REGULAMIN OCHRONY DANYCH OSOBOWYCH PUBLICZNEGO

REGULAMIN OCHRONY DANYCH
OSOBOWYCH
PUBLICZNEGO GIMNAZJUM
W KARCZEWIE
WYKAZ PODSTAWOWYCH AKTÓW PRAWNYCH MOGĄCYCH MIEĆ
ZASTOSOWANIE W ZAKRESIE GROMADZENIA, PRZETWARZANIA L
PRZEKAZYWANIA DANYCH OSOBOWYCH
1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. Nr 101, póz.
926 z dnia 6 lipca 2002 r. z późn. zmianami);
2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, póz.
1024z2004r);
3. Ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych
osobowych ( Dz. U. Nr 33, póz. 285 z dnia 2 marca 2004 r.);
4. Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996r. w sprawie
zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze
stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. z
dn.1.06.1996r Nr62, póz. 286-z późn. zmianami);
5. Ustawa z dnia 26 czerwca 1974r Kodeks pracy (Dz. U. z dn. 5.07.1974r Nr 24, póz. 1
z późn. zmianami);
6. Inne akty prawne regulujące w sprawie ochrony danych osobowych
§1
Ilekroć w regulaminie jest mowa o :
a) zbiorze danych osobowych - rozumie się przez to każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie;
b) danych osobowych - rozumie się przez to wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
c) przetwarzaniu danych
rozumie się przez to jakiekolwiek operacje
wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a
zwłaszcza te, które wykonuje się w systemach informatycznych;
d) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą
urządzeń, programów, procedur przetwarzania informacji i narzędzi
programowych zastosowanych w celu przetwarzania danych osobowych;
e) systemie tradycyjnym - rozumie się przez to zespół procedur organizacyjnych,
związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków
trwałych w celu przetwarzania danych osobowych na papierze;
f) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to
wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
g) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
h) administratorze danych osobowych - w świetle art. 3 i 7 pkt 4 ustawy o ochronie
danych osobowych rozumie się przez to Dyrektora Publicznego Gimnazjum
w Karczewie, który decyduje o celach i środkach przetwarzania danych osobowych;
i) administratorze bezpieczeństwa informacji- rozumie się przez to osobę
wyznaczoną przez Dyrektora Jednostki, nadzorującą przestrzeganie zasad ochrony
danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z
naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
j) administratorze systemu informatycznego - rozumie się przez to osobę
zatrudnioną przez Dyrektora Jednostki, upoważnioną do realizacji zadań związanych z
zarządzaniem systemem informatycznym;
k) użytkowniku systemu informatycznego - rozumie się przez to upoważnionego przez
Dyrektora Jednostki, wyznaczonego do przetwarzania danych osobowych w systemie
informatycznym pracownika, który odbył stosowne szkolenie w zakresie ochrony tych
danych;
l) zgodzie osoby, której te dane dotyczą - rozumie się przez to oświadczenie woli,
którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie - zgoda nie może być domniemana lub dorozumiana z oświadczenia woli
o innej treści.
§2
1. Cele dla których Publiczne Gimnazjum w Karczewie zbiera dane osobowe to:
 przebieg zatrudnienia, awansu zawodowego i wynagrodzenia w odniesieniu do
pracowników i ich rodzin,
 realizacja zadań dydaktyczno-opiekuńczo-wychowawczych.
2. Każdy pracownik i uczeń Publicznego Gimnazjum ma prawo do ochrony dotyczących
go danych osobowych.
3. Obowiązek informowania, a także uzyskania oświadczeń o zgodzie na przetworzenie
danych osobowych , traktowany może być łącznie w stosunku do grup, których dane
Publiczne Gimnazjum w Karczewie zbiera i przetwarza.
4. W przypadku pracowników obowiązek, o którym mowa w pkt 3 uważa się za spełniony
po podpisaniu druku stanowiącego załącznik nr 1.
5. W przypadku uczniów i rodziców obowiązek, o którym mowa w pkt 3 uważa się za
spełniony po podpisaniu kwestionariusza zgłoszeniowego przez rodzica bądź prawnego
opiekuna ( załącznik nr 2).
