacji podejrzenia lub stwierdzenia faktu naruszenia bezpieczeństwa danych osobowych przetwarzanych w szkole.

 

Do realizacji niniejszej Polityki Dyrektor Szkoły

·                     ustanawia Administratora Bezpieczeństwa Informacji (ABI), jako odpowiedzialnego za nadzór nad jej realizacją;

·                     wskazuje osoby upoważnione do przetwarzania informacji w zakresach każdorazowo zawartych w imiennych upoważnieniach.

Obowiązki ABI

·                     określenie wymagań bezpieczeństwa przetwarzania danych osobowych;

·                     nadzoruje wdrożenie niniejszej Polityki i dokumentów powołanych;

·                     reaguje na incydenty naruszenia bezpieczeństwa danych, prowadzi ich dokumentację  oraz analizuje sytuację, okoliczności i przyczyny, które doprowadziły do naruszenia ochrony danych osobowych;

·                     przygotowuje materiały i szkolenia z zakresu ochrony danych osobowych;

·                     zapewnia przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

o        nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych, środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych oraz przestrzeganie zasad w niej określonych;

o        zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

Obowiązki osoby upoważnionej do przetwarzania

·                     przestrzeganie ograniczenia przetwarzania udostępnionych danych do zakresu wynikającego z upoważnienia oraz celu realizacji obowiązków pracowniczych;

·                     zachowanie w tajemnicy danych osobowych, do których uzyskali dostęp, w trakcie zatrudnienia u administratora danych, jak również po jego zakończeniu – zgodnie  z podpisanym oświadczeniem;

·                     zapoznania się z niniejszą Polityką oraz pozostałą powołaną poniżej dokumentacją, a także przepisami prawa dotyczącymi ochrony danych osobowych.

 

 

 

 

                   6. Obszary przetwarzania danych osobowych wraz ze wskazaniem przetwarzanych zbiorów oraz sposobu zabezpieczenia.

 

6.1. Obszary oraz zbiory danych osobowych przetwarzane w sposób tradycyjny.

 

Budynek

Pomieszczenie

Zabezpieczenie zbiorów – środki techniczne:

Nazwa zbioru danych osobowych:

Szkoła Podstawowa nr 77

Parter,  sekretariat

Gabinet dyrektora szkoły

Kontrola dostępu, pomieszczenie zamykane na czas nieobecności pracownika,

zbiory przechowywane w szafach zamykanych  na klucz

·                     Kadrowy,  Księga ewidencji dzieci, Księga ewidencji uczniów, Ankiety uczniów wypełniane przez rodziców,  Ruch uczniów,  Losy absolwentów,  Księga wypadków uczniów i protokoły powypadkowe,

·                     Dokumentacja awansu zawodowego nauczycieli, Protokolarze

·                     Dokumentacja przebiegu sprawdzianów zewnętrznych

Parter,  sekretariat

Gabinet dyrektora szkoły

Kontrola dostępu, pomieszczenie zamykane na czas nieobecności pracownika, zbiory przechowywane w szafach zamykanych  na klucz

Nadzór pedagogiczny

Dokumentacja awansu zawodowego nauczycieli,

Organizacja roku szkolnego

   gabinet psychologiczno-pedagogiczny

Kontrola dostępu pomieszczenie zamykane na czas nieobecności pracownika, zbiory przechowywane w szafach zamykanych na klucz

Dokumentacja psychologiczno-pedagogiczna  (PET, PDW)

gabinet higienistki

Kontrola dostępu, pomieszczenie zamykane na czas nieobecności pracownika,  zbiory przechowywane w szafach zamykanych na klucz

Karty zdrowia uczniów

parter, archiwum

Kontrola dostępu klucz przechowywany  w gabinecie dyrektora w zamykanej na klucz szafie

Kadrowe,  Księgowe,  Dzienniki lekcyjne,

Arkusze ocen, Księgi arkuszy ocen, Protokolarze,

Awans zawodowy

 

 

 

 6.2. Obszary oraz zbiory danych osobowych przetwarzane w systemie informatycznym.

 

Lp

Budynek, piętro, pomieszczenie:

Dostęp do pomieszczenia:

Typ urządzenia, system operacyjny, sposób identyfikacji / logowania do systemu:

Urządzenia należą do sieci:

Zbiory danych osobowych przetwarzane za pomocą urządzenia

Programy wykorzystywane do przetwarzania zbiorów danych osobowych

1

Szkoła Podstawowa  nr 77

Dostęp posiadają tylko

pracownicy sekretariatu

Komputer stacjonarny, 

Logowanie na komputer – użytkownik + hasło, (brak konta gościa)

Sieci lokalnej (LAN), dostęp do internetu poprzez router z firewallem

Księga ewidencji, System kontroli frekwencji i postępu w nauce, Wypełniania świadectw, Kadry, Sekretariat uczniowski

GPE

uwierzytelnianie – identyfikator + hasło,   

  

Komputer przenośny ,

logowanie na komputer – użytkownik + hasło, (brak konta gościa)

Sieci lokalnej (LAN), dostęp do internetu poprzez router z firewallem

System kontroli frekwencji i postępu w nauce,

dane doraźne

GPE

 

Dodatkowe informacje:

Komputery  posiadają zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową. Komputery znajdują się w wydzielonym segmencie sieci (VLAN).

3

Szkoła Podstawowa  nr 77

 

Gabinet dyrektora

Dostęp posiada Dyrektor

Komputer stacjonarny, logowanie na komputer – użytkownik + hasło (brak konta gościa)

Sieć lokalna (LAN lub WIFI LAN), dostęp do internetu poprzez router z firewallem

Arkusz organizacyjny,  

GPE

Dodatkowe informacje:

Komputery  posiadają zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową.

4

Szkoła Podstawowa  nr 77

 

Dostęp posiadają wicedyrektorzy szkoły

 

Komputer stacjonarny

logowanie użytkownik + hasło (brak konta gościa

Sieć lokalna (LAN lub WIFI LAN), dostęp do internetu poprzez router z firewallem

Arkusz organizacyjny

 

 

 

 

 

System kontroli frekwencji i postępu w nauce

GPE

 arkusz organizacyjny

 

 

 

Przeglądarka WWW

uwierzytelnianie – identyfikator + hasło,

 

Dodatkowe informacje:

Komputer posiada zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową. Zbiory danych osobowych, każdorazowo po zakończeniu czynności związanych z przetwarzaniem są archiwizowane na zewnętrznych nośnikach danych. Komputer znajdują się w wydzielonym segmencie sieci (VLAN).

5

Szkoła Podstawowa  nr 77

 

Nauczyciele

Komputery  posiadają zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową.

Komputer przenośny

Windows 7

logowanie użytkownik + hasło (brak konta gościa)

Sieć lokalna (LAN lub WIFI LAN), dostęp do internetu poprzez router z firewallem

System kontroli frekwencji i postępu w nauce

GPE

 

 

Przeglądarka WWW, wierzytelnianie – identyfikator + hasło,

 

 

Dodatkowe informacje:

Komputery  posiadają zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową.

Dodatkowe informacje:

Komputer posiada zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową.

9

Szkoła Podstawowa nr77

 

pedagog/psycholog

Dostęp posiada pedagog i psycholog

Komputer stacjonarny

logowanie użytkownik + hasło (brak konta gościa)

Sieć lokalna (LAN lub WIFI LAN), dostęp do internetu poprzez router z firewallem

System opieki psychologiczno - pedagogicznej

Przeglądarka WWW,  uwierzytelnianie – identyfikator + hasło,

 

Dodatkowe informacje:

Komputer posiada zainstalowane oprogramowanie antywirusowe, i dodatkową zaporę sieciową.

 

 

 

 

7. Wykaz danych osobowych

 

7.1. Zbiory danych osobowych przetwarzane w sposób tradycyjny.

 

Zbiór

Zawartość pól informacyjnych

Użytkownicy przetwarzający dany zbiór lub część zbioru

Księga ewidencji dzieci

Imię i nazwisko, data i miejsce urodzenia dziecka, PESEL, imiona i nazwiska rodziców (prawnych opiekunów)-adres ich zamieszkania , adres zamieszkania dziecka , wypełniania obowiązku szkolnego w o szczególnych latach, uwagi

Dyrektor szkoły, Zastępca dyrektora, Pracownicy sekretariatu

Księga ewidencji uczniów

Imię i nazwisko, data i miejsce urodzenia dziecka, PESEL, imiona nazwiska rodziców (prawnych opiekunów) – adres ich zamieszkania, adres zamieszkania dziecka, nr ewidencyjny ucznia, data przyjęcia do szkoły, klasa, obwód szkolny, data, klasa  i przyczyna opuszczenia szkoły, nr wydawanego świadectw ukończenia szkoły

Dyrektor szkoły, Zastępca dyrektora, Pracownicy sekretariatu

Księga arkuszy ocen uczniów

Ułożone alfabetycznie i przeliczone arkusze Ocen uczniów z danego rocznika, którzy ukończyli szkołę lub z różnych przyczyn opuścili ją w trakcie nauki

