plik w formacie

Transkrypt

plik w formacie

ZARZĄDZENIE Nr 24/2014/2015
DYREKTORA ZESPOŁU SZKÓŁ ZAWODOWYCH I OGÓLNOKSZTAŁCĄCYCH
W KARTUZACH
z dnia 01.06.2015r.
w sprawie: wprowadzenia dokumentacji przetwarzania danych osobowych
w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach
oraz
powołania Administratora Bezpieczeństwa Informacji,
Zastępcy Administratora Bezpieczeństwa Informacji
i Administratora Systemu Informatycznego
Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz § 3 rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.)
zarządza się, co następuje:
§1
Wprowadza się do użytku służbowego:
1. Politykę bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach,
stanowiącą załącznik nr 1 do niniejszego zarządzenia.
2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 2 do niniejszego
zarządzenia.
§2
Wyznacza się Panią Teresę Riegel na Administratora Bezpieczeństwa Informacji,
Panią Renatę Szyca na Zastępcę Administratora Bezpieczeństwa Informacji
oraz Pana Sebastiana Wrońskiego na Administratora Systemu Informatycznego.
§3
Ustala się zakresy zadań Administratora Bezpieczeństwa Informacji, Zastępcy Administratora
Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego, w brzmieniu
załącznika nr 3, nr 4 i nr 5 do niniejszego zarządzenia.
§4
Zobowiązuje się wszystkich pracowników do zapoznania się z treścią zarządzenia.
§5
Tracą moc Załączniki nr 1 i 2 do Zarządzenia Nr 33/2012/2013 Dyrektora Zespołu Szkół
Zawodowych i Ogólnokształcących w Kartuzach z dnia 20.08.2013 r.
§6
Zarządzenie wchodzi w życie z dniem podpisania.
……………………………….
(podpis)
Do wiadomości i stosowania:
.........................................................
.........................................................
.........................................................
.........................................................
.........................................................
Załącznik nr 1
do zarządzenia nr 24/14/15
Dyrektora ZSZiO w Kartuzach
z dnia 01.06.2015r.
POLITYKA BEZPIECZEŃSTWA
przetwarzania danych osobowych
§1
Postanowienia ogólne
1. Polityka bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach
zwana dalej ,,Polityką bezpieczeństwa” określa tryb i zasady ochrony danych osobowych
przetwarzanych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach.
2. Ilekroć w Polityce bezpieczeństwa jest mowa o:
1) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych,
1) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych,
2) danych osobowych - w rozumieniu ustawy za dane osobowe uważa się wszelkie
informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej,
3) zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw
danych o charakterze osobowym, dostępnych według określonych kryteriów
niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te,
które wykonuje się w systemach informatycznych,
5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą
urządzeń, programów, procedury przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,
6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrażanie
i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem,
7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
8) ZSZiO – rozumie się przez to Zespół Szkół Zawodowych i Ogólnokształcących
w Kartuzach,
9) dyrektorze – rozumie się przez Dyrektora ZSZiO w Kartuzach,
10) administratorze danych osobowych – rozumie się przez to dyrektora szkoły,
3.
4.
5.
6.
11) administratorze bezpieczeństwa informacji – rozumie się przez to osobę wyznaczoną
przez administratora danych do nadzoru przestrzegania zasad ochrony danych
osobowych oraz przygotowania dokumentów wymaganych przez przepisy ustawy
o ochronie danych osobowych,
12) zastępcy administratora bezpieczeństwa informacji – rozumie się przez to osobę
wyznaczoną przez administratora danych wspomagającą ABI w nadzorze
przestrzegania zasad ochrony,
13) administratorze systemu informatycznego – rozumie się przez to osobę wyznaczoną
przez administratora danych odpowiedzialnego za funkcjonowanie systemu
informatycznego,
14) użytkowniku – rozumie się przez to użytkownika systemu, pracownika ZSZiO
upoważnionego przez administratora danych do przetwarzania danych osobowych,
15) identyfikatorze użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych,
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym,
16) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany
jedynie osobie uprawnionej do pracy w systemie informatycznym,
17) uwierzytelnieniu – rozumie się przez to działanie, którego celem jest weryfikacja
deklarowanej tożsamości podmiotu,
18) integralności danych – rozumie się przez to właściwość zapewniającą, że dane
osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
19) raporcie – rozumie się przez to przygotowane przez system informatyczny
zestawienia zakresu i treści przetwarzanych danych,
20) poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są
udostępnione nieupoważnionym podmiotom.
Polityka bezpieczeństwa zawiera:
1) zasady ochrony dostępu do danych osobowych,
2) kontrolę zabezpieczenia danych osobowych w systemie informatycznym,
3) tryb postępowania w sytuacji naruszenia ochrony danych osobowych,
4) wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
5) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych,
6) opis struktury zbiorów danych wskazujących zawartości poszczególnych pól
informatycznych i powiązania między nimi,
7) sposób przepływu danych pomiędzy poszczególnymi systemami,
8) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym
dostępem do:
a systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem;
b informacji zgromadzonych, przetwarzanych w formie tradycyjnej.
Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami
obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa
i poufności przetwarzanych danych.
Pod szczególną ochroną pozostają wrażliwe dane osobowe wymienione w art. 27 ust. 1
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przetwarzanie danych
ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową,
jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu
seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych,
a także innych orzeczeń wydanych w postępowaniu sadowym lub administracyjnym
dopuszczalne jest tylko w związku z realizacją celów statutowych ZSZiO i w granicach
wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych.
7. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator
Danych Osobowych (ADO), tj. dyrektor.
8. Dyrektor ZSZiO w Kartuzach jako administrator danych świadomy wagi problemów
związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób
fizycznych powierzających szkole swoje dane osobowe do właściwej i skutecznej ochrony
tych danych deklaruje:
1) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw
i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych
osobowych,
2) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających
dane osobowe w ZSZiO w zakresie problematyki bezpieczeństwa tych danych,
3) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych
osobowych jako należących do kategorii podstawowych obowiązków pracowniczych
oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby,
4) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi
do ochrony danych osobowych.