§3
1. W Publicznym Gimnazjum w Karczewie tworzy się następujące zbiory danych
osobowych:
 arkusze organizacyjne roku szkolnego
 akta osobowe pracowników
 akta Zakładowego Funduszu Socjalnego
 protokoły Rady Pedagogicznej
 arkusze obserwacji zajęć lekcyjnych
 lista płac pracowników
 ewidencje osób korzystających z księgozbioru bibliotecznego
 księga ewidencji uczniów
 księga absolwentów
 dzienniki lekcyjne i poza lekcyjne
 rejestr pedagoga i psychologa szkolnego
 arkusz ocen wszystkich uczniów wraz z opiniami PPP
 dokumentacje zdrowotne uczniów
 zwolnienia lekarskie uczniów
 rejestr wypadków uczniów
 protokoły z Systemu Informacji Oświatowej
 oferty pracy
 podania o przyjęcie do szkoły
 protokoły z posiedzeń Rady Rodziców
2. Dane są gromadzone , przechowywane i przetwarzane w systemie tradycyjnym oraz
systemie informatycznym.
§4
1. Administratorem danych osobowych w Publicznym Gimnazjum w Karczewie jest
Dyrektor Szkoły.
2. Administrator przetwarzający dane powinien dołożyć szczególnych starań w celu
ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany ,
aby dane te były:
 przetwarzane w zakresie niezbędnym do wykonywanych zadań powierzonych
pracownikom szkoły
 przetwarzane zgodnie z prawem
 merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane
 przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą,
 nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
3. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest
dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą.
4. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych osobowych odpowiednia do zagrożeń,
w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom
nieupoważnionym, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem.
§5
1. Administrator danych może upoważnić pracowników szkoły lub na ich wniosek
udzielić upoważnienia do przetwarzania danych osobowych .
2. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające
upoważnienie nadane przez administratora.
3. Pracownicy wymienieni w pkt. 1 zbierają i przetwarzają dane osobowe wyłącznie
do realizacji celów wymienionych w §1.
4. Wszyscy pracownicy, którzy będą gromadzić dane osobowe zobowiązani są do
przestrzegania przepisów ustawy przywołanej przy wstępie oraz niniejszego
regulaminu.
5. Osoby posiadające upoważnienia do przetwarzania danych osobowych zobowiązane są
do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,
zniszczeniu lub uszkodzeniu.
6. Upoważnienia, o których mowa w ustępie 2 są imienne i udzielane w formie pisemnej.
7. Każde upoważnienie jest rejestrowane w rejestrze upoważnień oraz przechowywane
w aktach osobowych pracownika.
8. Administrator danych osobowych jest obowiązany zapewnić kontrole nad tym, jakie
dane osobowe, kiedy , przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane.
9. Administrator danych prowadzi ewidencje osób upoważnionych do ich przetwarzania,
która powinna zawierać:
 imię i nazwisko osoby upoważnionej
 data nadania i ustania
 zakres upoważnienia do przetwarzania danych
10. Osoby, które zostały upoważnione do przetwarzania danych osobowych,
są obowiązane zachować w tajemnicy te dane osobowe. Obowiązek ten istnieje
również po ustaniu zatrudnienia.
§6
1. Obszarami do przetwarzania danych osobowych są:
 sekretariat
 gabinet dyrektora
 gabinet wicedyrektora
 księgowość
 kadry
 gabinet pedagoga
 gabinet psychologa
 gabinet pielęgniarki
 biblioteka szkolna
 pokój nauczycielski
2. Pomieszczenia te zabezpieczone są w następujący sposób:
a) zamknięte, jeśli pracownik upoważniony w nich nie przebywa;
b) wyposażone w sejfy lub inne pojemniki umożliwiające przechowywanie dokumentów.
3. Przebywanie osób nieuprawnionych wewnątrz obszaru, o którym mowa w pkt. 1 jest
dopuszczalna tylko w obecności osób zatrudnionych przy przetwarzaniu danych lub za
zgoda administratora danych.
