Wewnętrzna Polityka Bezpieczeństwa Przetwarzania Danych Osobowych. w Publicznej Szkole Podstawowej w Wielgomłynach

(1)

Wewnętrzna Polityka

Bezpieczeństwa Przetwarzania Danych Osobowych

w Publicznej Szkole Podstawowej

w Wielgomłynach

(2)

SPIS TREŚCI

POLITYKA BEZPIECZEŃSTWA

PRZETWARZANIA DANYCH OSOBOWYCH ... 3

ROZDZIAŁ 1 Postanowienia ogólne ... 3

ROZDZIAŁ 2 Definicje ... 4

ROZDZIAŁ 3 Zakres i cel stosowania ... 6

ROZDZIAŁ 4 Zbiory danych osobowych ... 8

ROZDZIAŁ 5 Nadawanie upoważnień do przetwarzania danych osobowych ... 8

ROZDZIAŁ 6 Udostępnienie i powierzanie danych osobowych ... 9

ROZDZIAŁ 7 Wynoszenie akt i dokumentacji ... 9

ROZDZIAŁ 8 Zasady korzystania z komputerów przenośnych ... 10

ROZDZIAŁ 9 Środki techniczne i organizacyjne zabezpieczenia danych osobowych ... 11

ROZDZIAŁ 10 Szkolenia użytkowników ... 13

ROZDZIAŁ 11 Postanowienia końcowe ... 13

Upoważnienie dla Administratora Systemów Informatycznych ... 15

Wykaz budynków i pomieszczeń ... 17

Wykaz zbiorów danych ze wskazaniem systemów służących do ich przetwarzania ... 18

Opis struktury zbiorów danych ... 19

Przepływ danych między programami ... 20

Upoważnienie do przetwarzania danych osobowych ... 21

Ewidencja osób upoważnionych do przetwarzania danych osobowych ... 22

Wniosek o udostępnienie danych ze zbioru danych osobowych ... 23

Zestawienie udostępnianych danych ... 24

Umowa powierzenia przetwarzania danych ... 25

Wykaz podmiotów, którym powierzono przetwarzanie danych ... 28

Rejestr czynności przetwarzania danych ... 29

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ... 31

ROZDZIAŁ 1 Postanowienia ogólne ... 31

ROZDZIAŁ 2 Zakres przedmiotowy Instrukcji ... 33

(3)

ROZDZIAŁ 3

Nadawanie uprawnień do przetwarzania danych

oraz ich rejestrowanie w systemie informatycznym ... 33

ROZDZIAŁ 4 Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym ... 35

ROZDZIAŁ 5 Kopie bezpieczeństwa ... 35

ROZDZIAŁ 6 Sposób i czas przechowywania oraz zasady likwidacji nośników informacji ... 36

ROZDZIAŁ 7 Ochrona antywirusowa ... 37

ROZDZIAŁ 8 Konserwacja i naprawa systemu przetwarzającego dane osobowe ... 37

ROZDZIAŁ 9 Sposoby postępowania w zakresie komunikacji w sieci komputerowej ... 37

ROZDZIAŁ 10 Postępowanie w sytuacji stwierdzenia naruszenia ochrony danych osobowych ... 37

ROZDZIAŁ 11 Postanowienia końcowe ... 39

Wykaz urządzeń ... 40

Wniosek o nadanie/zmianę/cofnięcie uprawnień ... 41

Rejestr użytkowników systemu informatycznego ... 42

Protokół przeglądów informatycznych ... 43

(4)

WEWNĘTRZNA POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

w Publicznej Szkole Podstawowej w Wielgomłynach

(nazwa podmiotu)

ul. Radomszczańska 9, 97-525 Wielgomłyny

(siedziba: adres pocztowy)

ROZDZIAŁ 1 Postanowienia ogólne

§ 1

Celem Polityki Bezpieczeństwa Przetwarzania Danych Osobowych zwana dalej „Polityką bezpieczeństwa”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

§ 2

W związku ze zmianami przepisów niniejszy dokument stanowi wewnętrzną politykę przetwarzania danych w podmiocie na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz jest zgodny z powszechnie obowiązującymi przepisami prawa.

§ 3

Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników.

ROZDZIAŁ 2 Definicje

§ 4

Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:

1. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) General Data Protection Regulation - GDPR 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

2. Ustawa o Ochronie Danych Osobowych – Ustawa z dnia 10 maja 2018 r ( Dz. U. z 24 maja 2018r poz. 1000 )

3. Administrator (poprzednio ADO – administrator danych osobowych) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych

(5)

4. dane osobowe informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

5. zbiór danych osobowych – „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

6. Inspektor Ochrony Danych (Data protection officer (DPO) - IOD [dawniej administrator bezpieczeństwa informacji (ABI)] – osoba wyznaczona przez administratora (administratorów-wspólny dla kilku podmiotów) lub podmiot przetwarzający, posiadająca kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań wynikających z zapisów RODO.

7. Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, czyli działającym na jego zlecenie – instytucja powierzenia przetwarzania danych.

8. Współadministratorzy - co najmniej dwóch administratorów, którzy mają wspólny cel przetwarzania i wspólnie ustalają sposoby przetwarzania oraz uzgadniają, w sposób jasny i przejrzysty, zakresy swojej odpowiedzialności – to dwaj równorzędni administratorzy tego samego zbioru danych.

9. przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

10. system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

11. system tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze;

12. zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

13. administrator systemu informatycznego – rozumie się przez to osobę lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi;

14. użytkownik – rozumie się przez to upoważnionego przez administratora danych osobowych wyznaczonego do przetwarzania danych osobowych pracownika;

15. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

16. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

(6)

ROZDZIAŁ 3 Zakres i cel stosowania

§ 5 1. Administrator to:

Dyrektor Leszek Wróblewski

2. Administrator może powołać:

 Inspektora ochrony danych osobowych IOD

 Administratora systemów informatycznych

§ 6

1. Celem Polityki bezpieczeństwa jest przetwarzanie zgodnie z przepisami danych osobowych przetwarzanych w podmiocie oraz ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą.

