Załącznik nr 4 Polityki Bezpieczeństwa Danych XXXIV Liceum Ogólnokształcącego im. Miguela de Cervantesa w Warszawie

Załącznik nr 4

Polityki Bezpieczeństwa Danych

XXXIV Liceum Ogólnokształcącego im. Miguela de Cervantesa w Warszawie

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Podstawa prawna:

• Ustawa z dn. 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926 z późniejszymi zmianami), zwana dalej Ustawą,

• rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024), zwane dalej Rozporządzeniem.

„Dane osobowe” są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny (np. PESEL, NIP) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (zgodnie z art. 6 ust. 1 i ust. 2 Ustawy).

§ I. Gromadzenie, przetwarzanie oraz udostępnianie danych osobowych

1. Cele, dla których XXXIV LO im. Miguela de Cervantesa zbiera dane osobowe, to:

a) rejestrowanie przebiegu zatrudnienia i wynagradzania pracowników oraz inne związane z zatrudnieniem i rekrutacją;

b) realizacja zadań dydaktycznych i wychowawczo-opiekuńczych, w tym przygotowanie dokumentów takich jak świadectwa ukończenia klasy lub szkoły.

2. Dane osobowe uczniów mogą być pozyskiwane na podstawie informacji udostępnionych przez uczniów i ich prawnych opiekunów, zarówno poprzez eletroniczny systemy rekrutacji, jak i na podstawie dostarczonych dokumentów.

3. Dane osobowe pracowników mogą być pozyskiwane na podstawie dostarczonych dokumentów oraz podpisanych oświadczeń. W procesie rekrutacji mogą być to dokumenty wysłane pocztą lub drogą elektroniczną.

4. Za dane zweryfikowane uważa się wyłącznie te potwierdzone wiarygodnym dokumentem, takim jak dowód osobisty, paszport, świadectwo pracy, świadectwo uzyskania stopnia zawodowego, świadectwo ukończenia szkoły, lub innym wystawionym przez odpowiednią instytucję lub organ państwowy.

5. Gromadzone dane osobowe udostępniane są pracownikom oraz instytucjom wyłącznie w zakresie niezbędnym do ich pracy i wynikającym z przepisów prawa.

6. Jeśli jest to możliwe i celowe, dane osobowe udostępnia się w formie wydruku lub kserokopii, nie zaś w formie elektronicznej.

7. Każda z osób, której dane są gromadzone posiada możliwość wglądu do swoich danych osobowych, osobiście lub przez opiekuna prawnego, ich aktualizacji, poprawienia.

Prawo to realizowane jest za pośrednictwem sekretariatu Szkoły. Zmiana danych niezbędnych do realizacji obowiązków wynikających ze stosunku pracy oraz nauki szkolnej musi zostać potwierdzona dokumentem opisanym w pkt. 4.

§ II. Przekazanie informacji osobom, których dane będą zbierane

1. Obowiązek informowania, a także uzyskania oświadczeń woli traktowany jest łącznie w stosunku do grup, których dane szkoła zbiera i przetwarza.

2. W wypadku pracowników obowiązek, o którym mowa w pkt 1 uważa się za spełniony po podpisaniu druku oświadczenia woli (ochrona danych osobowych) lub umowy o pracę z XXXIV LO, zgodnie z art. 24 ust. 2 pkt 2 Ustawy.

3. W wypadku uczniów i ich prawnych opiekunów obowiązek, o którym mowa w pkt 1 uważa się za spełniony po przyjęciu ucznia, zgodnie z art. 43 ust. 1 pkt. 4 oraz art. 24 ust. 2 pkt 2 Ustawy.

§ III. Obowiązki pracowników w zakresie ochrony danych osobowych

1. Wybrani pracownicy zatrudnieni w szkole otrzymują upoważnienie do obsługi systemu ręcznego i informatycznego używanego do gromadzenia i przetwarzania danych osobowych w określonych zbiorach. Każdy z pracowników przed dopuszczeniem do gromadzenia oraz przetwarzania danych osobowych zobowiązany jest do zapoznania się oraz stosowania przepisów Ustawy oraz rozporządzeń będących jej uzupełnieniem, a także Polityki wraz z załącznikami.