4. Dokumenty i nośniki informacji, zawierające dane osobowe powinny być
zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych.
Jeśli nie są aktualnie używane powinny być przechowywane w szafach lub w innych
przeznaczonych do tego celu urządzeniach biurowych, posiadających odpowiednie
zabezpieczenia .
5. Należy mieć świadomość, że każdy, kto ma dostęp do pomieszczenia, w którym
zainstalowano sprzęt systemu informatycznego może spowodować jego uszkodzenie
lub może mieć dostęp do informacji wyświetlanych na monitorze lub wydruków.
Zagrożenia w stosunku do systemu mogą pochodzić również od każdej innej osoby np.
personelu pomocniczego, technicznego, konsultanta itp., posiadającej
wystarczające umiejętności i wiedzę, aby uzyskać dostęp do sieci.
§7
1. Administrator danych może wyznaczyć administratora systemu informatycznego,
który wykonuje wszystkie prace niezbędne do efektywnego oraz bezpiecznego
zarządzania systemem informatycznym. Jest zobowiązany do zapewnienia, poprzez
zastosowanie odpowiednich środków i metod kontroli dostępu, w taki sposób, że
wyłącznie autoryzowany personel ma dostęp do systemów informatycznych.
Przydziela użytkownikom systemu informatycznego konta i hasła. Ewidencjonuje
użytkowników systemu.
2. Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz
bezpiecznej pracy na stanowisku pracy również z wykorzystaniem stacji roboczej. Jest
odpowiedzialny przed Administratorem Bezpieczeństwa Informacji za nadzór,
implementację i utrzymanie niezbędnych warunków bezpieczeństwa w szczególności
do przestrzegania procedur dostępu do systemu i ochrony danych osobowych.
3. Wszyscy użytkownicy systemu muszą stosować się do obowiązujących procedur
bezpieczeństwa. Hasło podlega szczególnej ochronie. Użytkownik ma obowiązek
tworzenia haseł o długości min.sześciu znaków, nie trywialnych, tzn. nie może używać
imion, danych identyfikujących użytkownika oraz jego najbliższych, numerów
rejestracyjnych, marek lub typów swoich samochodów itp.,. Hasło powinno być
przechowywane w sposób bezpieczny. W przypadku, gdy użytkownik zapomni swoje
hasło, może on uzyskać nowe hasło od Administratora Systemu zgodnie z
obowiązująca procedurą.
4. Procedura rozpoczęcia i zakończenia pracy w systemie informatycznym:
 na stanowiskach, na których przetwarzane są dane osobowe monitory
powinny być tak ustawione, aby osoby nieupoważnione nie miały
dostępu do informacji na nich wyświetlanych
 uruchomienie komputera odpowiednim hasłem
 upewnienie się, że osoby nieupoważnione nie mają wglądu do danych
 w razie przerwania pracy zastosowanie nieaktywności użytkownika
(wygaszacz ekranu)
 upewnienie się, że dane zostały zarejestrowane, aby uniknąć utraty
danych z powodu awarii
 zakończenie pracy związanej z przetwarzaniem danych osobowych
powinno odpowiadać wszystkim regułom bezpieczeństwa informacji
pracownik powinien wylogować się ze szkolnego systemu
informatycznego ( w tym także dziennik elektroniczny)
5. Kopie informatyczne, wydruki wykonuje się w miarę potrzeb i przechowuje w sposób
określony przepisami.
6. W celu zabezpieczenia ciągłości pracy, informacja przechowywana i przetwarzana w
systemie podlega przyrostowej archiwizacji (opcjonalnie) oraz pełnej archiwizacji
przeprowadzanej nie rzadziej niż raz na miesiąc. Kopie awaryjne przechowuje się
zgodnie z przepisami, a okresowo sprawdza się pod kątem przydatności.
7. Nośniki danych oraz wydruki przechowuje się w zamkniętej szafie, do której dostęp
mają tylko osoby upoważnione.
8. Administrator danych sprawdza stan urządzeń, zawartość zbioru danych osobowych
oraz ewentualną wielkość ich naruszenia.