2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

 integralność i poufność - dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

 rozliczalność – wykazanie, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.

 przejrzystość - wymóg, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

 rzetelność – wymóg, by osoba, której dane dotyczą, była dokładnie informowana o prowadzeniu operacji przetwarzania i o jej celach z uwzględnieniem konkretnych okoliczności i konkretnego kontekstu przetwarzania danych osobowych. Dotyczy to również faktu profilowania oraz informacji o konsekwencjach takiego profilowania.

Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji.

 legalność - dane powinny być przetwarzane zgodnie z prawem, czyli zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach.

 ograniczony cel – dane zebrane wcześniej nie powinny być przetwarzane dalej w sposób niezgodny z celami, dla których zostały zebrane. Dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne

(7)

 minimalizację danych – przetwarzane dane mają być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

 prawidłowość– przetwarzane dane mają być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Realizacji tej zasady służy legitymowanie osób w celu weryfikacji ich danych oraz umożliwienie aktualizacji i poprawienia danych osobom, których dane się przetwarza.

 ograniczone przechowywanie - dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą.

3. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych, a zarządzanie ryzykiem rozumiane jest jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

§ 7

1. Zapisy polityki bezpieczeństwa zobowiązane są stosować wszystkie osoby, które w podmiocie mają dostęp do danych osobowych.

2. Polityka bezpieczeństwa dotyczy wszystkich danych osobowych przetwarzanych w podmiocie, niezależnie od formy ich przetwarzania (system tradycyjny, systemy informatyczne).

3. Polityka bezpieczeństwa ma zastosowanie wobec wszystkich komórek organizacyjnych w tym oddziałów, samodzielnych stanowisk pracy i wszystkich procesów przebiegających w ramach przetwarzania danych osobowych.

§ 8 Politykę bezpieczeństwa stosuje się w szczególności do:

1. danych osobowych przetwarzanych w systemach informatycznych;

2. wszystkich informacji dotyczących danych osobowych zawartych w przetwarzanych zbiorach;

3. wszystkich lokalizacji – budynków i pomieszczeń, w których są przetwarzane dane (wykaz miejsc przetwarzania danych stanowi zał. nr 2 do niniejszej Polityki bezpieczeństwa);

4. wszystkich informacji danych zawartych w opisie struktury zbiorów;

5. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych;

6. rejestru osób dopuszczonych do przetwarzania danych osobowych;

7. innych dokumentów zawierających dane osobowe.

§ 9

(8)

1. Zakresy ochrony danych osobowych określone przez dokumenty Polityki bezpieczeństwa mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do:

 wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie;

 wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie;

 wszystkich pracowników, stażystów i innych osób mających dostęp do informacji podlegających ochronie.

2. Do stosowania zasad określonych przez dokumenty Polityki bezpieczeństwa zobowiązani są wszyscy pracownicy, w tym inne osoby mające dostęp do informacji podlegających ochronie.

ROZDZIAŁ 4 Zbiory danych osobowych

§ 10

Dane osobowe gromadzone są w zbiorach danych. Wykaz zbiorów danych wraz ze wskazaniem systemu informatycznego służącego do przetwarzania danych stanowi zał. nr 3 do niniejszej Polityki bezpieczeństwa.

§ 11

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych określona została w zał. nr 4 do niniejszej Polityki bezpieczeństwa.

§ 12

Przepływ danych pomiędzy poszczególnymi systemami został określony w zał. nr 5 do niniejszej Polityki bezpieczeństwa.

ROZDZIAŁ 5

Nadawanie upoważnień do przetwarzania danych osobowych

§ 13

1. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych. Wzór upoważnienia stanowi zał. nr 6 do niniejszej Polityki bezpieczeństwa.

2. Administrator nadając uprawnienia pracownikom, którzy przetwarzają dane odbiera od pracownika oświadczenie o zachowaniu danych w poufności oraz o zapoznaniu się z dokumentami określającymi zasady zabezpieczania i przetwarzania danych osobowych w podmiocie.

3. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która stanowi zał. nr 7 do niniejszej Polityki bezpieczeństwa.

(9)

ROZDZIAŁ 6

Udostępnienie i powierzanie danych osobowych

§ 14

1. Administrator bądź pracownicy upoważnieni do przetwarzania danych mogą udostępnić dane osobie wnioskującej z zachowaniem zasady, że udostępnienie danych osobowych nie może naruszać praw i wolności osoby, których dane dotyczą. Wzór wniosku o udostępnienie danych stanowi zał. nr 8 do niniejszej Polityki bezpieczeństwa.

Każdorazowe udostępnienie danych musi być odnotowane w rejestrze udostępnienia, który stanowi zał. nr 9 do niniejszej Polityki bezpieczeństwa.

2. Dopuszczalne jest powierzenie przez administratora danych przetwarzania danych podmiotom zewnętrznym.

3. Powierzenie przetwarzania danych może mieć miejsce na podstawie pisemnej umowy określającej w szczególności zakres i cel przetwarzania danych. Umowa musi określać też zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy oraz sposób rozwiązania umowy. Wzór umowy powierzenia danych stanowi zał. nr 10 do niniejszej Polityki bezpieczeństwa.

4. Powierzenie przetwarzania danych osobowych musi uwzględniać ponadto wymogi określone w RODO. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających.

5. Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności administratora danych za zgodne z prawem przetwarzanie powierzonych danych, co wymaga w umowach stanowiących podstawę powierzenia przetwarzania danych umieszczenia prawa administratora danych do kontroli wykonania przedmiotu umowy w siedzibie podmiotu zewnętrznego m. in. w zakresie przestrzegania Polityki bezpieczeństwa, Instrukcji zarządzania systemem informatycznym oraz właściwych przepisów prawa.