9. Dyrektor ZSZiO w Kartuzach jako administrator danych, świadomy zagrożeń związanych
z przetwarzaniem danych osobowych na dużą skalę, zamierza doskonalić i rozwijać
nowoczesne metody przetwarzania danych. Deklaruje, że szkoła będzie stale doskonaliła
i rozwijała organizacyjne, techniczne oraz informatyczne środki ochrony danych
osobowych przetwarzanych zarówno metodami tradycyjnymi, jak i elektronicznie tak,
aby skutecznie zapobiegać zagrożeniom.
10. Dyrektor ZSZiO w Kartuzach realizując Politykę bezpieczeństwa dokłada szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności
zapewnia, aby dane te były:
 przetwarzane zgodnie z prawem;
 zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu
niezgodnemu z tymi celami;
 merytorycznie poprawne i adekwatne w stosunku do celów, w jakich
są przetwarzane;
 przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą,
nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
11. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w ZSZiO odnosi się
do danych osobowych przetwarzanych w zbiorach danych:
1) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach
i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem
danych osobowych.
12. Dane osobowe w ZSZiO są gromadzone, przechowywane, edytowane, archiwizowane
w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych
zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO
na dokumentach papierowych, jak również w systemach informatycznych
na elektronicznych nośnikach informacji.
13. Do informacji przechowywanych w systemach informatycznych jak i dokumentów
tradycyjnych mają dostęp jedynie upoważnieni pracownicy oraz osoby mające imienne
zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania
tych danych w tajemnicy. Każdy użytkownik systemu informatycznego zobowiązany jest
zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom.
Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się
po zakończeniu korzystania z usług systemów informatycznych.
14. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe,
są chronione przed zagrożeniami, a w szczególności przed udostępnieniem danych
osobom nieupoważnionym odpowiednimi środkami informatycznymi, technicznymi
i organizacyjnymi. Środki te są systematycznie unowocześniane. W szczególności
zapewnia się aktualizacje informatycznych środków ochrony danych osobowych
pozwalające na zabezpieczenie przed wirusami, nieuprawnionym dostępem
oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego
oraz sieci telekomunikacyjnych. Opracowane procedury określają obowiązki użytkownika
zbiorów tradycyjnych oraz zasady korzystania z systemów informatycznych.
15. W ramach realizacji Polityki bezpieczeństwa w zakresie ochrony danych osobowych
sprawuje się kontrole i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich
zbiorów. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno
w szczególności na:
1) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich zbiorów wraz z ich
nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby
niepowołane przy zastosowaniu powszechnie dostępnych metod,
2) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych
osobowych i/lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych,
których anonimizowane dane dotyczą.
Osoby przetwarzające dane osobowe mają obowiązek stosowania oddanych im
do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych i/lub
ich zbiorów.
16. Dla skutecznej realizacji Polityki Administrator Danych Osobowych zapewnia:
1) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne
i rozwiązania organizacyjne;
2) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony;
3) kontrolę i nadzór nad przetwarzaniem danych osobowych;
4) monitorowanie zastosowanych środków ochrony;
5) ciągłe śledzenie zmieniających się zagrożeń wewnętrznych i zewnętrznych, także
uwzględnianie zmieniającego się prawa;
6) kontrolę i nadzór nad przetwarzaniem danych osobowych przez podmioty trzecie,
którym dane zostały udostępnione lub powierzone.
17. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby
upoważnione do przetwarzania danych osobowych. Polityka bezpieczeństwa określa
przetwarzanie danych osobowych przez pracowników ZSZiO, a w szczególności
Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji,
Zastępcę Administratora Bezpieczeństwa Informacji i Administratora Systemu
Informatycznego.
§2
Administracja i organizacja bezpieczeństwa
A. Obowiązki Administratora Danych Osobowych
1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania
danych osobowych odpowiada Administrator Danych Osobowych.
2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były:
a) przetwarzane zgodnie z prawem,
b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami,
c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich
są przetwarzane,
d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą,
nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
3. Administrator Danych Osobowych dąży do systematycznego unowocześniania
stosowanych na terenie szkoły informatycznych, technicznych i organizacyjnych
środków ochrony tych danych w celu zabezpieczenia danych osobowych
przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem przepisów o ochronie danych
osobowych, nieautoryzowaną zmianą, uszkodzeniem lub zniszczeniem.
4. Administrator Danych Osobowych gromadzi dokumentację opisującą sposób
przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych.
5. Każdej osobie zatrudnionej przy przetwarzaniu danych osobowych i obsługującej
zbiory informatyczne nadaje upoważnienie do przetwarzania danych osobowych,
stanowiące Załącznik nr 1 do „Polityki bezpieczeństwa”.
6. Wydane upoważnienia rejestruje w ewidencji osób upoważnionych do przetwarzania
danych osobowych, która powinna zawierać:
a) imię, nazwisko i stanowisko osoby upoważnionej,
b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych, a także nazwę programu (aplikacji) i identyfikator, jeżeli dane są
przetwarzane w systemie informatycznym.
Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi
Załącznik nr 4 do niniejszej „Polityki bezpieczeństwa”.
7. Odpowiada za to by zakres czynności osoby zatrudnionej przy przetwarzaniu danych
osobowych, którego wzór stanowi Załącznik nr 1a do niniejszego dokumentu,
określał odpowiedzialność tej osoby za:
a) ochronę danych przed niepowołanym dostępem,
b) nieuzasadnioną modyfikację lub zniszczenie danych,
c) nielegalne ujawnienie danych,
w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych
osobowych.
8. Wyznacza osoby, zwanymi dalej Administratorem Bezpieczeństwa Informacji
i
Zastępcą
Administratora
Bezpieczeństwa
Informacji,
nadzorującymi
i kontrolującymi przestrzegania zasad bezpieczeństwa i ochrony danych osobowych
przetwarzanych w szkole. Imienne upoważnienia udzielane są w formie pisemnej
i stanowią odpowiednio Załącznik nr 2 i Załącznik nr 2a do „Polityki
bezpieczeństwa”.
9. Dodatkowo, wyznacza Administratora Systemu Informatycznego odpowiedzialnego
za funkcjonowanie systemu informatycznego, wydając upoważnienie stanowiące
Załącznik nr 3 do niniejszego dokumentu.
10. Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym
przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego
(Załącznik nr 5).
B. Obowiązki Administratora Bezpieczeństwa Informacji
1. Dyrektor szkoły jako Administrator Danych Osobowych wyznacza Administratora
Bezpieczeństwa Informacji (ABI), nadzorującego przestrzeganie zasad ochrony
danych osobowych.