Dyrektor szkoły, Zastępca dyrektora, Pracownicy sekretariatu, Wychowawca klasy

Arkusze ocen uczniów

Ułożone poziomami klas oraz według alfabetu. Zawierają Imiona, Nazwisko, datę i miejsce urodzenia, PESEL, adres zameldowania lub zamieszkania, imiona, nazwiska rodziców lub opiekunów prawnych,  nr ewidencyjny, datę przyjęcia do szkoły, klasę,  nr w dzienniku elekcyjnym, informację o prze biegu realizacji obowiązku szkolnego w szkole, oceny końcowe z wszystkich przedmiotów i zajęć dodatkowych oraz zachowania, informację i ilości godzin opuszczonych oraz ilości godzin nieusprawiedliwionych, wyniki egzaminów klasyfikacyjnych, sprawdzianów zewnętrznych, data uchwały rady pedagogicznej promującej bądź nie promującej ucznia do klasy programowo wyższej, podpis wychowawcy klasy

Wychowawca klasy, Dyrektor szkoły, Zastępca dyrektora,

Dokumentacja sprawdzianu zewnętrznego

Listy uczniów zgłoszone do sprawdzianu zewnętrznego  w danym roku, powołania nauczycieli do komisji nadzorujących sprawdzian zewnętrzny, oświadczenie członków komisji nadzorującej sprawdzian w sprawie zabezpieczenia materiałów szkolnych przed uprawnionym ujawnieniem i ochrony danych osobowych kserokopie list zdających uczniów (kod ucznia wpisany na arkuszu egzaminacyjnym, PESEL, data i miejsce urodzenia, informacja o dysleksji, uwagi), kserokopie protokołów przebiegu sprawdzianu z poszczególnych sal egzaminacyjnych ze składem imiennym komisji nadzorującej egzamin (imię, nazwisko, nauczany przedmiot, miejsce pracy, własnoręczny podpis),  listy z wynikami sprawdzianu w części humanistycznej, matematyczno-przyrodniczej i języka obcego nowożytnego

Dyrektor,  Zastępca dyrektora, Członkowie komisji nadzorującej egzamin gimnazjalny

Dokumentacja awansu zawodowego nauczycieli

Wniosek o rozpoczęcie stażu n-la kontraktowego  i mianowanego, sprawozdanie z realizacji planu rozwoju zawodowego n-la stażysty, kontraktowego  i mianowanego. Dokumentacja nauczyciela stażysty ubiegającego się o stopień nauczyciela kontraktowego

Dyrektor,  Zastępca dyrektora, Opiekun stażu, Członkowie komisji

kwalifikacyjnej

Kadrowy

Imię i nazwisko pracownika, miejsce zamieszkania, zameldowania, imiona i nazwiska, daty i miejsca urodzenia współmałżonków, dzieci, nazwiska rodowe, imiona i nazwiska rodziców pracownika, PESEL, numer NIP, numery telefonów stacjonarnych, numery telefonów komórkowych, numer konta bankowego, świadectwa pracy, odpisy dyplomów ukończenia studiów wyższych magisterskich, licencjackich, podyplomowych lub ich uwierzytelnione kopie, odpisy aktów zawarcia związku małżeńskiego, odpisy aktów urodzenia dzieci, kopie ukończenia kursów udoskonalających, kwalifikacyjnych, warsztatów nauczycielskich innych form doskonalenia zawodowego, zaświadczenia o stanie zdrowia, uwierzytelnione kopie aktów nadania stopnia n - la stażysty, kontraktowego, mianowanego, dyplomowanego, książeczki zdrowia pracowników,  listy płac

Pracownicy sekretariatu,  Główny księgowy, Dyrektor,  Zastępca dyrektora

Księga druków ścisłego zarachowania

Imię i nazwisko osoby

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Ewidencja wydanych legitymacji szkolnych

Imię i nazwisko ucznia, PESEL

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Ewidencja wydanych świadectw ukończenia szkoły

Imię i nazwisko ucznia, PESEL

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Ewidencja wydanych duplikatów świadectw szkolnych

Imię i nazwisko osoby, PESEL

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Dokumentacja egzaminów poprawkowych i klasyfikacyjnych

protokoły  przebiegu egzaminu: imię i nazwisko ucznia skład imienny komisji przeprowadzającej egzamin (imię, nazwisko, własnoręczny podpis), prace pisemne uczniów

Dyrektor,  Zastępca dyrektora, Członkowie komisji egzaminacyjnej

Dokumentacja wypadków uczniów

Rejestr wypadków – imię i nazwisko ucznia i nauczyciela

Zeszyt wypadków uczniów - imię i nazwisko ucznia

Protokół powypadkowy ucznia – imię i nazwisko poszkodowanego ucznia, jego datę i miejsce urodzenia oraz adres zamieszkania; imię i nazwisko nauczyciela zgłaszającego wypadek; imię i nazwisko członków zespołu powypadkowego; imię i nazwisko dyrektora szkoły; imię i nazwisko świadków wypadku; protokół zawiera datę i miejsce wypadku, opis wypadku, rodzaj zajęć, rodzaj wypadku oraz urazu i jego opis

Zgłoszenie wypadku ucznia – imię i nazwisko poszkodowanego ucznia, data i miejsce urodzenia, adres zamieszkania, telefon, opis i rodzaj wypadku oraz urazu, przyczyna i miejsce wypadku, imię i nazwisko osoby zgłaszającej wypadek

Dokumentacja medyczna – imię i nazwisko ucznia, PESEL ucznia, adres zamieszkania i data urodzenia.

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Inspektor BHP

Dokumentacja zwolnień uczniów z wychowania fizycznego

Decyzja dyrektora – imię i nazwisko rodzica (prawnego opiekuna), imię i nazwisko ucznia

Opinia lekarza – imię i nazwisko ucznia, PESEL, data urodzenia, adres zamieszkania

Wniosek rodzica – imię i nazwisko rodzica, adres zamieszkania, imię i nazwisko ucznia.

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Ewidencja zwolnień lekarskich pracowników

Imię i nazwisko pracownika

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Księga zastępstw

Imię i nazwisko nauczyciela

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Rejestr wydanych delegacji służbowych

Imię i nazwisko pracownika

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Ewidencja wydanej pracownikom odzieży ochronnej

Imię i nazwisko nauczyciela, stanowisko pracy

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Protokoły Rady Pedagogicznej

Imię i nazwisko nauczyciela, imię i nazwisko ucznia,

Bibliotekarz,

Dyrektor,  Zastępca dyrektora

Ewidencja osób korzystających z księgozbioru bibliotecznego

Imię i nazwisko ucznia, klasa

Bibliotekarz,

Dyrektor,

Zastępca dyrektora

 

Dokumentacja ZFŚŚ

 

Imię i nazwisko pracownika i emeryta, oświadczenie o numerze i wysokości emerytury, adres zamieszkania i telefon osoby uprawnionej do korzystania ze świadczeń ZFŚS, oświadczenie o dochodach, data urodzenia dziecka, imię i nazwisko członka rodziny, numer konta bankowego

Pracownicy sekretariatu,

Członkowie Komisji Socjalnej,  Dyrektor,  Zastępca dyrektora

Karty ewidencji czasu pracy

Imię i nazwisko pracownika, stanowisko pracy

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Dokumentacja zdrowotna uczniów

Imię i nazwisko ucznia, PESEL ucznia, adres zamieszkania ucznia

Pielęgniarka szkolna,

Dyrektor,  Zastępca dyrektora

Dokumentacja pedagoga i psychologa szkolnego

Imię i nazwisko ucznia, data i miejsce urodzenia ucznia, PESEL ucznia, adres zamieszkania ucznia, imię i nazwisko rodzica (prawnego opiekuna), adres zamieszkania rodzica (prawnego opiekuna),kopie opinii i orzeczeń wydanych przez Poradnie Psychologiczno - Pedagogiczne

Pedagog szkolny,

Psycholog szkolny,

Dyrektor,  Zastępca dyrektora

Archiwum Szkolne

(dokumentacja archiwalna)

Dane pracowników i uczniów, które przetwarzane są w innych zbiorach danych wypisanych w niniejszym dokumencie a przekazane są do archiwizacji.

 

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Rejestr wydanych upoważnień

Imię i nazwisko pracownika, data urodzenia i numer i seria dowodu osobistego oraz adres zamieszkania osoby, która otrzymała upoważnienie

Pracownicy sekretariatu,  Dyrektor,  Zastępca dyrektora

Papierowy dziennik kontroli frekwencji i postępów w nauce

Imię i nazwisko ucznia, imię ojca i matki, miejsce zamieszkania, oceny, frekwencja, PESEL, nr ewidencyjny  z księgi uczniów

Wychowawcy klas,  Dyrektor,  Zastępca dyrektora

 

 

 

 7.2. Zbiory danych osobowych przetwarzane w systemie informatycznym.

 

 

Zbiór

Zawartość pól informacyjnych

Użytkownicy systemu informatycznego przetwarzający dany zbiór lub część zbioru

Sekretariat uczniowski

Imiona, nazwisko ucznia, PESEL, data i miejsce urodzenia, imię ojca, matki (prawnych opiekunów) miejsce zamieszkania,  przebieg wypełniania obowiązku szkolnego w poszczególnych latach szkolnych, data dodania, data ostatniej modyfikacji

Pracownicy sekretariatu, Dyrektor,   Zastępca dyrektora

Kadrowy,

 

Imię i nazwisko pracownika, miejsce zamieszkania, zameldowania, imiona i nazwiska, daty i miejsca urodzenia współmałżonków, dzieci, nazwiska rodowe, imiona  i nazwiska rodziców pracownika, PESEL, numer NIP, numery telefonów stacjonarnych, numery telefonów komórkowych, numer konta bankowego, świadectwa pracy, odpisy dyplomów ukończenia studiów wyższych magisterskich, licencjackich, podyplomowych lub ich uwierzytelnione kopie, odpisy aktów zawarcia związku małżeńskiego, odpisy aktów urodzenia dzieci, kopie ukończenia kursów udoskonalających, kwalifikacyjnych, warsztatów nauczycielskich innych form doskonalenia zawodowego, zaświadczenia o stanie zdrowia, uwierzytelnione kopie aktów nadania stopnia n - la stażysty, kontraktowego, mianowanego, dyplomowanego, książeczki zdrowia pracowników, listy płac, numer konta bankowego

Dyrektor,  Sekretarka, Kadrowy

Hermes

Imię i nazwisko, klasa, nazwa i adres szkoły, imię  i nazwisko dyrektora szkoły, dane organu prowadzącego, data i miejsce urodzenia, PESEL, kod ucznia na egzaminie gimnazjalnym, numer Sali egzaminacyjnej, informacja  o zdawanych przedmiotach, informacja o ewentualnej dysleksji i typie arkusza egzaminacyjnego.