6. Wykaz podmiotów, którym powierzono przetwarzanie danych stanowi zał. nr 11 do niniejszej Polityki bezpieczeństwa.

7. Powierzenie przetwarzania danych uregulowane w Polityce bezpieczeństwa nie ma zastosowania do przekazywania danych podmiotom upoważnionym do ich przetwarzania na mocy przepisów prawa, w tym w szczególności ZUS, Prokuraturze, Policji, Sądom, Komornikom, itd.

ROZDZIAŁ 7

Wynoszenie akt i dokumentacji

§ 15

1. Poza miejsca przetwarzania danych wskazanych w zał. nr 1 nie wolno wynosić żadnej dokumentacji ani akt związanych z wykonywaniem czynności służbowych, a zwłaszcza dokumentów zawierających dane osobowe.

2. Przepis powyższy nie dotyczy tych pracowników, których zakres obowiązków wymaga dokonywania czynności służbowych z dokumentacją zawierającą dane osobowe poza obszarem przetwarzania danych, a także czynności związanych z przesyłaniem i transportem korespondencji.

(10)

3. Pracownicy, o których mowa w punkcie powyżej, są zobowiązani stosować środki zapewniające ochronę powierzonych danych osobowych podczas ich transportu, przechowywania i użytkowania poza obszarem siedziby pracodawcy, a w szczególności zabezpieczyć te dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

4. Pracownicy tacy ponoszą pełną odpowiedzialność za powierzony im sprzęt oraz dokumentację znajdującą się poza siedzibą administratora.

5. Każdy pracownik, który podejrzewa, iż mogło nastąpić naruszenie bezpieczeństwa ochrony danych osobowych lub próba dokonania takiego naruszenia przez osoby nieupoważnione, jest zobowiązany do niezwłocznego poinformowania o powyższym Administratora, który prowadzi postępowanie kontrolne, pod kątem wyjaśnienia okoliczności ewentualnego naruszenia bezpieczeństwa danych osobowych.

6. Odpowiedzialność za bezpieczeństwo dokumentacji lub akt wynoszonych poza obszar przetwarzania danych ponosi pracownik, który te akta wynosi, z chwilą ich pobrania.

Odpowiedzialność ta dotyczy również danych znajdujących się na nośnikach cyfrowych.

7. Po zwrocie akt i dokumentacji (lub przenośnych komputerów) przez pracownika, przełożony zobowiązany jest do jej sprawdzenia pod kątem zgodności ze stanem sprzed wypożyczenia.

8. Pozostawanie w pracy po godzinach pracy może mieć miejsce tylko w związku z pełnionymi obowiązkami i za zgodą administratora danych lub osoby przez niego upoważnionej.

9. Każdy pracownik po zakończeniu pracy zobowiązany jest zamknąć w szafach wszelką dokumentację oraz komputer przenośny (w przypadku jego używania), a następnie osobiście zabezpieczyć klucze z zachowaniem wszelkich zasad bezpieczeństwa.

ROZDZIAŁ 8

Zasady korzystania z komputerów przenośnych

§ 16

1. Przetwarzanie danych osobowych na komputerach przenośnych powinno być ograniczone do niezbędnych przypadków.

2. Przetwarzanie danych osobowych przy użyciu komputerów przenośnych może odbywać się wyłącznie za zgodą administratora danych lub osoby przez niego upoważnionej.

3. Zakres danych przetwarzanych na komputerze przenośnym oraz zakres uprawnień do przetwarzanych danych ustala bezpośredni przełożony pracownika za wiedzą administratora danych.

4. Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem.

§ 17

Użytkownik komputera przenośnego zobowiązany jest do:

a) transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia, a w szczególności: transportowania komputera w bagażu podręcznym, nie pozostawiania komputera w samochodzie, przechowalni bagażu, itp.,

(11)

b) przenoszenia komputera w torbie przeznaczonej do przenoszenia komputerów przenośnych,

c) korzystania z komputera w sposób minimalizujący ryzyko podejrzenia danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i w środkach transportu publicznego,

d) nie zezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, na którym przetwarzane są dane osobowe,

e) zabezpieczania komputera przenośnego hasłem i blokowanie dostępu przed użyciem przez osoby postronne,

f) kopiowania danych osobowych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii awaryjnej tych danych,

g) umożliwienia, poprzez podłączenie komputera do sieci informatycznej administratora danych w celu aktualizacji wzorców wirusów w programie antywirusowym,

h) utrzymania konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł,

i) wykorzystywania haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe,

j) zmiany haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe.

ROZDZIAŁ 9

Środki techniczne i organizacyjne zabezpieczenia danych osobowych

§ 18 1. Zabezpieczenia organizacyjne:

a) sporządzono i wdrożono Politykę bezpieczeństwa;

b) sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

c) sporządzono Rejestr czynności przetwarzania, który stanowi załącznik nr 12 do niniejszego dokumentu

d) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych, bądź osobę przez niego upoważnioną;

e) stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;

f) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;

g) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;

h) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;

i) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

(12)

j) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych;

k) wprowadzono zasadę „czystego biurka” i „białej kartki”;

l) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób;

m) informacji telefonicznych nie udziela się, względnie udziela się po zidentyfikowaniu rozmówcy i stwierdzeniu jego upoważnienia do uzyskania danych;

n) wyznaczono Inspektora Ochrony Danych osobowych

2. Zabezpieczenia techniczne:

a) wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą …...

b) stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową;

c) konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem używanych aplikacji;

d) zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika;

e) komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła;

f) program antywirusowy: ArcaBit Bezpieczna Szkoła 3. Środki ochrony fizycznej:

a) urządzenia służące do przetwarzania danych osobowych i dokumentację zawierającą dane osobowe umieszcza się w zamykanych pomieszczeniach;

b) obszar, na którym przetwarzane są dane osobowe, chroniony jest poprzez zastosowanie:

 drzwi antywłamaniowe zamykane na klucz – zamek patentowy

 okna okratowane,

ROZDZIAŁ 10 Szkolenia użytkowników

§ 19

1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej zostaje poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.