2. Upoważnienie wraz ze szczegółowym zakresem obowiązków stanowi Załącznik nr 2
do niniejszego dokumentu.
3. Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie
danych osobowych, w szczególności przez:
1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych oraz opracowanie w tym zakresie sprawozdania
dla administratora danych,
2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób
przetwarzania danych oraz środki techniczne i organizacyjne zapewniające
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń
i kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych.
4. Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych
przetwarzanych przez administratora danych osobowych.
C. Obowiązki Zastępcy Administratora Bezpieczeństwa Informacji
1. Dyrektor szkoły jako Administrator Danych Osobowych powołuje Zastępcę
Administratora Bezpieczeństwa Informacji (Zastępca ABI), nadzorującego również
przestrzeganie zasad ochrony danych osobowych.
2. Zastępca ABI, podobnie jak ABI, odpowiedzialny jest za bezpieczeństwo danych
osobowych przetwarzanych w ZSZiO w Kartuzach.
3. Upoważnienie wraz ze szczegółowym zakresem obowiązków stanowi Załącznik nr 2a
do niniejszej „Polityki bezpieczeństwa”.
D. Obowiązki Administratora Systemu Informatycznego
Obowiązkiem Administratora Systemu Informatycznego (zgodnie z Załącznikiem nr 3)
jest:
 zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe;
 rejestrowanie użytkownikom uprawnień dostępu do systemu informatycznego
na zasadach określonych w „Instrukcji zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych”;
 zaznajomienie użytkowników z procedurami ustalania i zmiany haseł dostępu;
 odbieranie użytkownikom dostępu do systemu informatycznego na polecenie
Administratora Bezpieczeństwa Informacji;
 naprawa, konserwacja oraz likwidacja urządzeń komputerowych i nośników
informatycznych zawierających dane osobowe;
 kontrola przepływu informacji pomiędzy systemem informatycznym a siecią
publiczną;
 aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te
wykonywane są automatycznie;
 regularne
tworzenie
kopii
zapasowych
zasobów
danych
osobowych
oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie
poprawności wykonania kopii zapasowych;
 wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów
i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów
informatycznych, aplikacji oraz elektronicznych nośników informacji, na których
zapisane są dane osobowe;
 współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów
informatycznych;
 konsultacje, udzielanie wsparcia Zastępcy ABI w podejmowaniu decyzji i instalacji
aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów
generowania haseł zabezpieczających informację;
 odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego,
jego sprawność techniczną i używanie zgodnie z przeznaczeniem.
E. Obowiązki użytkowników
1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych
osobowych musi zapoznać się z następującymi dokumentami:
a) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r.
po. 1182 z późn. zm.),
b) rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. z 2004 r. Nr 100 poz. 1024 z późn. zm.),
c) niniejszą „Polityką bezpieczeństwa” i „Instrukcją zarządzania systemem
informatycznym”.
2. Zapoznanie się z powyższymi dokumentami użytkownik systemu potwierdza
własnoręcznym podpisem na oświadczeniu, którego wzór stanowi pkt IV Załącznika
nr 1.
3. Do obowiązków użytkowników w zakresie ochrony danych osobowych należy
w szczególności:
 przestrzeganie opracowanych zasad przetwarzania danych osobowych;
 przestrzeganie opracowanych procedur operacyjnych i bezpieczeństwa;
 udostępnianie danych osobowych wyłącznie osobom upoważnionym
lub uprawnionym do ich uzyskania;
 uniemożliwianie dostępu lub podglądu danych osobowych dla osób
nieupoważnionych;
 informowanie Administratora Bezpieczeństwa Informacji o wszystkich
naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie
przetwarzania i ochrony danych osobowych;
 wykonywanie bez zbędnej zwłoki poleceń ABI i Zastępcy ABI w zakresie ochrony
danych osobowych, jeśli są one zgodne z przepisami prawa powszechnie
obowiązującego.
Imienny zakres czynności przy przetwarzaniu danych osobowych, stanowiący
Załącznik nr 1a, otrzymuje każdy pracownik ZSZiO w Kartuzach.
§3
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych
1.
2.
3.
Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach,
skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych
poszczególnych komórek organizacyjnych ZSZiO w postaci dokumentów papierowych.
Do przetwarzania zbiorów danych osobowych w systemie informatycznym ZSZiO,
stosowane są pakiety biurowe lub specjalizowane aplikacje (programy).
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych stanowi Załącznik nr 6 do ,,Polityki bezpieczeństwa”.
§4
Opis struktury zbiorów wskazujący zawartości poszczególnych pól informacyjnych
i powiązania między nimi stanowi Załącznik nr 7 do ,,Polityki bezpieczeństwa”.
§5
Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami
1.
2.
3.
Obieg dokumentów zawierających dane osobowe pomiędzy komórkami organizacyjnymi
ZSZiO winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem
zawartych w tych dokumentach danych (informacji).
Przekazywanie informacji (danych) w systemie informatycznym poza sieć lokalną
ZSZiO, w miarę możliwości, powinno odbywać się w sposób szyfrowany.
Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami stanowi
Załącznik nr 8 do ,, Polityki bezpieczeństwa”.
§6
Środki techniczne i organizacyjne niezbędne do zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych
A. Środki ochrony fizycznej.
Budynek Zespołu Szkół
przy ul. Wzgórze Wolności 3
Zawodowych
i
Ogólnokształcących
w
Kartuzach
1. Dostęp do budynku, w którym zlokalizowany jest obszar przetwarzania danych
osobowych nadzorowany jest przez monitoring poza godzinami pracy szkoły.
2. Budynek, w którym znajduje się obszar przetwarzania danych osobowych, dodatkowo
zabezpieczony jest elektronicznym systemem antywłamaniowym oraz wydzielonym
systemem przeciwpożarowym.
3. Urządzenia służące do przetwarzania danych osobowych znajdują się
w pomieszczeniach zabezpieczonych zamkami patentowymi. Pracownicy
zobowiązania są zamykać pomieszczenia na czas ich nieobecności.
4. Zastosowano szafy pancerne i metalowe do przechowywania kopii zapasowych
i wymiennych nośników danych.