9. Instalacja urządzeń systemu i sieci teleinformatycznej odbywa się za wiedzą i pod
kontrolą administratora danych, który jest również odpowiedzialny za warunki
wprowadzania do użycia, przechowywania, eksploatacji oraz wycofywania z użycia
każdego urządzenia.
10. Sprzęt i oprogramowanie, indywidualnie lub łącznie mają ścisły związek z
bezpieczeństwem systemu i sieci teleinformatycznej. Dlatego, powinny być ściśle
przestrzegane procedury bezpieczeństwa odnoszące się do tych elementów.
11. Sieć teleinformatyczna jest organizacyjnym i technicznym połączeniem systemów
teleinformatycznych wraz z łączącymi je urządzeniami i liniami telekomunikacyjnymi.
Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji
roboczej bez wiedzy kierownika/dyrektora komórki organizacyjnej.
12. Nie zezwala się na korzystanie z jakiegokolwiek nowego oprogramowania bez zgody
Administratora Systemu. Dodatkowe oprogramowanie może być instalowane
wyłącznie po uzyskaniu zezwolenia Administratora Systemu.
Używanie oprogramowania prywatnego w sieci jest kategorycznie zabronione. Na
stacjach roboczych powinno być zainstalowane jedynie niezbędne oprogramowanie.
13. Każde urządzenie użytkowane w systemie informatycznym, powinno podlegać
rutynowym czynnościom konserwacyjnym oraz przeglądom wykonywanym przez
uprawnione osoby.
14. Za konserwację oprogramowania systemowego oraz aplikacyjnego serwera systemu
informatycznego odpowiedzialny jest Administrator Systemu. Konserwacja ww.
oprogramowania obejmuje także jego aktualizację.
15. Administrator Systemu przed rozpoczęciem naprawy urządzenia przez zewnętrzne
firmy sprawdza, czy spełnione są następujące wymagania:
a) w przypadku awarii serwera i konieczności oddania sprzętu do serwisu, nośniki
magnetyczne zawierające dane osobowe powinny być wymontowane i do czasu
naprawy serwera przechowywane w szafie metalowej znajdującej się w strefie o
ograniczonym dostępie;
b) w przypadku uszkodzenia nośnika magnetycznego zawierającego dane osobowe
należy komisyjnie dokonać jego zniszczenia.
16. Serwer systemu oraz poszczególne stacje robocze (opcjonalnie) powinny być
zabezpieczone urządzeniami podtrzymującymi zasilanie (UPS), co umożliwi
funkcjonowanie systemu w przypadku awarii zasilania.
17. W zakresie ochrony antywirusowej wprowadza się następujące zalecenia:
a) nie należy używać oprogramowania na stacji roboczej innego niż zaleca administrator
systemu;
b) regularnie uaktualniać bazę wirusów zainstalowanego oprogramowania
antywirusowego;
c) przed użyciem nośnika danych sprawdzić czy nie jest zainfekowany wirusem
komputerowym.
18. Postępowanie w przypadku wykrycia wirusa:
Należy postępować zgodnie z poleceniami programu antywirusowego, w przypadku
gdy wirus nie zostanie usunięty należy wyłączyć stację roboczą i niezwłocznie
powiadomić Administratora Sieci Informatycznej
§7
1. Wzór zgody na przetwarzanie danych osobowych pracowników Publicznego
Gimnazjum w Karczewie – załącznik 1
2. Wzór zgody na przetwarzanie danych osobowych uczniów Publicznego
Gimnazjum w Karczewie znajduje się w kwestionariuszu zgłoszeniowym –
załącznik 2.
3. Wzór imiennego upoważnienia do przetwarzania danych pracowników – załącznik
nr 3.
4. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych w
Publicznym Gimnazjum w Karczewie – załącznik 4.
Załącznik 4
Rejestr osób upoważnionych do przetwarzania danych osobowych w Publicznym
Gimnazjum w Karczewie
Lp. Imię i nazwisko
osoby upoważnionej
Podstawa
Czas, na który ważne Uwagi
jest upoważnienie
( nieokreślony,
określony- na jak
długo)