2. Za zorganizowanie szkolenia odpowiada Administrator.

3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz instrukcjami obowiązującymi u administratora danych osobowych.

(13)

4. Zgodnie z wymogami pracownicy zostają zapoznani z przepisami z zakresu ochrony danych osobowych w każdym przypadku istotnych zmian w przepisach dotyczących przetwarzania danych.

5. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.

6. Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

ROZDZIAŁ 11 Postanowienia końcowe

§ 20

1. Wszyscy pracownicy zobowiązani są do zapoznania się z niniejszym dokumentem oraz do stosowania zawartych w nim reguł.

2. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.

3. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z prawem oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.

4. W sprawach nieuregulowanych w polityce mają zastosowanie powszechnie obowiązujące przepisy dotyczące ochrony danych osobowych oraz RODO.

5. Dokumentem powiązanym z niniejszą polityką jest Instrukcja zarządzania systemem informatycznym.

6. Integralną część dokumentacji stanowią załączniki:

Zał. nr 1 - Upoważnienie dla Inspektora Ochrony Danych Osobowych Zał. nr 2 - Wykaz budynków i pomieszczeń

Zał. nr 3 - Wykaz zbiorów danych

Zał. nr 4 - Opis struktury zbiorów danych Zał. nr 5 - Przepływ danych

Zał. nr 6 - Upoważnienie do przetwarzania danych Zał. nr 7 - Ewidencja osób upoważnionych

Zał. nr 8 - Wniosek o udostępnienie danych Zał. nr 9 - Zestawienie udostępnianych danych Zał. nr 10 - Wzór umowy powierzenia danych

Zał. nr 11 - Wykaz podmiotów, którym powierzono dane

§ 21

Niniejszy dokument wchodzi w życie z dniem 25.05.2018 Podpis:

………

Administrator

(14)

załącznik nr 1

UPOWAŻNIENIE DLA INSPEKTORA OCHRONY DANYCH

Na podstawie Ustawa o Ochronie Danych Osobowych – Ustawa z dnia 10 maja 2018 r (Dz. U. z 24 maja 2018r poz. 1000 ), z dniem 02.07.2018 wyznaczam INSPEKTORA OCHRONY DANYCH OSOBOWYCH i powierzam tę funkcję Pani Ewelinie Gregorczyk posługującemu/-ej się numerem PESEL: ...

Do obowiązków Inspektora Ochrony Danych Osobowych będzie należało wdrożenie i nadzór nad prawidłową realizacją Polityki Bezpieczeństwa obowiązującej w jednostce organizacyjnej, w szczególności:

1 Zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną

2 Zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną

3 Zabezpieczenie danych przed ich przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem

4 Prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne służące ich zabezpieczeniu

...

podpis w Administratora Danych Osobowych

Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Inspektora Ochrony Danych Osobowych w oparciu o przepisy wewnętrzne obowiązujące w jednostce organizacyjnej, Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. ( Dz. U. z 24 maja 2018r poz.

1000 )

...

podpis Inspektora Ochrony Danych ( IOD )

(15)

załącznik nr 2

Wykaz budynków i pomieszczeń

Dane osobowe przetwarzane są w budynku mieszczącym się przy ul. Radomszczańska 9, 97- 525 Wielgomłyny

POMIESZCZENIA ( sprawdzić z planem ewakuacji)

L p.

Nr poko- ju

Dział użytkujący pomieszczenie Rodzaj zabezpieczenia fizycz- nego

1 3

Gabinet Dyrektora Drzwi antywłamaniowe zamykane na klucz, szafy metalowe zamykane na klucz,

2

3 Sekretariat Drzwi antywłamaniowe zamyka-

ne na klucz, szafy metalowe zamykane na klucz,

3 10

Pokój Nauczycielski Drzwi antywłamaniowe zamykane na klucz, szafy metalowe zamykane na klucz,

4

Pracownia komputerowa z serwe- rownią

Alarm, podwójne drzwi zamykane na klucz, kraty w oknach

5 Sale lekcyjne

6

7

8

(16)

załącznik nr 3

Zbiory danych przetwarzanych tradycyjnie Zbiór

danych osobowyc h

Dokumentacja służąca do przetwarzania zbioru danych

Struktura danych

Akta osobowe PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/płeć/adres stały/ numer telefonu/ e-mail/ dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/stosunek do służby wojskowej (dokument wojskowy, seria i numer, stopień wojskowy)/ numer legitymacji służbowej/ emeryt/

rencista/ obywatelstwo obce/ osoba kontaktowa/

wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/

tytuł zawodowy/ zawód wyuczony i wykonywany/

uzyskane kwalifikacje/ nieobecności w pracy Orzeczenia

lekarskie do celów sanitarno- epidemiologiczny ch

PESEL/ imię i nazwisko/ adres stały/ informacje o stanie zdrowia

pracowni cy

Oświadczenia i wnioski do ZFŚS

imię i nazwisko/ adres stały / dochód na członka rodziny Listy płac PESEL/NIP/imię i nazwisko/wysokość zarobków/

składniki zarobków/ kasa chorych/ kod ubezpieczenia Informacje o

zarobkach (PIT-y)

PESEL/NIP/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały/wysokość zarobków

Dokumentacja ubezpieczeniowa

PESEL/imię i nazwisko/nazwisko rodowe/ data urodzenia/ adres stały/ informacje o stanie zdrowia/

telefon kontaktowy/ wysokość składki ubezpieczenia/

uposażenie/

Protokoły powypadkowe

PESELimię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały/ informacje o stanie zdrowia Dokumentacja

awansów zawodowych nauczycieli

imię i nazwisko/ data i miejsce urodzenia/ adres stały/

wykształcenie/ historia pracy/ uzyskane kwalifikacje

Uczniowi e

Dokumentacja uczniów

PESEL/ imię i nazwisko/ data i miejsce urodzenia/

płeć/adres stały /kontakt z rodzicami: numer telefonu/ e- mail/ imię i nazwiska rodziców (opiekunów prawnych), adresy rodziców (opiekunów prawnych)/ numer

legitymacji szkolnej/ obywatelstwo obce/osoba kontaktowa/ historia nauki/ nazwa szkoły i rok ukończenia/ informacje o stanie zdrowia