B. Środki sprzętowe, informatyczne i telekomunikacyjne.
Budynek Zespołu Szkół Zawodowych i Ogólnokształcących
przy ul. Wzgórze Wolności 3
1. Zastosowano niszczarki dokumentów.
w
Kartuzach
2. Serwer
podłączony
jest
do
zasilacza
UPS,
zastosowanego
na wypadek zaniku napięcia albo awarii w sieci zasilającej.
3. Zastosowano sieć lokalną Ethernet.
4. Dane są przetwarzane w sposób scentralizowany i zdecentralizowany.
5. Sieć lokalna podłączona jest do Internetu za pomocą sprzętowego urządzenia ( modem
ADSL, serwer z mechanizmem NAT).
6. Kopie awaryjne wykonywane są na zewnętrznych nośnikach danych całościowo.
C. Środki ochrony w ramach oprogramowania urządzeń teletransmisji.
1. Zastosowano sprzętowy oraz programowy firewall.
2. Wszystkie komputery chronione są programem antywirusowym działającym w tle.
Uaktualnienie baz wirusowych następuje automatycznie każdego dnia bezpośrednio
po uruchomieniu komputera.
3. Sprzętowy firewall chroniony jest hasłem dostępu.
D. Środki ochrony w ramach oprogramowania systemu.
1. Dostęp do plików baz danych osobowych zastrzeżony jest wyłącznie
dla Administratora Systemu Informatycznego.
2. System informatyczny pozwala zdefiniować odpowiednie prawa do zasobów
informatycznych systemu.
3. Na komputerach użytkowników zastosowano program antywirusowy.
E. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych.
1. Automatycznie rejestrowany jest identyfikator użytkownika wprowadzającego dane.
2. Dla każdego użytkownika systemu ustalony jest odrębny identyfikator.
F. Środki ochrony w ramach systemu użytkowego.
1. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika.
2. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest
hasłem.
G. Środki organizacyjne.
1. Wyznaczono Administratora Bezpieczeństwa Informacji i Zastępcę Administratora
Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego.
2. Tymczasowe wydruki z danymi osobowymi są niszczone po ustaniu ich przydatności.
3. Korespondencja z osobami współpracującymi z ZSZiO prowadzona jest pocztą
priorytetową i zapisywana w dzienniku podawczym.
4. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są
do zachowania tajemnicy.
5. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich
do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych
osobowych, procedur przetwarzania danych oraz informowanie o podstawowych
zagrożeniach związanych z przetwarzaniem danych w systemach informatycznych.
6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych
osobowych.
7. Ustalono instrukcję zarządzania systemem informatycznym.
8. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych
osobowych.
9. W przypadku, gdy zachodzi konieczność naprawy sprzętu poza szkołą, należy
wymontować z niego nośniki zawierające dane osobowe.
10. W przypadku, gdy uszkodzenie elementu sprzętu zawierającego nośnik informacji,
na którym zapisane są dane osobowe, np. dysk twardy, wymaga przekazania sprzętu
poza budynek, nośniki te wymontowuje się, a następnie niszczy.
§7
Zasady ochrony dostępu do danych osobowych
1. Przetwarzanie danych osobowych pracowników, uczniów i ich rodziców służy realizacji
zadań szkoły.
2. Przetwarzanie danych osobowych może odbywać się zarówno w systemie
informatycznym, jak i w kartotekach, skorowidzach, księgach, wykazach i innych
zbiorach ewidencyjnych.
3. Dane osobowe przetwarza się w pomieszczeniach tworzących obszar przetwarzania
danych osobowych określony w Załączniku nr 5 do niniejszego dokumentu.
4. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają
zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika.
Opuszczenie pomieszczenia, w którym znajdują się zbiory danych musi być poprzedzone
przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej
dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz.
Zamknięcie na czas nieobecności uniemożliwia dostęp osób nieuprawnionych.
5. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy
upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią
danych. Dostęp do pokoi jest kontrolowany za pomocą monitoringu wizyjnego.
6. Przebywanie wewnątrz obszaru, w którym są przetwarzane dane osobowe z użyciem
stacjonarnego sprzętu komputerowego osób nieupoważnionych jest możliwe tylko
w obecności użytkownika i za zgodą Administratora Bezpieczeństwa Informacji.
7. Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w ,,Instrukcji
zarządzania
systemem
informatycznym
w
Zespole
Szkół
Zawodowych
i Ogólnokształcących w Kartuzach” stanowiącej Załącznik Nr 2 do zarządzenia.
8. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne,
obowiązują przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów
służbowych.
9. Osoby zatrudnione przetwarzające dane osobowe każdego rodzaju, niezależnie
od systemu przetwarzania, są zobowiązane przestrzegać następujące zasady:
a) mogą przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie
przez Administratora Danych Osobowych w upoważnieniu i tylko w celu
wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych
przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego
do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej
funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych;
b) muszą zachować tajemnicę danych osobowych oraz przestrzegać procedur
ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych
obowiązuje przez cały okres zatrudnienia, a także po ustaniu stosunku pracy
lub odwołaniu z pełnionej funkcji;
c) zapoznają się z przepisami prawa w zakresie ochrony danych osobowych
oraz postanowieniami niniejszej polityki i „Instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych”;
d) stosują określone procedury oraz wytyczne mające na celu zgodne z prawem
przetwarzanie danych;
e) korzystają z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi
w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego,
oprogramowania i nośników;
f) zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym.
§8
Szkolenia w zakresie ochrony danych osobowych
1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać
przeszkolony przez Administratora Bezpieczeństwa Informacji. Szkolenie powinno
obejmować następujące zagadnienia:
1) Przepisy o ochronie danych osobowych.
2) Zasady przetwarzania danych osobowych.
3) Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach
informatycznych.
4) Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania
danych osobowych.
5) Zagrożenia, na jakie może być narażone przetwarzanie danych osobowych,
a w szczególności te związane z przetwarzaniem danych osobowych w systemach
informatycznych.
6) Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe.
7) Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu
informatycznego.
8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych.
2. Szkolenia powinny być powtarzane okresowo lub na żądanie, gdy zaistnieje
taka potrzeba.
§9
Kontrola przestrzegania zasad zabezpieczenia danych osobowych
1. Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa
Informacji sprawują nadzór nad przestrzeganiem zasad ochrony danych osobowych
wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych
w niniejszym dokumencie.
2. Kontroli podlegają: system informatyczny przetwarzający dane osobowe, zabezpieczenia
fizyczne, zabezpieczenia organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu
faktycznego z wymaganiami ustawy o ochronie danych osobowych.