2. Pracownicy wymienieni w pkt 1 zbierają i przetwarzają dane osobowe wyłącznie do realizacji celów wymienionych w § I pkt. 1.

3. Osoby, o których mowa w pkt 1, mające upoważnienie do przetwarzania danych w systemie informatycznym, ściśle przestrzegają instrukcji zawartej w § IV.

4. Tworzenie nowego zbioru danych osobowych dopuszczalne jest tylko w porozumieniu z ABI, po uzyskaniu od niego pozytywnej opinii na temat zasadności i bezpieczeństwa.

5. Osoby mające upoważnienie do ręcznego i informatycznego przetwarzania danych osobowych zobowiązane są do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

6. Nieinformatyczne zbiory danych osobowych (kartoteki, rejestry, etc.) powinny być przechowywane w miejscach niedostępnych dla osób niepowołanych, takich jak sejf, szafa pancerna, szafa zamykana na klucz.

7. Zdezaktualizowane zbiory opisane w pkt. 6, oraz wydruki z systemów informatycznych:

błędne, robocze lub zdezaktualizowane, zawierające dane osobowe powinny być niezwłocznie niszczone przy pomocy niszczarki do papieru.

8. Udostępnienie danych osobowych poza Szkołę przez pracowników może nastąpić wyłącznie na podstawie pisemnej zgody wydanej przez Dyrektora Szkoły.

9. Niedopuszczalne jest udzielenie informacji o danych osobowych na żądanie przekazane poprzez media elektroniczne, w szczególności telefon, SMS, e-mail, komunikator internetowy, fax.

10.Osoby mające dostęp do danych osobowych, obowiązane są do zachowania ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia.

11.Uzasadnione, uzgodnione z Dyrektorem Szkoły przeniesienie zbiorów danych osobowych wewnątrz Szkoły odbywa się wyłącznie na nośniku optycznym lub magnetycznym, który następnie jest niszczony.

12.Niedopuszczalne jest wysyłanie pocztą elektroniczną plików zawierających zbiory danych osobowych, poza uzasadnionymi przypadkami w procesie rekrutacji pracowników oraz uczniów, oraz realizacją obowiązku nałożonego przez ustawodawcę lub organ nadrzędny. W takim wypadku przesyłany w załączniku zbiór musi zostać zabezpieczony metodą kryptograficzną o kluczu minimum 56 znaków, przekazanym drogą inną niż e-mail, zapewniającą jego dotarcie do właściwego adresata (np. listem poleconym). W szczególności, dozwolone jest przesyłanie zaszyfrowanych danych dla Systemu Informacji Oświatowej, systemu Hermes, oraz arkusza organizacji roku szkolnego, do organów uprawnionych do ich dalszego przetwarzania.

13.Kategorycznie zabronione jest kopiowanie zbiorów danych osobowych na nośniki będące własnością pracownika lub osób niepowołanych.

14.Administrator sieci jest jedyną osobą uprawnioną do wykonywania kopii zapasowych zbiorów danych osobowych, za wyjątkiem sytuacji regulowanych decyzją Dyrektora Szkoły.

15.Kopie zapasowe danych osobowych powinny być przechowywane w sposób opisany w pkt. 6.

§ IV. Proceura rozpoczęcia i zakończenia pracy z systemami komputerowymi służącymi do przetwarzania danych osobowych

Użytkownik systemu:

1. Uruchamia komputer, logując się odpowiednią nazwą użytkownika oraz hasłem, certyfikatem elektronicznym lub przy pomocy technik biometrycznych.

2. Ustawia ekrany monitorów na stanowiskach, na których przetwarzane są dane osobowe tak, aby osoby nieupoważnione nie mogły podejrzeć informacji na nich wyświetlanych.

3. W razie konieczności opuszczenia stanowiska pracy blokuje dostęp do komputera, w sposób wymagający ponownego podania informacji opisanych w pkt. 1.