(17)

Zbiór danych osobowyc h

Dokumentacja służąca do przetwarzania zbioru danych

Księga uczniów PESEL/ imię i nazwisko/ data i miejsce urodzenia/ płeć/

adres stały/ imię, nazwiska i adresy rodziców (opiekunów prawnych)/ klasa/ profil kształcenia/ przyczyny wypisania ze szkoły/ numer wydanego świadectwa

e-Arkusze ocen PESEL/ imię i nazwisko/ data i miejsce urodzenia/ płeć/

adres stały / imię, nazwiska i adresy rodziców (opiekunów prawnych)/ informacje o przebiegu nauczania

e-Dziennik PESEL/ imię i nazwisko/ data i miejsce urodzenia/płeć/

adres stały / imię i nazwiska rodziców (opiekunów prawnych), / obywatelstwo obce/ nieobecności w szkole/

informacje o postępach w nauce Rejestr wydanych

legitymacji i legitymacje

PESEL/ imię i nazwisko/data urodzenia/ klasa/ numer legitymacji/ data wydania

Rejestr zaświadczeń i zaświadczenia

imię i nazwisko/data i miejsce urodzenia/ adres/klasa/

Świadectwa i duplikaty

PESEL/ imię i nazwisko/ data i miejsce urodzenia/ data wydania/ uzyskane oceny

Dokumentacja ubezpieczeniowa

PESEL/imię i nazwisko/ data i miejsce urodzenia/ adres stały

Protokoły powypadkowe

PESEL/ imię i nazwisko/ data i miejsce urodzenia/ adres stały/ klasa/ informacje o stanie zdrowia (opis wypadku) Karta zdrowia

ucznia

PESEL/imię i nazwisko/ data i miejsce urodzenia/ adres/

imiona rodziców/ informacje o stanie zdrowia

Karty szczepień PESEL/imię i nazwisko/ data i miejsce urodzenia/ adres/

imiona rodziców/ informacje o stanie zdrowia Karty

biblioteczne

imię i nazwisko/ data i miejsce urodzenia/ adres Zgoda na

przetwarzanie danych

Imię i nazwisko/ adres

Listy uczestników wycieczek

imię i nazwisko/ data i miejsce urodzenia/ adres /pesel stypendia imię i nazwisko / oceny i osiagnięcia sportowe

Wyprawki szkolne

PESEL/imię i nazwisko/ data i miejsce urodzenia/ adres/

imiona rodziców/dochód dane

kontrahen -tów

umowy imię i nazwisko/ pesel/ adres/ nazwa firmy/ NIP/ nr konta bankowego

(18)

Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych a) pracownicy

Zbiór danych osobowyc h

Program

informatyczny służący do przetwarzania zbioru danych

Kadry PESEL/ NIP/ imię (imiona) i nazwisko/ nazwisko

rodowe/ data i miejsce urodzenia/ płeć/adres stały/ numer telefonu/ e-mail/ dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/ numer legitymacji służbowej/ posiada

gospodarstwo rolne/ emeryt/ rencista/ obywatelstwo obce/

dane osoby kontaktowej/ wykształcenie/ nazwa szkoły i rok ukończenia/ staż pracy/ historia pracy/ warunki zatrudnienia/ wysokość wynagrodzenia/ukończone kursy/

kary i nagrody/ nieobecności w pracy/ informacja o karalności/ informacje o stanie zdrowia

Płatnik PESEL/ NIP/seria i nr dowodu/ imię i nazwisko/

nazwisko rodowe/ adres/ data i miejsce

urodzenia/płeć/obywatelstwo/ kod ubezpieczenia/ kasa chorych

SIO PESEL/płeć/wykształcenie/ warunki zatrudnienia i

wynagrodzenia/ staż pracy ogólny i pedagogiczny/

nagrody/ tytuł zawodowy/ uzyskane kwalifikacje/

nieobecności w pracy / formy doskonalenia/ dodatkowe uprawnienia zawodowe w dziedzinie kultury fizycznej i sportu

Progman – arkusz organizacyjny

PESEL/imię i nazwisko/ wykształcenie/ warunki zatrudnienia/ staż pracy/ tytuł zawodowy/ przydział zadań/informacje o zatrudnieniu / zarobki

Księga zastępstw - Librus

imię i nazwisko/nieobecności w pracy/przydział zastępstw

b) uczniowie Zbiór danych osobowyc h

Program

informatyczny służący do przetwarzania zbioru danych

Uczniowie Sekretariat PESEL/imię i nazwisko/ data i miejsce urodzenia/

płeć/adres stały /numer telefonu/e-mail/ imiona, nazwiska i adresy rodziców (opiekunów

prawnych)/ numer legitymacji szkolnej/

zwolnienia z wf/ stopień niepełnosprawności/ data ukończenia szkoły/ przyczyna wczesniejszego opuszczenia szkoły i komu wydano dokumenty

(19)

informacje o wynikach w nauce

Hermes PESEL/imię i nazwisko/ data i miejsce urodzenia/klasa/ informacja o warunkach dostosowania sprawdzianu / deklarowane przedmioty

e-dziennik LIBRUS PESEL/imię i nazwisko/ data i miejsce urodzenia/

płeć/ adres stały/ numer telefonu/ e-mail/ imiona, nazwiska i adresy rodziców (opiekunów

prawnych)/ informacje o wynikach w nauce/

klasa/ nr z księgi uczniów

Zapewnia się przepływ danych pomiędzy poszczególnymi bazami danych : a) z: e-dziennik LIBRUS do: Świadectwa LIBRUS

b) z: Librus sekretariat do: HERMES (OKE) c) z: Librus - Sekretariat do: SIO (MEN)

d) z: Progman - Kadry do: PŁATNIK (ZUS, US) – obowiązek wobec ZUS e) z: Librus - Sekretariat do: PFRON

f) ze szkoły do księgowości w Starostwie Powiatowym g) z księgowości do szkoły

(20)

załącznik nr 4 załącznik nr 5

Przepływ danych między programami ( na ta chwilę nic nie wypełniamy )