3. Administrator Bezpieczeństwa sporządza roczny plan kontroli zatwierdzony
przez dyrektora i zgodnie z nim przeprowadza kontrole. Kontrola powinna odbyć się
co najmniej raz w roku.
4. Po dokonanej kontroli przeprowadzający kontrolę (ABI) dokonuje oceny stanu
bezpieczeństwa danych osobowych, po czym przygotowuje i przekazuje raport
pokontrolny sporządzony zgodnie z wzorem, stanowiącym Załącznik nr 9 do niniejszej
Polityki bezpieczeństwa, Administratorowi Danych Osobowych. Na jego podstawie ABI
inicjuje działania korygujące lub zapobiegawcze.
5. Na podstawie zgromadzonych materiałów, o których mowa w ust. 4, Administrator
Bezpieczeństwa sporządza roczne sprawozdanie ze stanu funkcjonowania systemu ochrony
danych osobowych i przedstawia Administratorowi Danych Osobowych (Dyrektorowi
ZSZiO w Kartuzach). Sprawozdanie przygotowuje się zgodnie z wzorem stanowiącym
Załącznik nr 10.
§ 10
Kontrola zabezpieczenia danych osobowych w systemie informatycznym
1. Codzienną kontrolę zabezpieczenia danych w systemie informatycznym sprawuje
użytkownik.
2. Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa
Informacji prowadzą bieżący nadzór nad przestrzeganiem przez użytkowników zasad
ochrony danych osobowych oraz sprawuje kontrolę nad tym, jakie dane osobowe,
kiedy i przez kogo zostały do zbioru wprowadzone oraz komu przekazane.
§ 11
Tryb postępowania w sytuacji naruszenia ochrony danych osobowych
1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
1) próbę lub fakt nieuprawnionego dostępu do zbioru danych osobowych lub obszaru,
w którym są one przetwarzane,
2) sytuację, w której skutkiem jest:
a) brak możliwości fizycznego dostępu do danych np. z powodu zgubienia klucza
do pomieszczenia lub mebli biurowych, w których przechowywane są dokumenty
zawierające przetwarzane dane osobowe, zniszczenia lub kradzieży urządzeń
służących do przechowywania danych osobowych, w tym elektronicznych
nośników informacji,
b) brak dostępu do zawartości zbioru danych, np. zbiór istnieje, lecz nie ma
możliwości przetwarzania danych osobowych,
c) zmieniono zawartość zbioru, np. niepoprawna treść, postać, data, różnica
w danych,
d) różnica funkcjonowania systemu, a w szczególności wyświetlania komunikatów
i informacji o błędach oraz nieprawidłowościach w wykonywaniu operacji.
3) zniszczenie lub próby zniszczenia w sposób nieautoryzowany danych ze zbioru
danych systemowych,
4) zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach
archiwalnych,
5) nieskuteczne zniszczenie nośników informacji zawierających dane osobowe
umożliwiające ponowny ich odczyt przez osoby nieuprawnione,
6) nieuprawnioną zmianę elementów systemu
informatycznego
służących
do przetwarzania danych w szczególności urządzeń, procedur i oprogramowania.
2. W przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych, dyrektor
lub użytkownik zobowiązany jest do:
1) określenia, w miarę możliwości charakteru zaistniałej sytuacji (kradzież, wirus
komputerowy),
2) niezwłocznego zawiadomienia o zaistniałej sytuacji Administratora Bezpieczeństwa
lub Zastępcy Administratora Bezpieczeństwa oraz Administratora Systemu,
3) zabezpieczenia, w zależności od sytuacji dostępu do pomieszczenia i urządzenia
służącego do przetwarzania danych osobowych a także dowodów zdarzenia
przed zniszczeniem,
4) powstrzymania się od pracy w systemie informatycznym oraz w przypadku
podejrzenia infekcji wirusowej natychmiastowego wyłączenia urządzenia
przetwarzającego dane,
5) podjęcie działań stosownie do zaistniałej sytuacji, które zapobiegną ewentualnej
utracie danych osobowych,
6) sporządzeniu notatki służbowej z dokonanych ustaleń oraz podjętych działań
i przekazania jej osobom wymienionym w pkt 2.
3. W sytuacji, o której mowa w ust. 2, Administrator Bezpieczeństwa, przy pomocy Zastępy
Administratora Bezpieczeństwa, zobowiązany jest do:
1) oceny sytuacji uwzględniając stan pomieszczenia, w którym przetwarzane są dane
osobowe, stan urządzenia oprogramowania i zbioru oraz identyfikacji zakresu
ewentualnych negatywnych następstw ochrony danych osobowych,
2) podjęcia działań mających na celu ustalenia sprawcy, miejsca, czasu i sposobu
dokonania naruszenia ochrony danych osobowych,
3) podjęcia decyzji w sprawie ewentualnego odizolowania odpowiednich części systemu,
dokonania przeglądu i kontroli zabezpieczeń wszystkich pozostałych elementów
sytemu,
4) podjęcia działań mających na celu przywrócenie prawidłowego stanu zbiorom danych
osobowych i elementów systemu informatycznego, w tym zabezpieczenia,
5) podjęcia decyzji co do dalszego postępowania, w tym dotyczącej przetwarzania
danych osobowych w systemie informatycznym,
6) sporządzenie notatki służbowej, tzw. raportu z dokonanych ustaleń oraz podjętych
działań. Raport, stanowiący Załącznik nr 11, powinien zawierać informacje
o przyczynach, skutkach, a także winnych naruszenia ochrony danych osobowych
i czy naruszenie ochrony danych osobowych było wynikiem przestępstwa
oraz wnioski określające zakres działań technicznych i organizacyjnych niezbędnych
do podjęcia w celu zapobieżenia w przyszłości naruszeniu ochrony danych
osobowych.
7) Raport, o którym mowa w ust. 6, Administrator Bezpieczeństwa niezwłocznie
przekazuje Administratorowi Danych.
8) Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu
Administrator Bezpieczeństwa zasięga niezbędnych opinii i proponuje postępowanie
naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych
z zabezpieczeń oraz terminu wznowienia przetwarzania danych.