Dyrektor

SIO

Imię, nazwisko nauczyciela, PESEL, wykształcenie, stopień awansu zawodowego, wymiar etatu, rodzaj prowadzanych zajęć, formy doskonalenia zawodowego, składniki wynagrodzenia

Dyrektor,  Pracownicy sekretariatu,  Główna  księgowa

Arkusz organizacji pracy szkoły

Imię i nazwisko pracownika, daty i miejsca urodzenia, PESEL, wykształcenie, kwalifikacje, stopień awansu zawodowego, staż pracy, ukończone kursy udoskonalające, kwalifikacje oraz warsztaty i inne formy doskonalenia zawodowego, wymiar etatu, stawki zasadnicze wynagrodzenia, wysługa, dodatki funkcyjne  i motywacyjne, dodatki za opiekuna stażu, rodzaj prowadzonych zajęć, stanowisko pracy

Dyrektor,  Zastępca dyrektora

System elektronicznej rekrutacji uczniów

Imię i nazwisko ucznia, data i miejsce urodzenia, adres, PESEL, imiona rodziców, numer telefonu, e-mail

Wychowawca klas, Nauczyciel informatyki, Zastępca dyrektora,  Pedagog

 

 


Załącznik nr 1

 

 

 

Data nadania upoważnienia: .........................

 

Upoważnienie do przetwarzania danych osobowych

 

1. Upoważniam Panią/Pana .............................................................................................................                          

      o numerze PESEL ......................................................................................................................  
      zatrudnioną/-ego na stanowisku .................................................................................................

      w Szkole Podstawowej nr 77

     do dostępu do następujących zbiorów danych osobowych w celu ich przetwarzania:

     (należy określić zbiory zgodnie z załącznikiem numer 2 do Polityki Bezpieczeństwa)

     – ...................................................................................................................................................

     – ...................................................................................................................................................

     – ...................................................................................................................................................

     – ...................................................................................................................................................

     – ...................................................................................................................................................

2. Okres trwania upoważnienia: .......................................................................................................  

                        
             Wystawił: .............................................................................................................................

                                                            (podpis Administratora Danych Osobowych lub ABI)

 

3. Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabezpieczeniu.

 

Data i podpis osoby upoważnionej: ..................................................................................................

 


Załącznik nr 2

 

  

 

OŚWIADCZENIE
o zachowaniu poufności

  

Zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których mam lub będę miał/-a dostęp w związku z wykonywaniem jakichkolwiek czynności na rzecz Szkole Podstawowej nr  

 

Zobowiązuję się przestrzegać wszelkich procedur obowiązujących w Szkole Podstawowej nr 77  dotyczących ochrony danych osobowych
– w szczególności określonych w Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym oraz obowiązujących przepisów prawa.

  

 

                                                                           ……….………………….……………….

                                                                                       (data i podpis osoby oświadczającej)

 


Załącznik nr 3

  

Gdańsk,  ……………………………..

 

 

UPOWAŻNIENIE
DLA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI)

 

Upoważniam Pana/Panią …………………..  o numerze PESEL ………………… powołaną na stanowisko Administratora Bezpieczeństwa Informacji do:

 

1)      nadzoru nad prawidłową realizacją Polityki Bezpieczeństwa obowiązującej
w Szkole Podstawowej nr 77 w Gda
ńsku, w szczególności:

·         zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,

·         zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną,

·         zabezpieczenie danych przed ich przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,

·         prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne służące ich zabezpieczeniu,

·         nadawanie upoważnienia do przetwarzania danych osobowych.

 

                                                                                             .........................................................

                                                                                                          podpis Administratora Danych Osobowych

 

Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Administratora Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące
w Szkole Podstawowej nr 77, ustaw
ę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane na podstawie wyżej wymienionej ustawy.

 

..................................................................
podpis Administratora Bezpieczeństwa Informacji (ABI)

 

 


Załącznik nr 4

 

WYKAZ OSÓB UPOWAŻNIONYCH
DO PRZETWARZANIA DANYCH OSOBOWYCH

 

Lp.

Imię i nazwisko

Stanowisko/
komórka organizacyjna

Zakres

Data nadania upoważnienia

Data ustania upoważniania

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Załącznik nr 5

  

WYKAZ UDOSTĘPNIEŃ DANYCH OSOBOWYCH INNYM PODMIOTOM

  

Lp.

Imię i Nazwisko/

Nazwa zbioru

(możliwie najpełniejszy opis osoby, której dane zostały udostępnione lub całego zbioru

Data udostępnienia

Nazwa podmiotu, któremu udostępniono dane

(np. upoważniony organ, instytucja lub inny, który wykazał uprawnienie do udostępnienia mu danych)

Cel udostępnienia (podstawa prawna/numer umowy}

Zakres udostępnionych danych

(jakie dane zostały udostępnione

Rodzaj zbioru/zasobu i jego lokalizacja

(np. papierowy wydruk, dane

w formie elektronicznej

1

 

 

 

 

 

 

2

 

 

 

 

 

 

3

 

 

 

 

 

 

4

 

 

 

 

 

 

5

 

 

 

 

 

 

6

 

 

 

 

 

 

 

 


Załącznik nr 6

  

WYKAZ PODMIOTÓW
KTÓRYM POWIERZONO PRZETWARZANIE DANYCH OSOBOWYCH

 

 

L.p.

 

Nazwa podmiotu,

któremu powierzono dane

 

Data powierzenia

 

Cel powierzenia oraz

numer umowy powierzenia

 

Zakres powierzonych danych

(jakie dane zostały powierzone)

 

Określenie zbioru/zasobu      

 

1.

 

 

 

 

 

 

2.

 

 

 

 

 

 

3.

 

 

 

 

 

 

4.

 

 

 

 

 

 

5.

 

 

 

 

 

 

6.

 

 

 

 

 

 

7.

 

 

 

 

 

 


Załącznik nr 7

WYKAZ UDOSTĘPNIEŃ DANYCH OSOBOWYCH
OSOBOM KTÓRYCH DOTYCZĄ

 

L.p.

 

Imię i nazwisko osoby, której dane są udostępniane

 

Data udostępnienia

 

Rodzaj zbioru/zasobu i jego lokalizacja

(np. papierowy wydruk danych zawartych w określonym zbiorze)

 

 1.

 

 

 

 2.

 

 

 

 3.

 

 

 

 4.

 

 

 

 5.

 

 

 

 6.

 

 

 

 7.

 

 

 

 8.

 

 

 

 9.

 

 

 

 10.

 

 

 

 

 


 

Załącznik nr 8

 

 

DZIENNIK UCHYBIEŃ I ZAGROŻEŃ

 

kod

Data i godzina zdarzenia

Rodzaj zdarzenia

(uchybienia lub zagrożenia)

Opis zdarzenia

Skutki zdarzenia

Działania naprawcze

Podpis ABI

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Załącznik 9

PROTOKÓŁ UCHYBIENIA

 

Data i godzina wystąpienia uchybienia ……………………………………………………..

Kod uchybienia                              ……………………………………………………..

Opis uchybienia

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

Przyczyny powstania uchybienia

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

Zaistniałe skutki uchybienia

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

Podjęte działania naprawczo-zapobiegawcze

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

 

Administrator Bezpieczeństwa Informacji                             Administrator Danych Osobowych

 

      ……………………………                                       ……………………………

 

 


Załącznik nr 10

 

 

PROTOKÓŁ ZAGROŻENIA

 

Data i godzina wystąpienia zagrożenia         ……………………………………………………..

Kod zagrożenia                                              ……………………………………………………..

Opis zagrożenia

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

Przyczyny powstania zagrożenia

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

Zaistniałe skutki zagrożenia

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

Podjęte działania naprawczo-zapobiegawcze

 …………………………………………………...……………………………………………………………………………………

…………………………………………………………………………………………………………………………………………

……………………………………………………………………....…………………………………………………………………

 

Administrator Bezpieczeństwa Informacji                                  Administrator Danych Osobowych

    ……………………………………                                  ……………………………………….

 


Załącznik nr 11

 

Umowa powierzenia przetwarzania danych osobowych

 

Umowa Nr ............................

 

Zawarta w dniu .......................... r. w Gdańsku  pomiędzy:

Szkołą Podstawową nr 77 w Gdańsku zwaną w dalszej części niniejszej umowy „Zleceniodawcą” reprezentowanym przez:

…………………………………………………………………………………………………

a

.................................................................................................................................................... .

zwanym w dalszej części niniejszej umowy „Wykonawcą”

reprezentowanym przez:

...........................................................

o następującej treści:

 

§ 1

Powierzenie przetwarzania danych osobowych

 

1.    W związku z realizacją umowy nr ........................ z dnia .............. r. o ............................... Zleceniodawca powierza Wykonawcy przetwarzanie danych osobowych.