Program 1 Przepływ danych Program 2 Przepływ danych

(21)

załącznik nr 6

Upoważnienie do przetwarzania danych osobowych w systemach tradycyjnych i informatycznych

Administrator: Szkoła Podstawowa w Wielgomłynach – Leszek Wróblewski dnia ……… nadaje upoważnienie

dla: ……….

stanowisko służbowe ………

Upoważniony otrzymuje dostęp do poniższych zasobów danych osobowych w celu ich przetwarzania:

Dostęp do danych w ramach pełnienia obowiązków służbowych wynikających z umowy o prace Upoważnienie nadaje się do ustania stosunku pracy. Wszelakie poprzednie upoważnienia do przetwarzania danych osobowych z dniem wprowadzenia niniejszego wygasają.

OŚWIADCZENIE UPOWAŻNIONEGO

Ja niżej podpisany/a, oświadczam, że zostałem/am zaznajomiony/a z powszechnie obowiązującymi przepisami dotyczącymi ochrony danych osobowych, w tym Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ponadto zapoznałem/am się z zasadami dotyczącymi ochrony danych osobowych, zapisanymi w Polityce bezpieczeństwa i w Instrukcji zarządzania systemem informatycznym i zobowiązuję się do ich przestrzegania.

Jednocześnie oświadczam że :

1 Zobowiązuję się do zachowanie w tajemnicy danych osobowych, do których mam lub będę miał/a dostęp w związku z wykonywaniem zadań służbowych i obowiązków pracowniczych, zarówno w trakcie wiążącego mnie stosunku pracy, jak i po ustaniu zatrudnienia.

2 Zapewnię ochronę danym przetwarzanym, a w szczególności zabezpieczę je przed dostępem osób nieupoważnionych, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem.

3 Natychmiast zgłoszę stwierdzenie próby lub faktu naruszenia zasad ochrony danych osobowych lub bezpieczeństwa systemy informatycznego, w którym przetwarzane są dane osobowe.

4 Przyjmuję do wiążącej wiadomości, iż postępowanie rażąco sprzeczne z wyżej wskazanymi obowiązkami i przepisami prawa, może być uznane za ciężkie naruszenie obowiązków pracowniczych.

Podpisy:

……… ………..

Administrator Osoba upoważniona

(22)

załącznik nr 7

Ewidencja osób upoważnionych do przetwarzania danych osobowych

Lp. Nazwisko i imię Zakres upoważnienia Data nadania

Data

ustania Identyfikator

1 Dostęp do danych w ra-

mach pełnienia obowiąz- ków służbowych wynika- jących z umowy o prace

Na czas trwania umowy o

pracę

Nazwa pro- gramu + login...

pracę

(23)

załącznik nr 8

Wniosek o udostępnienie danych ze zbioru danych osobowych

1. Wniosek do: . . . 2. Wnioskodawca: . . . . . .

(nazwa firmy i jej siedziba albo nazwisko, imię i adres zamieszkania wnioskodawcy ew. NIP oraz REGON)

3. Podstawa prawna upoważniająca do pozyskania danych:

. . . . . . 4. Wskazanie przeznaczenia dla udostępnionych danych osobowych:

. . . . . . 5. Oznaczenia lub nazwa zbioru, z którego mają być udostępnione dane osobowe:

. . . . . . 6. Zakres żądanych informacji ze zbioru:

. . . . . . 7. Informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych:

. . . . . .

. . . (data i podpis wnioskodawcy)

(24)

załącznik nr 9

Zestawienie udostępnianych danych – dot. Wniosków

L p.

Rodzaj udostępnionych danych osobo-

wych

Data udostępnienia

danych

Imię i nazwisko oso- by, która udo- stępniła dane

Imię i nazwisko osoby, która otrzymała

dane / dane podmiotu

Cel przekazania

(25)

załącznik nr 10

Umowa powierzenia przetwarzania danych

zwana dalej „Umową”, zawarta w ……….., dnia ... r. pomiędzy:

……….., zwanym dalej „Administratorem”

a

……….., zwaną dalej „Podmiotem przetwarzającym”, zwanymi łącznie „Stronami”.

Mając na uwadze, iż Strony łączy Umowa z dnia ..., przedmiotem której jest

………. zwana dalej „Umową główną”, w trakcie wykonywania której przetwarzane są dane osobowe, Strony zgodnie postanowiły, co następuje:

§ 1.

Przedmiot Umowy

1 Strony postanawiają, że w celu spełnienia obowiązków wynikających z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

zwanego dalej „Rozporządzeniem”, Administrator powierza Podmiotowi przetwarzającemu do dane osobowe w celu realizacji Umowy głównej.

2 Zakres przetwarzania obejmuje ………... (wprowadzanie, wgląd, modyfikację, drukowanie, usuwanie, archiwizację, przesyłanie) danych osobowych Administratora.

§ 2.

Obowiązki i prawa administratora

Administrator jest uprawniony do powierzenia przetwarzania danych Podmiotowi przetwarzającemu. Powierza mu gromadzone zgodnie z obowiązującymi przepisami prawa.

Administrator zobowiązany jest do przekazywania danych zachowując zasady bezpieczeństwa w celu zachowania poufności i integralności powierzanych danych.

Administrator zezwala / nie zezwala na korzystanie z usług innego podmiotu przetwarzającego.

Administrator ma możliwość wyrażenia sprzeciwu wobec dodania lub zastąpienia innych podmiotów przetwarzających.