§ 12
Powierzenie i udostępnienie posiadanych w zbiorze danych osobowych
1. Administrator Danych Osobowych może powierzyć innemu podmiotowi, w drodze
umowy zawartej na piśmie, przetwarzanie danych osobowych. Treść umowy
powierzenia musi obejmować co najmniej:
a) zakres i cel przetwarzania danych osobowych,
b) zobowiązanie podmiotu, któremu powierza się dane, do zastosowania środków
zabezpieczających dane osobowe, o których mowa w art. 36 – 39 ustawy,
c) oświadczenie o spełnieniu wymagań , o których mowa w art. 39a ustawy,
Dane osobowe przetwarzane mogą być wyłącznie w zakresie i celu przewidzianym
w umowie.
2. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić
wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności
takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek
podmiotu uprawnionego.
§ 13
Postanowienia końcowe
1. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną
wynikającą z art. 49 – 54a ustawy o ochronie danych osobowych.
2. W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie
przepisy ustawy o ochronie danych osobowych oraz rozporządzenie
Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych.
Załącznik Nr 1
Nr ewidencyjny: ..............................................
do POLITYKI BEZPIECZEŃSTWA
UPOWAŻNIENIE
do przetwarzania danych osobowych
I.
Upoważniam Panią/Pana ..............................................................................................................
(imię i nazwisko)
zatrudnioną/zatrudnionego w .......................................................................................................
.......................................................................................................................................................
(nazwa komórki organizacyjnej)
do przetwarzania danych osobowych, w celach związanych z wykonywaniem obowiązków
na stanowisku: ..............................................................................................................................
(zajmowane stanowisko)
oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład.
Niniejsze upoważnienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej
(kartoteki, ewidencje, rejestry, spisy itp.*) i elektronicznej, tj.
.......................................................................................................................................................
......................................................................................................................................................,
(zakres danych osobowych)
zgodnie z wykazem zbiorów podanych w pkt. II.
II.
Upoważniam Panią/Pana do przetwarzania danych osobowych zawartych w następujących
zbiorach: (proszę wpisać zgodnie z wykazem obowiązujących nazw zbiorów danych osobowych przetwarzanych w ZSZiO Kartuzy
oraz podać zakres upoważnienia i identyfikator w zbiorze)
1..................................................................................................................................................................
2..................................................................................................................................................................
3..................................................................................................................................................................
Upoważnienie jest udzielane na czas trwania zatrudnienia.
III.
Równocześnie zobowiązuję Panią/Pana do zachowania w tajemnicy wszelkich informacji
dotyczących przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
Informuję, że udostępnianie danych osobowych lub umożliwianie dostępu do nich osobie
nieuprawnionej podlega karze grzywnie, karze ograniczenia wolności do lat dwóch.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Administratora Danych Osobowych)
OŚWIADCZENIE PRACOWNIKA
IV.
Ja niżej podpisana (ny) oświadczam, iż:
1. Zostałam (em) przeszkolona (ny) w zakresie ochrony danych osobowych i znana jest mi treść
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych t.j. Dz. U. z 2014 r.
poz. 1182 z późn. zm.) oraz „Polityką bezpieczeństwa przetwarzania danych osobowych
w ZSZiO w Kartuzach” i wydanej na jej podstawie „Instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach”.
2. Zobowiązuję się:
zachować w tajemnicy dane osobowe, z którymi zetknęłam się / zetknąłem się* w trakcie
wykonywania swoich obowiązków służbowych, zarówno w czasie trwania stosunku pracy,
jak i po jego ustaniu;
chronić dane osobowe przed dostępem do nich osób do tego nieupoważnionych, zabezpieczać je
przed zniszczeniem i nielegalnym ujawnieniem.
3. Znana jest mi odpowiedzialność karna za naruszenie ww. ustawy (art. 49-54).
.....................................................................
(data, podpis pracownika)
Załącznik Nr 1a
...................................................
/imię i nazwisko pracownika/
ZAKRES CZYNNOŚCI PRACOWNIKA
ZATRUDNIONEGO PRZY PRZETWARZANIU
DANYCH OSOBOWYCH
I. Obowiązki pracownika
Pracownik dopuszczony do przetwarzania danych osobowych zobowiązany jest do:
1. Zapoznania się i wypełniania obowiązków wynikających z:
 przepisów ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych
(Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz przepisów wykonawczych wydanych
na jej podstawie,
 przepisów Konwencji oraz Dyrektyw dotyczących ochrony danych osobowych,
w tym Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady z dnia
24 października 1995r. w sprawie ochrony danych osób fizycznych w zakresie
przetwarzania danych osobowych i swobodnego przepływu tych danych.
2. Kontrolowania dostępu do danych osobowych.
3. Zachowania w tajemnicy danych oraz sposobu ich zabezpieczania do których uzyskał
dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia.
4. Zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę
przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem,
nielegalnym ujawnieniem lub pozyskaniem.
II. Odpowiedzialność pracownika
Za niedopełnienie obowiązków wynikających z niniejszego aneksu pracownik ponosi
odpowiedzialność na podstawie przepisów Regulaminu pracy, Kodeksu pracy
oraz ustawy o ochronie danych osobowych.
Oświadczam, że treść niniejszego zakresu
jest mi znana i zobowiązuję się
do jego przestrzegania.
………………………………
/podpis pracownika/
……………………………
/podpis pracodawcy/
Załącznik Nr 2
...................................................
(pieczątka szkoły)
UPOWAŻNIENIE
Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r.
Nr 100, poz. 1024 z późn. zm.)
upoważniam Pana / Panią ............................................................................................................
do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół
Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy
z 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.)
oraz aktów wykonawczych wydanych na jej podstawie.
Do obowiązków Pana / Pani będzie należało wdrożenie i nadzór nad prawidłową realizacją
Polityki bezpieczeństwa obowiązującej w ZSZiO, w szczególności nadzorowanie,
kontrolowanie i koordynowanie:
 stosowania środków technicznych i przedsięwzięć organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii tych
danych;
 zasad zabezpieczenia danych osobowych przed udostępnieniem osobom
nieupoważnionym lub zabraniem przez osobę nieuprawnioną, utratą, zmianą,
uszkodzeniem lub zniszczeniem;
 przetwarzania danych osobowych zgodnie z przepisami prawa;
 opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych
oraz zastosowane środki techniczne służące ich zabezpieczeniu;
 definiowania użytkowników i haseł dostępu;
 nadawania, modyfikacji i odbierania uprawnień użytkownikom w systemie
informatycznym;
 wykonywania obowiązków użytkowników;
 zgłoszeń rejestracyjnych oraz aktualizacyjnych zbiorów danych osobowych zawierających
dane wrażliwe;
 czynności realizowanych przez Zastępcę Administratora Bezpieczeństwa Informacji
i Administratora Systemu Informatycznego;
 czynności realizowanych w wyniku postępowań administracyjnych prowadzonych
przez Generalnego Inspektora ochrony danych osobowych;
 wyjaśniania i dokumentowania przypadków naruszania zasad bezpieczeństwa
przetwarzania i ochrony danych osobowych (sporządzanie raportów);
 wdrażania szkoleń z zakresu przepisów dotyczących ochrony danych osobowych
oraz środków technicznych i organizacyjnych przy przetwarzaniu danych
w systemach informatycznych.