2.    Zleceniodawca oświadcza, że jest administratorem danych, które powierza.

3.    Powierzone dane zawierają informacje o ………………………………………………...

4.    Zleceniodawca powierza Wykonawcy przetwarzanie danych osobowych w zakresie określonym w § 2.

 

 

§ 2

Zakres i cel przetwarzania danych

 

Powierzone przez Zleceniodawcę dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu wykonywania przez Wykonawcę na rzecz Zleceniodawcy usług szczegółowo opisanych w umowie, o której mowa w § 1 ust. 1 i w sposób zgodny z niniejszą Umową.

 

 

§ 3

Sposób wykonania Umowy w zakresie przetwarzania danych osobowych

 

1. Wykonawca zobowiązuje się, przy przetwarzaniu danych osobowych, o których mowa
w § 2 ust 1, do ich zabezpieczenia poprzez podjęcie środków technicznych i organizacyjnych, o których mowa w art. 36 – 39 a ustawy.

2. Wykonawca oświadcza, że zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informacyjne służące do przetwarzania danych osobowych (Dz. U.
Nr 100, poz. 1024):

1)  prowadzi dokumentację opisującą sposób przetwarzania danych osobowych,

2)  znajdujące się w jego posiadaniu urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zapewniają poziom bezpieczeństwa określony, jako wysoki,

3) stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, w zakresie, za który odpowiada Wykonawca.

3.  Wykonawca zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, ustawą oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

4.  Wykonawca zobowiązuje się niezwłocznie zawiadomić Zleceniodawcę o:

1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia,

2) każdym nieupoważnionym dostępie do danych osobowych,

3) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie.

5.  Zleceniodawca ma prawo do kontroli sposobu wykonywania niniejszej Umowy poprzez przeprowadzenie zapowiedzianych na 7 dni kalendarzowych wcześniej doraźnych kontroli dotyczących przetwarzania danych osobowych przez Wykonawcę oraz żądania składania przez niego pisemnych wyjaśnień.

6.  Na zakończenie kontroli, o których mowa w ust. 8, przedstawiciel Zleceniodawcy sporządza protokół w 2 egzemplarzach, który podpisują przedstawiciele obu stron. Wykonawca może wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od daty jego podpisania przez strony.

7.  Wykonawca zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

8.  Wykonawca zobowiązuje się odpowiedzieć niezwłocznie i właściwie na każde pytanie Zleceniodawcy dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.

9.  Wykonawca może „podpowierzyć” usługi objęte umową, o której mowa w § 1 ust. 1 i niniejszą umową podwykonawcom jedynie za zgodą Zleceniodawcy.

 

§4

Odpowiedzialność Wykonawcy

 

1.  Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową, a w szczególności za udostępnienie osobom nieupoważnionym.

2.  W przypadku naruszenia przepisów ustawy lub niniejszej Umowy z przyczyn leżących po stronie Wykonawcy, w następstwie, czego Zleceniodawca, jako administrator danych osobowych zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Wykonawca zobowiązuje się pokryć Zleceniodawcy poniesione z tego tytułu straty i koszty.

 

§5

Czas obowiązywania Umowy powierzenia

Niniejsza Umowa powierzenia zostaje zawarta na czas określony do dnia …………………. r.

 

 

§ 6

1.    Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zleceniodawcy i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2.    Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zleceniodawcy w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

3.    Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania,  przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

 

§ 7

Warunki wypowiedzenia Umowy

1. Zleceniodawca ma prawo rozwiązać niniejszą Umowę bez zachowania terminu wypowiedzenia, gdy Wykonawca:

1)    wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową,

2)    powierzył przetwarzanie danych osobowych podwykonawcom bez zgody Zleceniodawcy,

3)    nie zaprzestanie niewłaściwego przetwarzania danych osobowych,

4)    zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej Umowy, a w szczególności niespełniania wymagań określonych w §3.

  2. Rozwiązanie niniejszej Umowy przez Zleceniodawcę jest równoznaczne z wypowiedzeniem umowy, o której mowa w § 1 ust. 1.

§ 8

Rozwiązanie Umowy

 

Wykonawca, w przypadku wygaśnięcia umowy, o której mowa §1 ust.1 i niniejszej umowy niezwłocznie, ale nie później niż w terminie do 5 dni kalendarzowych, zobowiązuje się zwrócić lub usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji i potwierdzić powyższe przekazanym Zleceniodawcy protokołem.

§9

Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

 

 

§10

W sprawach nieuregulowanych w niniejszej umowie mają zastosowanie przepisy Kodeksu Cywilnego.

§11

Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Zleceniodawcy.

§ 12

Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

 

 

 

.........................................                                                                 .........................................

     Zleceniodawca                                                                                     Wykonawca

 

 

 


Załącznik 12

 

 

 

 

…………………………., dnia …………………

 

 

Nazwisko i imię ……………………………………………………

 

Stanowisko …………………………………………………………

 

 

 

 

OŚWIADCZENIE

 

Pouczona/y o odpowiedzialności oświadczam, że zapoznałam/em się z postanowieniami Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania  danych osobowych obowiązującymi w Szkole Podstawowej nr 77 oraz zobowiązuję się do przestrzegania wynikających z nich zasad.

  

………………………………………

          podpis osoby składającej oświadczenie

 

 


Załącznik 13

 

INSTRUKCJA ZARZĄDZANIA

SYSTEMEM INFORMATYCZNYM  SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

W SZKOLE PODSTAWOWEJ NR 77

W GDAŃSKU

 

 

Rozdział I.

 

 

Postanowienia ogólne i definicje.

 

  1. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „Instrukcją” jest dokumentem regulującym zasady oraz procedury zarządzania i administrowania systemami informatycznymi przetwarzającymi dane osobowe w Szkole Podstawowej nr 77  zwanej dalej „Szkołą”.

  2. Instrukcja określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych, przez Dyrektora Szkoły, który jest administratorem danych osobowych –  w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

  3. Określenia i skróty użyte w „Instrukcji” oznaczają:

1)      zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;

2)      administrator danych osobowych – Dyrektor Szkoły, zwany dalej „Administratorem” ;

3)      administrator bezpieczeństwa informacji, zwany dalej „ABI” – osoba wyznaczona przez Administratora, nadzoruje w Szkole przestrzeganie zasad ochrony danych osobowych określonych w PB oraz w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; odpowiada za bezpieczeństwo danych osobowych przetwarzanych tradycyjnie
i w systemach informatycznych przetwarzających dane osobowe;

4)      administrator systemu informatycznego, zwany dalej „ASI” – osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych w komórkach organizacyjnych Szkoły (może to być w szczególności administrator sieci lokalnej, systemu operacyjnego, bazy danych), administruje zasobami sprzętowo – programowymi służącymi do przetwarzania danych osobowych oraz zarządza uprawnieniami użytkowników;

5)      system informatyczny przetwarzający dane osobowe – zwany dalej „SIDO” – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

6)      bezpieczeństwo SIDO – wdrożenie przez Administratora danych osobowych  lub osobę przez niego upoważnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych osobowych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem;

7)      przetwarzanie danych osobowych - wykonywanie jakichkolwiek operacji na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie;

8)      administrator informacji zawartych w zbiorze – przełożony użytkownika – opiekuna zbioru, zwany dalej „przełożonym” – kierujący komórką organizacyjną, odpowiedzialny za przestrzeganie zasad przetwarzania i ochrony danych osobowych przez podległych mu pracowników;

9)      osoba upoważniona, zwana dalej „użytkownikiem” – osoba posiadająca upoważnienie nadane przez Administratora lub osobę wyznaczoną przez niego i uprawniona do przetwarzania danych osobowych, w zakresie wskazanym w upoważnieniu;

10)  opiekun zbioru – użytkownik SIDO, który posiada upoważnienie wydane przez Administratora (lub osobę upoważnioną przez niego) i jest dopuszczony, jako użytkownik do przetwarzania danych osobowych w SIDO danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu; listę osób upoważnionych do przetwarzania danych osobowych posiada ABI;

11)  zabezpieczenie danych w SIDO, zwane dalej „zabezpieczeniem” – czynności mające na celu wdrożenie i eksploatację stosowanych środków technicznych
i organizacyjnych zapewniających ochronę danych osobowych przed ich nieuprawnionym przetwarzaniem;

12)  wewnętrzna sieć teleinformatyczna – lokalna sieć komputerowa Administratora, zwana dalej LAN, łącząca, co najmniej dwa indywidualne stanowiska komputerowe, umożliwiająca użytkownikom określony dostęp do danych osobowych;

13)  dane sensytywne – dane w rozumieniu art. 27 ustawy o ochronie danych osobowych, podlegające szczególnej ochronie;

14)  poufność – zapewnienie, aby tylko uprawniona osoba posiadała dostęp do danych osobowych w zakresie wymaganym realizowanymi zadaniami; zagrożenia w zakresie poufności obejmują:

a)      nieuprawniony dostęp do obszarów i pomieszczeń, w których zlokalizowane są zasoby SIDO,

b)      ujawnienie haseł dostępu do SIDO,

c)      nieuprawnione udostępnienie informacji przez osobę uzyskującą dostęp do SIDO,

d)     nieuprawnione przeniesienie informacji na inny nośnik elektroniczny lub papierowy,

e)      utrata nośnika zawierającego dane osobowe,

f)       podszycie się pod osobę posiadającą uprawnienia użytkownika SIDO;