Administrator ma prawo samodzielnie lub za pomocą upoważnionych przez siebie audytorów przeprowadzić audyty lub inspekcje, których celem jest weryfikacja realizacji obowiązków wynikających z zapisów Rozporządzenia.

§ 3.

Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązany jest stosować przepisy Rozporządzenia, w tym:

1. stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo powierzanym danym, w stopniu adekwatnym do ryzyka występujących zagrożeń,

2. powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem,

(26)

3. dopuszczać do przetwarzana danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

1. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora.

2. Podmiot przetwarzający zgłasza Administratorowi przypadki naruszeń ochrony danych osobowych.

§ 4.

Oświadczenie Podmiotu przetwarzającego

 Podmiot przetwarzający zobowiązany jest do wykorzystania powierzonych danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z umowy współpracy.

 W przypadku ogólnej pisemnej zgody na korzystanie z usług innego podmiotu przetwarzającego Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających.

 W miarę możliwości Podmiot przetwarzający pomagać będzie Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.

 W przypadku audytów lub inspekcji przeprowadzonych lub zleconych przez Administratora udostępnione będą wszelkie niezbędne informacje z zachowaniem czujności, czy żądane informacje nie naruszą zapisów Rozporządzenia.

§ 5.

Odpowiedzialność stron

1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem niniejszej Umowy, zgodnie z przepisami Rozporządzenia i Kodeksu cywilnego.

2. W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie i zaniechanie.

§ 6.

Czas trwania i wypowiedzenie Umowy

1. Umowa zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy głównej skutkuje rozwiązaniem niniejszej Umowy.

2. Strony postanawiają, iż po zakończeniu przetwarzania danych Podmiot przetwarzający zobowiązany jest do niezwłocznego usunięcia powierzonych mu danych (i wszelkich ich istniejących kopii) lub zwrotu Administratorowi – w zależności od jego decyzji, o ile nie następuje konieczność dalszego przetwarzania danych wynikająca z przepisów odrębnych.

3. Administrator jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli Podmiot przetwarzający nie podjął środków zabezpieczających powierzone dane lub nie stosował się do wymogów przewidzianych w Rozporządzeniu.

4. Każdej ze Stron przysługuje prawo rozwiązania niniejszej Umowy w trybie natychmiastowym, w przypadku naruszenia postanowień niniejszej Umowy przez drugą Stronę Umowy.

§ 7.

(27)

1) Z tytułu wykonywania świadczeń określonych w niniejszej Umowie Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie głównej.

2) Umowa wchodzi w życie z dniem jej podpisania przez Strony.

3) W sprawach nieuregulowanych niniejszą Umową zastosowanie mają powszechnie obowiązujące przepisy prawa polskiego.

4) Wszelkie zmiany lub uzupełnienia niniejszej Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

5) Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją niniejszej Umowy jest sąd właściwy dla siedziby Administratora.

6) Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Podpisy:

……….… ………..

Administrator Podmiot przetwarzający

(28)

załącznik nr 11

Wykaz podmiotów, którym powierzono przetwarzanie danych

L p.

Nazwa podmiotu Data zawarcia umowy

powierzenia

(29)

załącznik nr 12

Rejestr czynności przetwarzania danych

Dokument przygotowany zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Dyr Leszek Wróblewski

tel: 44-787-10-13, e-mail: pspwielgomlyny@poczta.onet.pl

Cele

przetwarzania Opis kategorii osób, których dane dotyczą Kategorie odbiorców, którym dane zostały lub

zostaną ujawnione

Wszystkie dane ujawnione mogą być wyłącznie odbiorcom upoważnionym na mocy przepisów prawa bądź na zasadach opisanych w umowach powierzenia lub przy wyraźnej zgodzie osób, których dane dotyczą

Kategorie odbiorców, którym dane zostały lub

zostaną ujawnione w państwach trzecich

Nie dotyczy

Kategorie odbiorców, którym dane zostały lub

zostaną ujawnione w organizacjach międzynarodowyc h

Nie dotyczy

Planowane terminy usunięcia poszczególnych kategorii danych

Wszystkie dane będą usuwane zgodnie z wymogami archiwizacji danych. Zgodnie z przepisami prawa po osiągnięciu celu zostaną one usunięte.

(30)

Opis środków bezpieczeństwa

Organizacyjne

 sporządzono i wdrożono Politykę bezpieczeństwa;

 sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

 do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych, bądź osobę przez niego upoważnioną;

 stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;

 osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;

 osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;

 przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;

 przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

 prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych;

 wprowadzono zasadę „czystego biurka” i „białej kartki”;

 dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób;

 informacji telefonicznych nie udziela się, względnie udziela się po zidentyfikowaniu rozmówcy i stwierdzeniu jego upoważnienia do uzyskania danych;

Techniczne

 wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą …

 stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową;

 konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem używanych aplikacji;

 zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika;

 komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła;

Fizyczne

(31)

 urządzenia służące do przetwarzania danych osobowych i dokumentację zawierającą dane osobowe umieszcza się w zamykanych pomieszczeniach;

 obszar, na którym przetwarzane są dane osobowe, chroniony jest poprzez zastosowanie:

1. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

w Szkole Podstawowej w Wielgomłynach

(nazwa podmiotu)

ul. Radomszczańska 9, 97-525 Wielgomłyny

(siedziba: adres pocztowy)

ROZDZIAŁ 1 Postanowienia ogólne

§ 1

W związku ze zmianami przepisów niniejszy dokument stanowi wewnętrzną politykę przetwarzania danych w podmiocie na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz jest zgodny z powszechnie obowiązującymi przepisami prawa.

Niniejszym ustala się treść Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zwaną dalej Instrukcją.

§ 2

Instrukcja ma zastosowanie na obszarze wskazanym w Polityce bezpieczeństwa przetwarzania danych osobowych, w którym przetwarzane są dane osobowe w systemie informatycznym.