Wykonując swoje czynności realizuje Pan / Pani zadania w imieniu Administratora Danych
Osobowych i posiada uprawnienie oraz upoważnienie do:
 wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych
mających na celu zapewnienie skutecznej ochrony danych osobowych,
 kontrolowania umów i porozumień z osobami oraz podmiotami zewnętrznymi mającymi
przetwarzać dane osobowe znajdujące się w szkole, lub którymi takie przetwarzanie
ma zostać powierzone,
 decydowania o pozbawieniu lub ograniczeniu zakresu przetwarzania danych osobowych
i uprawnień nadanych w systemie informatycznym dla użytkowników, którzy powodują
zagrożenia bezpieczeństwa i ochrony danych osobowych,
 przechowywania hasła do serwera;
 udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie
prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego
z przepisami prawa,
 zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania
zagrożeń dla bezpieczeństwa i ochrony danych osobowych,
 szkolenia pracowników z zakresu ochrony danych osobowych oraz bezpieczeństwa
informacji;
 kontrolowania pracowników poprzez audyty związane z bezpieczeństwem informacji
oraz ochroną danych osobowych.
W razie nieobecności Administratora Bezpieczeństwa Informacji zadania wykonuje Zastępca
Administratora Bezpieczeństwa Informacji.
Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych
i Ogólnokształcących w Kartuzach.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Administratora
Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO,
ustawę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane
na podstawie art. 39a do wyżej wymienionej ustawy.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Administratora Bezpieczeństwa Informacji)
Załącznik Nr 2a
...................................................
UPOWAŻNIENIE
do wykonywania zadań Zastępcy Administratora Bezpieczeństwa Informacji
w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów
ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182
z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie.
Pełniąc funkcję Zastępcy Administratora Bezpieczeństwa Informacji obowiązkiem Pana /
Pani jest:
 nadzór nad wykonywanymi obowiązkami użytkowników;
 nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których
przetwarzane są dane osobowe;
 przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są
dane osobowe;
 współpraca z Administratorem Systemu Informatycznego;
 nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością;
 w ramach współpracy z Administratorem Systemu Informatycznego podejmowanie
decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego
do przetwarzania danych osobowych;
 nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych
zawierających dane osobowe;
 nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem;
 aktualizowanie dokumentacji przetwarzania danych osobowych;
 współudział w czynnościach związanych z rejestracją zbiorów danych osobowych
zawierających dane wrażliwe i zgłaszaniem zmian w zarejestrowanych zbiorach danych
osobowych;
 pomoc Administratorowi Bezpieczeństwa Informacji w dokumentowaniu przypadków
naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych;
 inne obowiązki przewidziane w ustawie o ochronie danych osobowych,
a nie wymienione w Polityce bezpieczeństwa.
Wykonując swoje czynności realizuje Pan / Pani zadania w imieniu Administratora Danych
Osobowych i posiada uprawnienie oraz upoważnienie do:
 udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych
w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego
z przepisami prawa,
 zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania
zagrożeń dla bezpieczeństwa i ochrony danych osobowych.
W razie nieobecności Zastępcy Administratora Bezpieczeństwa Informacji zadania wykonuje
Administrator Bezpieczeństwa Informacji.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Zastępcy Administratora
Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO,
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Zastępcy Administratora Bezpieczeństwa Informacji)
Załącznik Nr 3
...................................................
UPOWAŻNIENIE
do wykonywania zadań Administratora Systemu Informatycznego w Zespole Szkół
Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy
z 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182
z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie.
Obowiązkiem Pana / Pani jest:
na zasadach określonych w „Instrukcji zarządzania systemem informatycznym służącym
do przetwarzania danych osobowych”;
 przekazanie ABI identyfikatora i hasła dostępu do serwera;
 kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną;
 regularne
tworzenie
kopii
zapasowych
zasobów
danych
osobowych
oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności
wykonania kopii zapasowych;
 wykonywanie
lub
nadzór
nad
wykonywaniem
okresowych
przeglądów
i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych,
aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane
osobowe;
 współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów informatycznych;
aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania
haseł zabezpieczających informację;
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Administratora Systemu
Informatycznego w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO,
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Administratora Systemu Informatycznego)
Załącznik Nr 4
Ewidencja osób upoważnionych do przetwarzania danych osobowych,
zgodnie z art. 39, pkt. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych
Dz. U. z 2014 r. poz. 1182 z późn. zm.
Lp.
1.
2.
3.
4.
5.
6.
7.
Imię i nazwisko
osoby upoważnionej
Stanowisko
Data nadania
Data ustania
Zakres upoważnienia
do przetwarzania danych
osobowych
Nazwa programu
oraz
identyfikator
w systemie
informatycznym
Załącznik Nr 5
WYKAZ POMIESZCZEŃ,
w których przetwarzane są dane osobowe
Lp. Pomieszczenie, w którym
są przetwarzane dane osobowe
Nazwa zbioru przetwarzanych danych
1.
Sekretariat
Archiwum
Ewidencja uczniów
Kandydaci do szkoły
Wykaz uczniów do matury i egzaminów
potwierdzających kwalifikacje zawodowe
Ewidencja zasobów szkoły
Rejestr korespondencji
2.
Księgowość i Kadry
Płace
Finansowo – Księgowy
Przelewy
Pracownicy
Emeryci
Kandydaci do pracy
3.
Administracja
Ewidencja sprzętu komputerowego
i oprogramowania
Płatnik
Zamówienia publiczne
Badania BHP i PPOŻ
4.