15)  dostępność – zapewnienie, aby użytkownik SIDO posiadał możliwość pracy na stanowisku komputerowym zgodnie z założonymi wymaganiami ochrony; zagrożenia w zakresie dostępności obejmują:

a)      brak możliwości przetwarzania danych osobowych spowodowany brakiem dostępu do pomieszczeń, w których zainstalowane są zasoby SIDO,

b)      awaria sprzętu lub SIDO,

c)      zakłócenia w zasilaniu SIDO,

d)     brak dostępu do haseł SIDO,

e)      klęska żywiołowa;

16)  integralność – zapewnienie, aby wszelkie operacje wykonywane na danych osobowych przetwarzanych w SIDO były skutkiem świadomych  i zaplanowanych działań użytkowników SIDO;

zagrożenia w zakresie naruszenia integralności obejmują:

a)      brak kontroli nad operacjami wykonywanymi na danych osobowych przez użytkowników;

b)      nieuprawnione przetwarzanie danych osobowych;

c)      nieuprawniony dostęp do danych osobowych;

d)     błędy sprzętu i SIDO;

17)  rozliczalność – zapewnienie, aby czynności wykonywane przez użytkowników SIDO były ściśle rejestrowane;

zagrożenia rozliczalności w SIDO obejmują:

a)     brak kontroli nad czynnościami wykonywanymi w SIDO,

b)    nieaktualne listy osób uprawnionych do przetwarzania danych osobowych w SIDO,

c)     brak poufności haseł dostępu do SIDO,

d)    brak ochrony fizycznej stanowisk dostępu do danych osobowych,

e)     braki w dokumentacji eksploatacyjnej SIDO, w tym dokumentowania w SIDO zmian;

18)  domena - element adresu - systemu serwerów wykorzystywanego do nazywania urządzeń w Internecie;

19)  domena Windows – usługa katalogowa - hierarchiczna baza danych przechowująca informacje dotyczące obiektów (użytkowników, komputerów, urządzeń sieciowych) w sieci oraz relacji między nimi;

20)  hasło dostępu – ciąg znaków literowych, cyfrowych lub innych specjalnych (bez spacji), znany jedynie użytkownikowi;

23)  nazwa użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych specjalnych (bez spacji), jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w SIDO;

24)  nośniki danych – przedmiot do zapisywania (a następnie odtwarzania) danych w celu ich przechowywania; stosowane są w szczególności następujące typy nośników danych: magnetyczne (dyski twarde HDD), optyczne (płyty CD, DVD, Blu-ray Disc - BD), karty pamięci (karty, pendrive), nośniki jednokrotnego zapisu (np. CD-ROM, DVD-ROM) oraz nośniki wielokrotnego zapisu (np. dysk HDD, CD-RW);

25)  uwierzytelnianie – proces polegający na weryfikacji deklarowanej tożsamości użytkownika, która jest potwierdzana poprzez podanie loginu i hasła;

26)  odbiorcy danych – każdy użytkownik SIDO, któremu udostępniane są dane osobowe, z wyłączeniem:

a)      osoby, której dane dotyczą,

b)      osoby upoważnionej do przetwarzania danych,

c)      podmiotu, o którym mowa w art. 31 ustawy,

d)     organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;

27)  raport – przygotowane przez SIDO zestawienie zakresu i treści przetwarzanych danych;

28)  aplikacja bazodanowa - program komputerowy, który umożliwia zaprojektowanie, stworzenie i edycję bazy danych. Program taki oferuje wiele użytecznych funkcji, np. dowolne przeszukiwanie bazy danych, możliwość tworzenia kwerend, formularzy, wydruków informacji (tzw. raportów), a także eksportowanie bazy danych do innych programów.

W Szkole stosuje się wysoki poziom bezpieczeństwa przetwarzania danych osobowych oraz adekwatny do poziomu bezpieczeństwa przetwarzania pozostałych danych i konfiguracji SIDO.

SIDO stanowią serwery i stacje klienckie (robocze) rozmieszczone
w pomieszczeniach poszczególnych komórkach organizacyjnych pracujące pod kontrolą licencjonowanych systemów operacyjnych Microsoft Windows oraz innego oprogramowania użytkowego. SIDO.

Użytkownicy SIDO mają możliwość dostępu do sieci Internet i poczty elektronicznej.

 

 

Rozdział 2.

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych oraz wskazanie osoby odpowiedzialnej za te czynności.

 

1.     Dostęp do SIDO może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana przez ABI, jako użytkownik SIDO.

2.     Nadanie uprawnień do przetwarzania danych osobowych w Szkole następuje zgodnie niniejszą Instrukcją.

3.     Użytkownicy uzyskują dostęp do sieci w zależności od zakresu wykonywanych obowiązków i powierzonych zadań na danym stanowisku.

4.     Procedura nadawania/odbierania uprawnień dostępu do LAN:

1)     przełożony użytkownika:

a)     wnioskuje o nadanie pracownikowi uprawnień do przetwarzania danych w SIDO w związku z wykonywanymi zadaniami,

b)    zgłasza do ABI potrzebę nadania/odebrania uprawnień w SIDO na wymaganym poziomie dostępu w zakresie nadania uprawnień ABI współdziała z ASI;

2)     ABI na podstawie otrzymanego wniosku:

a)     rejestruje użytkownika w rejestrze użytkowników przetwarzających dane osobowe i przygotowuje upoważnienie do nadania przez Administratora wymaganych uprawnień,

b)    informuje ASI i użytkownika o nadaniu/odebraniu uprawnień do przetwarzania danych osobowych,

c)     ASI wprowadza użytkownika do SIDO i przydziela użytkownikowi konto, zgodnie z przyznanymi uprawnieniami,

d)    w przypadku, gdy nadanie wymaganych uprawnień może grozić naruszeniem standardów bezpieczeństwa SIDO, ASI informuje przełożonego pracownika oraz ABI o tym zagrożeniu i wstrzymuje proces nadawania uprawnień,

3)     Użytkownik, po otrzymaniu od ASI informacji o założonym koncie z wymaganymi uprawnieniami, wykonuje:

a)     przy pierwszym logowaniu do SIDO, o ile SIDO umożliwia, zmianę nadanego mu przez ASI hasła;

b)    logowanie do SIDO w celu sprawdzenia poprawności konta i uprawnień.

5.     Procedurę nadania uprawnień dostępu do SIDO stosuje się również do zmiany w istniejących uprawnieniach użytkownika.

6.     Procedury nadawania upoważnień do przetwarzania danych osobowych w SIDO, obejmują:

1)      złożenie przez przełożonego wniosku o nadanie upoważnienia do przetwarzania danych osobowych;

2)      nadanie przez Administratora, upoważnienia do przetwarzania danych osobowych;

3)      rejestrację użytkownika przez ASI, która polega na nadaniu identyfikatora i przydzieleniu hasła oraz wprowadzeniu tych danych do bazy użytkowników SIDO.

7.     Ponowną procedurę nadania upoważnień do przetwarzania danych osobowych stosuje się do zmiany w istniejących uprawnieniach.

8.     Wyrejestrowania użytkownika z SIDO dokonuje ASI. Wyrejestrowanie może mieć charakter czasowy lub trwały.

9.      Wyrejestrowanie czasowe może nastąpić do momentu ustania przyczyny uzasadniającej blokadę konta. Decyzję o czasowym wyrejestrowaniu podejmuje ABI.

10.      Przyczyną czasowego wyrejestrowania użytkownika z SIDO może być:

1)      nieobecność użytkownika w pracy trwająca dłużej niż 21 dni kalendarzowych;

2)      zawieszenie w pełnieniu obowiązków służbowych;

3)      wszczęcie postępowania dyscyplinarnego względem osoby upoważnionej do przetwarzania danych osobowych, w tym z powodu naruszenia zasad przetwarzania i ochrony danych osobowych.

11.       Przyczyną trwałego wyrejestrowania użytkownika z SIDO jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego użytkownik był uprawniony do dostępu do danych osobowych.

12.      Wyrejestrowanie czasowe lub trwałe następuje poprzez:

1)      zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe);

2)      usunięcie danych użytkownika z bazy użytkowników SIDO (wyrejestrowanie trwałe).

 

 

Rozdział 3.

 

Stosowane metody i środki uwierzytelnienia oraz procedury związane
z ich zarządzaniem i użytkowaniem.

 

 

1.     W SIDO  stosuje się uwierzytelnianie jedno lub dwustopniowe. 

2.     Uwierzytelnienie użytkownika na każdym poziomie odbywa się poprzez nazwę użytkownika (loginy) i hasła. Uwierzytelnianie ma na celu:

1)     zapewnienie bezpieczeństwa i rozliczalności w SIDO i sieci LAN RDOŚ;

2)     przypisanie w sposób jednoznaczny konkretnemu użytkownikowi wszelkich działań w SIDO. Nie wolno użytkownikowi korzystać z konta innego użytkownika;

3)     ograniczenie dostępu do informacji jedynie do kręgu użytkowników uprawnionych (autoryzowanych);

3.     Procedura dostępu do SIDO:

1)      hasło dostępu musi składać się z minimum 8 znaków; hasło musi zawierać małe i wielkie litery oraz cyfry lub znaki specjalne (bez spacji);

2)      hasła nie mogą być powszechnie używanymi słowami, nie należy wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów bądź innych danych bezpośrednio kojarzących się z użytkownikiem;

3)      hasło nie może być identyczne z identyfikatorem (loginem) użytkownika, ani jego imieniem lub nazwiskiem;

4)      hasło nie może być ujawnione innej osobie nawet po utracie ważności hasła;

5)      zmiana hasła dokonywana jest nie rzadziej, niż co 30 dni;

6)      hasło musi być zmienione przez użytkownika niezwłocznie w przypadku podejrzenia lub stwierdzenia jego ujawnienia.