§ 3 Ilekroć w Instrukcji jest mowa o:

1. systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

(32)

2. zabezpieczeniu systemu informatycznego – należy przez to rozumieć zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mające na celu w szczególności zabezpieczenie danych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą uszkodzeniem lub zniszczeniem.

3. zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;

4. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,

5. administratorze danych osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych,

6. administratorze systemu informatycznego - rozumie się przez to osobę wyznaczoną przez administratora danych, nadzorującą przestrzeganie i zabezpieczenie zasad ochrony danych osobowych przez użytkowników systemów informatycznych,

7. użytkowniku – rozumie się przez to upoważnionego przez administratora danych (w przypadku powołania administratora bezpieczeństwa informacji również przez ABI), wyznaczonego do przetwarzania danych osobowych pracownika;

8. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,

9. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

10. uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,

11. nośniki danych osobowych – dyskietki, laptopy, płyty CD lub DVD, pamięć flash, dyski twarde, taśmy magnetyczne lub inne urządzenia/materiały służące do przechowywania plików z danymi.

§ 4

Ogólną kontrolę i nadzór nad przestrzeganiem postanowień niniejszej instrukcji sprawuje administrator danych , a w szczególności realizuje poniższe zadania:

1. sam lub za pomocą wyznaczonej przez siebie osoby sporządza kopie bezpieczeństwa dla baz sieciowych,

2. pozbawia urządzenia i inne nośniki informacji przeznaczone do likwidacji zapisu danych lub – gdy nie jest to możliwe – uszkadza je trwale w sposób uniemożliwiający odczytanie danych,

3. nadzoruje usuwanie awarii sprzętu komputerowego w sposób zapewniający bezpieczeństwo przetwarzanych danych osobowych,

4. zabezpiecza zbiory danych osobowych wysyłanych poza obszar określony w Polityce bezpieczeństwa,

5. sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe,

6. sam lub za pomocą wyznaczonej osoby sprawuje nadzór nad czynnościami związanymi z ochroną przeciwwirusową, czynnościami serwisowymi dotyczącymi systemu informatycznego, w którym przetwarzane są dane osobowe,

7. nadzoruje obieg i przetwarzanie wydruków z systemu informatycznego zawierających

(33)

8. podejmuje i nadzoruje wszelkie inne działania zmierzające do zapewnienia bezpieczeństwa przetwarzanych w systemie informatycznym danych osobowych.

(34)

ROZDZIAŁ 2

Zakres przedmiotowy Instrukcji

§ 5 .

Niniejsza Instrukcja zawiera w szczególności:

1. sposób przydziału haseł dla użytkowników i częstotliwości ich zmiany oraz wskazania osób odpowiedzialnych za te czynności,

2. sposób rejestrowania i wyrejestrowywania użytkowników oraz wskazania osób odpowiedzialnych za te czynności,

3. procedury rozpoczęcia, zawieszenia i zakończenia pracy, 4. metody i częstotliwość tworzenia kopii awaryjnych,

5. metodę i częstotliwość sprawdzania obecności wirusów komputerowych oraz metodę ich usuwania,

6. sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków,

7. sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych, 8. sposób postępowania w zakresie komunikacji w sieci komputerowej.

§ 6 Działaniem Instrukcji objęci są:

1. administrator,

2. inspektor ochrony danych osobowych

3. osoby zatrudnione przy przetwarzaniu danych osobowych,

4. osoby, które przetwarzają dane osobowe w systemach informatycznych.

§ 7

Wykaz urządzeń służących do przetwarzania danych stanowi załącznik nr 1 do niniejszej instrukcji.

(35)

ROZDZIAŁ 3

Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym

§ 8

1. Przed rozpoczęciem pracy w systemie informatycznym użytkownik zobowiązany jest do:

 zalogowania się do systemu z wykorzystaniem zastrzeżonych tylko dla siebie:

identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom postronnym – hasło nie może zawierać mniej niż 8 znaków, osoba je tworząca obowiązana jest uczynić to w taki sposób, aby utrudnić jego ewentualne odczytanie, poprzez wprowadzenie do hasła: znaków szczególnych, cyfr, dużych liter itd.,

 sprawdzenia prawidłowości funkcjonowania sprzętu komputerowego i systemów,

na swoim stanowisku pracy,

 w razie stwierdzenia nieprawidłowości, do powiadomienia o tym fakcie bezpośredniego przełożonego oraz osobę nadzorująca przypadku naruszeń,

 w razie stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub stanu wskazującego na istnienie takiej możliwości, do podjęcia odpowiednich kroków stosownie do zasad postępowania w sytuacji naruszenia zabezpieczenia danych osobowych.

1. Przerywając przetwarzanie danych użytkownik powinien co najmniej: aktywować wygaszasz ekranu lub w inny sposób zablokować możliwość korzystania ze swego konta użytkownika przez inne osoby. Zalecane jest w takich przypadkach:

 skorzystanie z mechanizmu czasowej blokady dostępu do komputera poprzez uruchomienie wygaszacza ekranu z hasłem (hasło powinno być zbieżne z hasłem logowania do systemu),

 zakończenie pracy w systemie informatycznym – wylogowanie się z systemu.

1. Po zakończeniu przetwarzania danych osobowych w danym dniu, osoba upoważniona zobowiązana jest do:

 zakończenia pracy w systemie informatycznym,

 zakończenie pracy w systemie informatycznym – wylogowanie się z systemu.

 wylogowania się z systemu informatycznego,

 wyłączenia sprzętu komputerowego oraz zamknięcia szaf, w których przechowuje się nośniki, na których utrwalone są dane osobowe,

 zamknięcia pomieszczeń.

2. Nośniki informacji oraz wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieuprawnionym.

ROZDZIAŁ 4 Kopie bezpieczeństwa

§ 9

Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zasilane energią elektryczną, powinny być zabezpieczone przed utratą tych danych wskutek awarii zasilania lub zakłóceń w sieci zasilającej. Zabezpieczenie to powinno być tak skonstruowane,