4. W razie modyfikacji zbioru upewnia się, czy dane zostały zarejestrowane, aby uniknąć ich utraty z powodu ewentualnej awarii.

5. Nie udostępnia pomieszczeń, w których są przetwarzane dane osobom postronnym podczas nieobecności osób zatrudnionych przy informatycznym przetwarzaniu danych osobowych.

6. Kończąć pracę upewnia się, że został wylogowany z systemu lub system operacyjny został zamknięty.

§ V. Instrukcja zarządzania systememów informatycznych służących do przetwarzania danych osobowych

1. Dyrektor Szkoły jest obowiązany pełnić rolę Administratora Danych Osobowych (ADO) i wyznacza Administratora Bezpieczeństwa Informatycznego (ABI) w placówce.

2. Obowiązki ABI w zakresie ochrony danych osobowych:

a) prowadzi nadzór nad funkcjonowaniem systemu ochrony danych osobowych, w tym analiza czy zakres przetwarzanych danych osobowych w jednostce jest adekwatny do potrzeb i czy jest zgodny z ustawą o ochronie danych osobowych;

b) opiniuje zasadność tworzenia nowych zbiorów danych osobowych oraz ich zgodność z Polityką i regulacjami prawnymi;

c) prowadzi szkolenia oraz doradza osobom zatrudnionym przy gromadzeniu i przetwarzaniu danych osobowych w zakresie objętym Polityką oraz Ustawą i jej aktami wykonawczymi;

d) opracowuje wzór druku upoważnienia dopuszczającego do obsługi systemów informatycznych służących do przetwarzania danych osobowych;

e) prowadzi ewidencje osób zatrudnionych przy przetwarzaniu danych osobowych;

f) sprawdza stan urządzeń, zawartość zbiorów danych osobowych, fakt oraz stopień ich ewentualnego naruszenia, w przypadku wykrycia naruszenia informuje o nim ADO;

g) prowadzi ewidencję naruszeń systemów chroniących dane osobowe; ewidencja taka musi zawierać następujące informacje: data i godzina powiadomienia o naruszeniu, data i godzina rozpoczęcia inspekcji, opis sytuacji, podjęte działania, stan systemu przed oraz po usunięciu skutków naruszenia;

h) zgłasza do Generalnego Inspektora Ochrony Danych Osobowych nowe zbiory podlegające temu obowiązkowi;

i) zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;

j) opracowuje i przechowuje oryginał Polityki wraz z załącznikami.

3. Zgodnie z Rozporządzeniem, w stosunku do danych osobowych przetwarzanych w Szkole stosuje się wysoki poziom bezpieczeństwa.

4. Uzyskanie przez pracownika uprawnień w systemie służącym do przetwarzania danych osobowych musi być poprzedzone uzyskaniem formalnego upoważnienia o którym mowa w § III pkt. 1.

5. Dyrektor Szkoły niezwłocznie powiadamia ABI o zmianach wymagających uwzględnienia

lub rozwiązaniu umowy o pracę z pracownikiem posiadającym upoważnienie o którym mowa w § III pkt. 1.

6. Przebywanie osób nieuprawnionych w miejscach, o których mowa w § IV pkt 5 jest dopuszczalne tylko w obecności osób zatrudnionych przy przetwarzaniu danych i za zgodą ABI.

7. Każdy komputer, przy pomocy którego gromadzi się lub przetwarza dane osobowe, musi spełniać kryteria opisane w Polityce, w rozdziale dotyczącym poufności, integralności i rozliczalności danych.

8. W razie stwierdzenia naruszenia systemów informatycznych należy bezzwłocznie poinformować ABI.

9. Dane osobowe uzupełnia się wyłącznie na podstawie oficjalnych kopii zapasowych, których tworzenie omawia Polityka.

10.Nosniki magnetyczne, w szczególności dyski twarde, służące do przechowywania danych osobowych, należy przed wyrzuceniem lub przeznaczeniem do innych celów zniszczyć lub zamazać w sposób uniemożliwiający odczyt tych danych.