4.     Procedura postępowania w zakresie środków uwierzytelniania:

1)     hasło dostępu do SIDO dla nowego użytkownika albo dla użytkownika, który zapomniał swojego ostatniego hasła bądź jednorazowe, nadaje ASI;

2)     użytkownik w dowolnym momencie może zmienić swoje hasło dostępu do SIDO;

3)     obowiązuje zakaz notowania w jakiejkolwiek formie aktualnych oraz wygasłych haseł dostępu;

 

 

 

Rozdział 4.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych osobowych.

 

1.     Procedura rozpoczęcia pracy w SIDO:

1)     uruchomienie stacji roboczej, zalogowanie się poprzez podanie własnego identyfikatora oraz hasła dostępu znanego tylko użytkownikowi;

2)     3 krotne wprowadzenie błędnego hasła powoduje zablokowanie dostępu do SIDO, wówczas identyfikator i hasło zostaną odblokowane według procedury obowiązującej przy nadawaniu/odbieraniu uprawnień dostępu do SIDO opisanej w Rozdziale 2;

3)     uruchomienie procedury blokowania po trzykrotnie wprowadzonym błędnie haśle nastąpi po uruchomieniu możliwości logowania się użytkownika. Do czasu uruchomienia procesu logowania się do systemu RDOŚ hasło użytkownika nie jest blokowane;

4)     uruchomienie wybranej aplikacji (w szczególności aplikacji bazodanowej przetwarzającej dane osobowe);

5)     należy chronić przed osobami postronnymi: ekrany komputerów (ustawienie monitora powinno uniemożliwiać podgląd) i wydruki leżące na biurkach oraz w otwartych szafach.

2.     Procedura zakończenia pracy w SIDO:

1)     zamknięcie SIDO;

2)     zamknięcie systemu operacyjnego komputera aż do całkowitego unieruchomienia pracy komputera;

3)     wyłączenie monitora;

4)     wyłączenie listwy zasilającej, jeśli zestaw został w nią wyposażony;

5)     sprawdzenie czy elektroniczne nośniki informacji zawierające dane osobowe nie zostały pozostawione bez nadzoru.

3.     Użytkownik odpowiada w pełnym zakresie za powierzony mu sprzęt komputerowy i wykonywane czynności aż do momentu rozliczenia się ze sprzętu komputerowego.

4.     Obowiązuje zakaz samodzielnej modernizacji oprogramowania i sprzętu w powierzonych komputerach i stacjach roboczych. Wszelkie zmiany mogą być dokonywane tylko pod nadzorem ASI, stosownie do wymagań niniejszej instrukcji.

5.     Obowiązuje zakaz używania prywatnych nośników pamięci. Służbowe nośniki pamięci są szyfrowane i ewidencjonowane.

6.     W razie wystąpienia usterek w pracy komputerów lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zgłosić to ASI.

7.     Komputery wyposażone są w programy ochrony antywirusowej.

8.     Użytkownicy, którym zostały powierzone komputery powinni chronić je przed uszkodzeniem, kradzieżą i dostępem osób postronnych; szczególną ostrożność należy zachować podczas transportu.

9.     Ustala się następujący tryb pracy na wszystkich typach stacji roboczych działających w SIDO:

1)      systemy operacyjne stacji roboczych wyposażone są w wygaszacze ekranu;

2)      ustawienie czasu włączenia wygaszacza ekranu wykonuje użytkownik systemu we współdziałaniu z ASI,  zaleca się ustawienie wygaszacza ekranu na nie dłużej niż 15 minut; każdy użytkownik ma obowiązek stosowania wygaszacza ekranu zabezpieczonego hasłem;

3)      przy każdorazowym opuszczeniu stanowiska komputerowego, należy zablokować klawiaturę i włączyć wygaszacz ekranu lub wylogować się z SIDO; wznowienie wyświetlenia następuje dopiero po wprowadzeniu odpowiedniego hasła użytkownika;

4)      w przypadku opuszczenia stanowiska pracy użytkownik obowiązany jest aktywować wygaszacz ekranu lub w inny sposób zablokować stację roboczą,

10.  Obowiązuje całkowity zakaz wynoszenia na jakichkolwiek nośnikach zbiorów danych osobowych oraz jakichkolwiek z nich wypisów.

11.  Przetwarzając dane osobowe, aby zapobiec ich utracie, należy odpowiednio często robić kopie robocze danych, na których się pracuje.

12.  Zakończenie pracy na stacji roboczej następuje po zapisaniu danych przetwarzanych tego dnia w odpowiednie obszary dysku twardego lub serwera, a następnie prawidłowym, wylogowaniu się użytkownika i wyłączeniu komputera i listwy zasilającej, jeżeli jest użytkowana.

13.  Przed opuszczeniem pokoju należy:

1)  schować do szaf zamykanych na klucz lub zniszczyć w niszczarce wszelkie wykonane wydruki zawierające dane osobowe;

2)  schować do szaf zamykanych na klucz wszelkie akta zawierające dane osobowe;

3)  zamknąć okna;

4)  umieścić klucze do szaf w ustalonym, przeznaczonym do tego miejscu.

14.  Ustala się następujący tryb pracy na wszystkich typach komputerów przenośnych działających w SIDO:

1)     przy przetwarzaniu danych osobowych na komputerach przenośnych obowiązują takie same procedury, jak dla komputerów stacjonarnych;

2)     użytkownicy, którym zostały powierzone komputery przenośne, powinni chronić je przed uszkodzeniem, kradzieżą i dostępem osób postronnych, szczególną ostrożność należy zachować podczas ich transportu;

3)     obowiązuje zakaz używania komputerów przenośnych przez osoby inne niż użytkownicy;

4)     obowiązuje zakaz przechowywania na komputerach przenośnych całych zbiorów danych lub szerokich z nich wypisów, nawet w postaci zaszyfrowanej – zakaz ten dotyczy użytkowników posiadających komputery przenośne, użytkujących je poza miejscem pracy;

5)     komputery przenośne używane przez nauczycieli po zakończeniu zajęć powinny zostać przeniesione do pokoju nauczycielskiego i umieszczone w miejscu do tego przeznaczonym,

6)     użytkownicy przetwarzający dane osobowe na komputerach przenośnych obowiązani są do systematycznego zapisywania danych osobowych w określone miejsca na serwerze plików, a następnie do trwałego usuwania ich z pamięci komputerów przenośnych.

 

 

Rozdział 5.

 

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów
i narzędzi programowych służących do ich przetwarzania.

 

1.      Wszelkie informacje, w tym dane osobowe, przetwarzane na poszczególnych stanowiskach komputerowych zapisywane są bezpośrednio na serwerach.

2.      W szczególnych przypadkach aplikacje oraz dane osobowe, mogą być przechowywane lokalnie na stanowiskach komputerowych będących w sieci LAN Szkoły. W takich przypadkach, obowiązek wykonania kopii bezpieczeństwa aplikacji oraz codziennego wykonywania kopii bezpieczeństwa bazy danych oraz ich bezpiecznego przechowywania, zgodnie z zasadami opisanymi w niniejszej Instrukcji, spoczywa bezpośrednio na użytkowniku.

3.      Przetwarzając dane osobowe, należy robić kopie robocze danych, na których się aktualnie pracuje, tak by zapobiec ich utracie.

4.      W SIDO wykonanym w technologii użytkownik (klient) – serwer kopie zapasowe - bezpieczeństwa wykonuje się po stronie serwera.

5.      Kopie zapasowe baz danych oraz aplikacji bazodanowych zlokalizowanych na serwerach wykonywane są w cyklu dobowym za pomocą oprogramowania archiwizującego dane, wykonywana jest pełna kopia zapasowa danych konfiguracyjnych SIDO.

6.      Nadzór nad wykonywaniem kopii zapasowych sprawuje ASI, który także weryfikuje poprawność ich utworzenia.

7.      W celu zapewnienia poprawności wykonywanych kopii bezpieczeństwa należy, co najmniej raz w miesiącu poddać testowi losowo wybraną kopię.

8.      Nośniki danych zawierające kopie zapasowe należy oznaczać, jako „Kopia zapasowa miesięczna” wraz z podaniem daty sporządzenia i nazwy SIDO.

9.      Jednostkowe dane mogą być kopiowane na nośniki danych po ich zaszyfrowaniu oraz przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane.

10.  Nośniki danych zawierające dane osobowe, można przekazywać tylko podmiotom lub osobom uprawnionym na podstawie przepisów prawa, za zgodą administratora danych lub ABI.

11.  Przesyłanie danych osobowych jest możliwe tylko i wyłącznie poprzez służbową pocztę elektroniczną i może odbywać się w postaci zaszyfrowanej.

12.  Dane osobowe przenoszone w obrębie miejsca siedziby Szkoły za pomocą zewnętrznych nośników danych powinny być z nich trwale usunięte po poprawnym ich przeniesieniu na docelowy sprzęt komputerowy i do docelowej bazy danych.

13.  Jednostkowe dane mogą być przekazywane/przesyłane pocztą elektroniczną pomiędzy komputerami stacjonarnymi a komputerami przenośnymi użytkowników tylko po ich zaszyfrowaniu.

14.  Ustala się następujący tryb likwidacji nośników danych zawierających kopie danych:

1)      nośniki danych jednokrotnego zapisu zawierające nieaktualne kopie danych podlegają zniszczeniu;

2)      w przypadku nośników jednokrotnego zapisu, takich jak płyty CD i DVD, zniszczenie ich polega na fizycznej likwidacji w urządzeniach, które przeznaczone są do niszczenia nośników danych, w taki sposób, by nie można było odczytać ich zawartości;

3)      zużyte/stare nośniki wielokrotnego zapisu nienadające się do ponownego użycia należy zniszczyć fizycznie w urządzeniach, które przeznaczone są do niszczenia nośników danych lub poprzez użycie profesjonalnego programu umożliwiającego usunięcie danych w sposób uniemożliwiający ponowne ich odczytanie;

4)      niszczenie nośników danych zawierających dane osobowe lub nie nadających się do ponownego użytku, odbywa się na podstawie protokołu podpisanego przez ASI oraz właściwych użytkowników; protokół zatwierdzony przez przełożonego użytkownika należy przekazać  ABI;

5)      nośniki danych wielokrotnego użytku, takie jak dyski twarde, płyty
CD-RW, DVD-RW, karty pamięci można wykorzystać ponownie do celów przechowywania kopii danych – bezpieczeństwa po uprzednim usunięciu ich zawartości, poprzez użycie profesjonalnego programu umożliwiającego usunięcie danych w sposób uniemożliwiający ponowne ich odczytanie.

 

 

Rozdział 6.

 

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.

 

1.      Ustala się następujący sposób, miejsce i okres przechowywania nośników danych zawierających dane osobowe:

1)      dane w postaci elektronicznej przetwarzane w SIDO zapisane na nośnikach danych są własnością Szkoły;

2)      nośniki danych, o których mowa w pkt 2 użytkownik oznacza w sposób umożliwiający ich identyfikację;

3)      na nośnikach, o których mowa w pkt 2, dopuszczalne jest przetwarzanie jedynie jednostkowych danych osobowych;

4)      po zakończeniu pracy przez użytkowników SIDO nośniki danych są przechowywane w meblach biurowych ze sprawnym zamknięciem, kasetkach, szafach metalowych (stalowych) lub sejfach;

5)      zakazuje się, bez uprzedniego zaszyfrowania, przetwarzania danych osobowych na nośnikach danych i innych oraz ich przesyłania pocztą elektroniczną;

6)      dane osobowe na każdym nośniku danych powinny być zabezpieczone przed odczytem (minimum hasłem) i zaszyfrowane;

7)      nośniki danych z zaszyfrowanymi jednostkowymi danymi osobowymi są na czas ich użyteczności przechowywane w zamkniętych na klucz szafach, a po wykorzystaniu dane na nich zawarte są trwale usuwane lub nośniki te są niszczone, w sposób określony w ust. 16 rozdziału 5;

8)      nośniki danych przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do przetwarzania danych osobowych;

9)      w przypadku posługiwania się nośnikami danych pochodzącymi od podmiotu zewnętrznego, użytkownik jest zobowiązany do sprawdzenia go programem antywirusowym na wyznaczonym w tym celu stanowisku komputerowym oraz do oznakowania tego nośnika cechami wskazującymi, że pochodzi z zewnątrz oraz od kogo został otrzymany.

 

 

Rozdział 7.

 

Sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego służącego do przetwarzania danych osobowych
.

 

1.      Ustala się następujące zasady ochrony SIDO przed oprogramowaniem, którego celem jest uzyskanie nieuprawnionego dostępu do SIDO - tzw. „szkodliwego oprogramowania” oraz próbami penetracji przez osoby nieuprawnione:

1)     za ochronę antywirusową SIDO odpowiada ASI;

2)     czynności związane z ochroną antywirusową SIDO wykonuje ASI wykorzystując w trakcie pracy SIDO moduły programu antywirusowego w aktualnej wersji, sprawdzające na bieżąco stacje robocze i zasoby sieci LAN funkcjonującego SIDO;

3)     oprogramowanie antywirusowe jest instalowane centralnie na serwerze oraz na wszystkich stanowiskach komputerowych podłączonych do sieci LAN;

4)     oprogramowanie antywirusowe sprawuje ciągły nadzór – ciągła praca w tle, nad pracą SIDO i stacjami roboczymi;

5)     niezależnie od ciągłego nadzoru, oprogramowania antywirusowego, użytkownik, nie rzadziej niż raz na tydzień, przeprowadza samodzielnie pełną kontrolę obecności wirusów komputerowych w użytkowanych stacjach roboczych i na nośnikach danych;

6)     aktualizacja oprogramowania antywirusowego odbywa się na bieżąco, jednak nie rzadziej niż raz w tygodniu, w sposób automatyczny dla wszystkich komputerów podłączonych do sieci LAN;

7)     aktualizacja oprogramowania antywirusowego na komputerach niepodłączonych do sieci, odbywa się nie rzadziej niż raz w tygodniu i jest wykonywana przy zastosowaniu nośników danych przez ASI;

8)     użytkownik SIDO na stanowisku komputerowym, eksportujący/importujący dane do SIDO, jest odpowiedzialny za sprawdzenie tych danych pod kątem możliwości występowania wirusów i szkodliwego oprogramowania;

9)     sprawdzanie obecności wirusów komputerowych w SIDO oraz ich usuwanie odbywa się przy wykorzystaniu oprogramowania zainstalowanego na serwerze, stacjach roboczych oraz komputerach przenośnych;

10)      ASI dokonuje aktualizacji wersji oprogramowania antywirusowego oraz określa częstotliwość automatycznych aktualizacji definicji wirusów, dokonywanych przez to oprogramowanie;

11)      użytkownik jest obowiązany zawiadomić ASI i ABI o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem;

12)      użytkownicy mogą korzystać z nośników danych po uprzednim sprawdzeniu zawartości nośnika oprogramowaniem antywirusowym;

13)      dostęp do Internetu, na stacji roboczej użytkownika, możliwy jest za pośrednictwem serwerów Szkoły, które posiadają centralną ochronę zasobów.

2.      ASI i ABI jest odpowiedzialny za aktywowanie i poprawną konfigurację specjalistycznego oprogramowania monitorującego wymianę danych na styku:

1)     sieci lokalnej i sieci rozległej;

2)     stanowiska komputerowego użytkownika SIDO i pozostałych urządzeń wraz z ich oprogramowaniem wchodzących w skład sieci LAN.

3.      ASI i ABI obowiązany jest do utrzymywania stałej sprawności i aktywności zainstalowanego specjalistycznego oprogramowania monitorującego wymianę danych oraz do jego aktualizacji.

4.      SIDO powinien posiadać mechanizmy pozwalające zabezpieczyć je przed utratą danych osobowych w nich zapisanych lub nieautoryzowaną zmianą spowodowaną w szczególności awarią zasilania lub zakłóceniami w sieci zasilającej.

5.      Przetwarzanie danych osobowych w SIDO, chroni się poprzez filtry zabezpieczające spadki napięcia oraz podtrzymujące zasilanie do momentu poprawnego zapisania danych i wylogowania się użytkownika z SIDO.

6.      Użytkownik zobowiązany jest do dbania o bezpieczeństwo konta mailowego, o którym mowa powyżej, w szczególności do:

1)       używania silnego hasła dostępu

2)       nieotwierania załączników do poczty i linków pochodzących z nieznanych źródeł

3)       zachowania ostrożności podczas otwierania nieoczekiwanych załączników w korespondencji pochodzącej od znanych nadawców

7.      Użytkownik zobowiązany jest do korzystania z sieci Internet w sposób, który nie zagraża bezpieczeństwu danych gromadzonych i przetwarzanych w systemie.

 

 

Rozdział 8.

 

Tryb udostępniania danych.

 

1.     Dla każdego SIDO, a w szczególności, stacji roboczej, w której przetwarzane są dane osobowe, prowadzony jest rejestr, zwany dalej „Rejestrem”, w którym odnotowywane są informacje o odbiorcach danych z SIDO.

2.     Zapis w rejestrze obejmuje informacje o:

1)     nazwie jednostki organizacyjnej lub imieniu i nazwisku osoby, której udostępniono dane;

2)     zakresie udostępnianych danych;

3)     dacie udostępnienia danych osobowych.

3.     Obowiązek wpisu do rejestru, o którym mowa w ust. 1, informacji, spoczywa na użytkowniku SIDO udostępniającemu dane.

4.     Odnotowanie informacji w rejestrze, o którym mowa w ust. 1, powinno nastąpić niezwłocznie po udostępnieniu danych.

5.     Udostępnienie danych osobowych może nastąpić w następujących przypadkach:

1)     gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2)      jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3)     jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4)      jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5)     jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

6.     Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie
z przeznaczeniem, dla którego zostały udostępnione.

7.     Na żądanie osoby, której dane zostały udostępnione, informacje o udostępnionych danych są zamieszczane w raporcie sporządzanym na podstawie rejestru, o którym mowa w ust. 1, a raport przekazywany jest tej osobie.

8.     Nadzór nad prawidłowością odnotowywania w rejestrze informacji, o której mowa
w ust. 2 sprawuje ABI.

9.     Odbiorcą danych jest każdy, komu udostępnia się dane, z wyłączeniem:

1)     osoby, której dane dotyczą;

2)     podmiotu, któremu powierzono przetwarzanie danych;

3)     organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

 

 

 

Rozdział 9.

 

Sposób realizacji wymogów – kontrola nad wprowadzaniem,
dalszym przetwarzaniem i udostępnianiem danych osobowych.

 

1.      Administrator bezpieczeństwa informacji - ABI:

1) analizuje zgłoszenia incydentów dokonywane przez poszczególnych użytkowników SIDO oraz uwagi i komentarze nadesłane przez ASI;

2) jeśli jest to uzasadnione, sporządza raporty stwierdzenia naruszenia bezpieczeństwa SIDO i przedkłada je Administratorowi;

3) w razie stwierdzenia naruszenia obowiązku zabezpieczenia danych osobowych przez poszczególnych użytkowników SIDO, informuje na piśmie zainteresowanych i ich przełożonych o stwierdzonych uchybieniach.

2.      Kontrole i testy przeprowadzane przez ABI powinny obejmować zarówno dostęp do zasobów SIDO, jak i profile oraz uprawnienia poszczególnych użytkowników.

3.      Administrator systemu - ASI jest obowiązany na bieżąco monitorować zabezpieczenia SIDO. Analizuje treść zgłoszeń incydentów przesyłanych mu pocztą elektroniczną do wiadomości przez użytkowników SIDO i w razie uzasadnionej potrzeby przesyła ABI zgłoszenia incydentów opatrzone własnym komentarzem.

4.      Osoby upoważnione do przetwarzania danych osobowych i inni pracownicy ZSS, są zobowiązani udzielić ABI i ASI informacji oraz pomocy koniecznej do:

1)      przeprowadzenia kontroli w zakresie ochrony danych osobowych;

2)      umożliwienia dostępu do posiadanych elementów SIDO;

3)      uzyskania informacji o funkcjonowaniu SIDO.

 


Rozdział 10.

 

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

 

1.     Przegląd SIDO i narzędzi wchodzących w skład sieci LAN przeprowadzany jest w celu sprawdzenia poprawności działania i wykonywany jest w następujących przypadkach:

1)     zmiany wersji oprogramowania systemu operacyjnego;

2)     zmiany wersji oprogramowania na stanowisku komputerowym użytkownika;

3)     zmiany systemu operacyjnego na stacji roboczej użytkownika;

4)     zmiany systemu operacyjnego platformy sprzętowej, na której eksploatowany jest SIDO;

5)     wykonania zmian w SIDO spowodowanych koniecznością naprawy lub modyfikacji SIDO.

2.     Dla zachowania ciągłości pracy i bezpieczeństwa danych przeprowadza się przegląd
i konserwację sieci LAN, na której eksploatowany jest SIDO.

3.     Przeglądy i konserwacja sieci LAN powinny być wykonywane w terminach określonych przez producenta sprzętu sieciowego.

4.     Jeżeli producent nie przewidział dla danego urządzenia sieci LAN potrzeby dokonywania przeglądów eksploatacyjnych, lub też nie określił ich częstotliwości, to o dokonaniu przeglądu oraz sposobie jego przeprowadzenia decyduje ASI, z zastrzeżeniem dodatkowych uwarunkowań:

1)     czynności, o których mowa w ust. 3. wykonuje ASI, co najmniej jeden raz na kwartał;

2)     przegląd i konserwacja urządzeń wchodzących w skład sieci LAN, może być wykonana na żądanie przełożonego ASI;

3)     nieprawidłowości ujawnione w trakcie przeglądów bądź konserwacji, powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości  ASI informuje ABI;

4)     za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada przełożony ASI;

5.      Za prawidłowość przeprowadzenia procesu przeglądu i konserwacji sieci LAN z poziomu administratora sieci odpowiada ASI.

6.      W przypadku dokonania zmian w SIDO, należy dokonać w miarę możliwości przeglądu działania SIDO w zmienionej konfiguracji, najlepiej na testowej bazie danych. Sprawdzenie powinno m.in. obejmować:

1)     sprawdzenie poprawności logowania do SIDO w zależności od posiadanych uprawnień, należy zasymulować pracę wszystkich typów uprawnień użytkownika;

2)     sprawdzenie poprawności działania funkcjonalności SIDO na różnego typu danych;

3)     sprawdzenie poprawności działania wszystkich elementów SIDO, w szczególności: menu, zestawienia, formularze, raporty.

7.      Naprawy i zmiany w SIDO zawierającym dane osobowe przeprowadzane przez zewnętrznego serwisanta prowadzone są pod nadzorem ASI w siedzibie RDOŚ, jeśli jest to możliwe lub poza siedzibą RDOŚ, po uprzednim zdemontowaniu twardych dysków i innych urządzeń służących do trwałego zapisywania danych.

8.      W przypadku konieczności przekazania sprzętu z twardymi dyskami i innymi urządzeniami służącymi do trwałego zapisywania danych, bezwzględnie należy nieodwracalnie skasować – usunąć dane osobowe w nich przetwarzane, zgodnie z postanowieniami zawartymi w ust. 16 rozdziału 5 Instrukcji.

9.            Dopuszcza się przekazanie urządzeń z danymi osobowymi, jeśli wykonanie czynności określonych w ust. 8 i 9 wiązałoby się z nadmiernymi utrudnieniami. W takim przypadku musi nastąpić podpisanie umów powierzenia przetwarzania danych osobowych przez podmiot, do którego przekazywany jest sprzęt.

10.        Jeśli nośnik danych zostanie uszkodzony i nie można go odczytać, ani usunąć z niego danych, należy go zniszczyć mechanicznie.

 

 

Rozdział 11.

 

Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa  systemu informatycznego.

 

1.      Użytkownik zobowiązany jest zawiadomić ABI i ASI o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa SIDO, a w szczególności o:

1)      naruszeniu hasła dostępu i identyfikatora (SIDO nie reaguje na hasło lub je ignoruje bądź można przetwarzać dane bez wprowadzenia hasła);

2)      częściowym lub całkowitym braku danych albo dostępie do danych w zakresie szerszym niż wynikający z przyznanych uprawnień;

3)      braku dostępu do SIDO oraz zmianie zakresu wyznaczonego dostępu do zasobów serwera;

4)      wykryciu wirusa komputerowego;

5)      zauważeniu elektronicznych śladów próby włamania do SIDO;

6)      znacznym spowolnieniu działania SIDO;

7)      podejrzeniu kradzieży sprzętu komputerowego lub dokumentów zawierających dane osobowe;

8)      zmianie położenia sprzętu komputerowego;

9)      zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych szaf.

2.      Do czasu przybycia na miejsce ABI lub ASI użytkownik zobowiązany jest do:

1)      o ile istnieje taka możliwość, niezwłocznego podjęcia czynności niezbędnych do powstrzymania niepożądanych skutków zaistniałego zdarzenia, a następnie  ustalenia jego przyczyn lub sprawców;

2)      rozważenia możliwości wstrzymania bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia;

3)      zaniechania – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem bezpieczeństwa i mogą utrudnić udokumentowanie i analizę zdarzenia;

4)      zastosowania się do Instrukcji lub dokumentacji SIDO, jeśli odnoszą się one do zaistniałego przypadku;

5)      przygotowania opisu incydentu;

6)      nie opuszczania bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia ABI lub wskazanej przez niego osoby.

3.      ABI, po otrzymaniu zawiadomienia, o którym mowa w ust. 1, niezwłocznie:

1)      przeprowadza postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia ochrony danych osobowych;

2)      podejmuje działania chroniące SIDO przed ponownym naruszeniem bezpieczeństwa;

3)      w przypadku stwierdzenia faktycznego naruszenia bezpieczeństwa SIDO, sporządza raport naruszenia bezpieczeństwa SIDO przeznaczony dla Administratora;

4)      zarządza, w uzgodnieniu z ASI, w razie potrzeby i w miarę możliwości, odłączenie części SIDO dotkniętej incydentem od pozostałej jego części;

5)      podejmuje decyzję o odtwarzaniu danych z zapasowej kopii bezpieczeństwa. W razie odtwarzania danych z zapasowych kopii bezpieczeństwa, ASI obowiązany jest upewnić się, czy odtwarzane dane zapisane zostały przed wystąpieniem incydentu (zwłaszcza przypadków infekcji wirusowej).

4.            Administrator, po zapoznaniu się z raportem, o którym mowa w ust. 1 podejmuje decyzję
o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeństwo SIDO, zastosowaniu dodatkowych środków ochrony fizycznej.

5.            ABI i ASI zobowiązani są do informowania Administratora o awariach SIDO, zauważonych przypadkach naruszenia przez użytkowników postanowień niniejszej Instrukcji, a zwłaszcza o przypadkach posługiwania się nieautoryzowanymi programami, nieprzestrzegania zasad używania oprogramowania antywirusowego, niewłaściwego wykorzystywania sprzętu komputerowego lub przetwarzania danych w sposób niezgodny z obowiązującymi procedurami w zakresie przetwarzania i ochrony danych osobowych.

 

 

 

 Rozdział 12.

 

Postanowienia końcowe.

 

 

1.      Niestosowanie się do procedur określonych w niniejszej instrukcji przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane, jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia  z winy pracownika na podstawie art. 52 § 1 pkt. 1 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy.

2.      W sprawach nieuregulowanych w niniejszej instrukcji zastosowanie mają instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeń i oprogramowania wchodzącego w skład SIDO.

 

 

 

  Dyrektor szkoły

 

 Bogdan Derkowski