Gabinet Wicedyrektorów
Arkusz organizacyjny
Plan lekcji
Arkusze ocen
Ewidencja wyników maturalnych
i gimnazjalnych uczniów
5.
Gabinet Dyrektora
Rejestr upoważnień
6.
Doradca zawodowy
Losy absolwentów
7.
Kierownik szkolenia praktycznego
Ewidencja wyników egzaminów
zawodowych absolwentów
Pracodawcy
8.
Pedagog szkolny
Informacje o uczniach i ich sytuacji
rodzinnej, wychowawczej, profilaktycznej
i opiekuńczej
9.
Czytelnia i biblioteka
Ewidencja księgozbioru i uczniów
Załącznik Nr 6
WYKAZ ZBIORÓW DANYCH OSOBOWYCH
wraz ze wskazaniem programów
zastosowanych do przetwarzania danych
Sposób przetwarzania
Lp.
Nazwa zbioru danych osobowych
Tradycyjny
W systemie
informatycznym
(nazwa programu)
1.
Archiwum
X
2.
Ewidencja uczniów
X
Sekretariat Optivum,
3.
Wykaz uczniów do matury i egzaminów
potwierdzających kwalifikacje
zawodowe
X
Program Hermes
4.
X
SIO
5.
Płace
6.
7.
Przelewy
8.
Pracownicy
X
9.
Kandydaci do pracy
X
10.
Ewidencja sprzętu komputerowego
i oprogramowania
X
11.
Płatnik
12.
Zamówienia Publiczne
X
13.
Badania BHP i PPOŻ
X
14.
15.
Plan lekcji
X
16.
Arkusze ocen
X
17.
Ewidencja
wyników
i gimnazjalnych uczniów
Płace Optivum
Faktury Optivum
Księgowość Optivum
Przelewy iPKO
Kadry Optivum,
Płatnik
Arkusz Optivum
maturalnych
X
LIBRUS
Analizator matur
PROGMAN
18.
Dziennik elektroniczny
LIBRUS (on-line)
19.
X
20.
Losy absolwentów
X
21.
Ewidencja
wyników
egzaminów
zawodowych absolwentów
X
22.
Pracodawcy
X
23.
Informacje o uczniach i ich sytuacji
rodzinnej, wychowawczej,
profilaktycznej i opiekuńczej
X
24.
Ewidencja księgozbioru i uczniów
25.
X
26.
Emeryci
X
27.
X
MOL Optivum
Załącznik Nr 7
OPIS STRUKTURY ZBIORÓW DANYCH
wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
Lp.
Nazwa zbioru danych
osobowych
Struktura zbioru
1.
Archiwum
Nazwisko i imię, imiona rodziców,
data urodzenia, miejsce
zamieszkania, data przyjęcia do
pracy, stanowisko, wykształcenie,
sposób nawiązania stosunku pracy,
sposób rozwiązania stosunku
pracy, data zwolnienia
2.
Ewidencja uczniów
adres zamieszkania, data i miejsce
urodzenia, PESEL, wykształcenie,
numer telefonu, miejsce pracy
3.
Wykaz uczniów
do matury i egzaminów
potwierdzających
kwalifikacje zawodowe
Imiona i nazwisko, PESEL
4.
Ewidencja zasobów
szkoły
Informacje o uczniach: imiona
i nazwisko, PESEL, data i miejsce
urodzenia, adres zamieszkania,
wykształcenie; informacje
o nauczycielach: imiona
i nazwisko, PESEL, data i miejsce
miejsce zatrudnienia,
wykształcenie, zawód,
wynagrodzenie
5.
Płace
Nazwiska i imiona, data i miejsce
PESEL, NIP, miejsce pracy,
zawód, kwota składników
wynagrodzenia i składek
6.
Nazwiska i imiona, adres
zamieszkania, NIP
7.
Przelewy
Nazwiska, imiona, adresy
zamieszkania, nazwa, nr konta
bankowego kontrahentów, NIP,
REGON, nr telefonu
Powiązania między
polami
informacyjnymi
8.
Pracownicy
data urodzenia, miejsce
zamieszkania, numer i seria
dowodu osobistego, data
urodzenia dzieci pracownika, imię
i nazwisko, adres i telefon osoby,
którą należy powiadomić
o wypadku pracownika, data
przyjęcia do pracy, wykształcenie,
dotychczasowe zatrudnienie,
stanowisko, sposób nawiązania
stosunku pracy, sposób
rozwiązania stosunku pracy, data
zwolnienia
9.
Kandydaci do pracy
Imię i nazwisko, imiona rodziców,
data i miejsce urodzenia, adres
zamieszkania, miejsce pracy,
zawód, wykształcenie, znajomość
języków, posiadane prawo jazdy,
zainteresowania
10.
Ewidencja sprzętu
komputerowego
i oprogramowania
Imię i nazwisko, numery seryjne
i ewidencyjne urządzeń, nazwy
urządzeń i oprogramowania
11.
Płatnik
Nazwiska i imiona, data
PESEL, NIP, miejsce pracy,
kwota składników wynagrodzenia
i składek
12.
Zamówienia publiczne
Nazwisko i imię, nazwa firmy,
adres firmy, nr telefonu
13.
Badania BHP i POPŻ
Nazwisko i imię, nazwa firmy,
adres firmy, nr telefonu
14.
Imię i nazwisko, płeć, PESEL,
data rodzenia, dane płacowe,
stanowisko, wykształcenie, forma
zatrudnienia
15.
Plan lekcji
Imię i nazwisko
16.
Arkusze ocen
Imiona i nazwisko, data i miejsce
urodzenia, PESEL, imiona i
nazwiska rodziców oraz ich adresy
zamieszkania, data opuszczenia
szkoły, przyczyna opuszczenia,
oceny, osiągnięcia. frekwencja
Powiązanie danych
użytkownika
konkretnymi
urządzeniami oraz
oprogramowaniem
oraz ich numerami
seryjnymi
i ewidencyjnymi.
17.
Ewidencja wyników
maturalnych i gimnazjalnych uczniów
Imiona i nazwisko, PESEL,
wyniki egzaminu maturalnego
i gimnazjalnego
18.
Dziennik elektroniczny
Imiona i nazwisko, imiona
i nazwiska rodziców / opiekunów,
data i miejsce urodzenia, miejsce
zamieszkania, PESEL, płeć,
tel. kontaktowy, osiągnięcia
edukacyjne, frekwencja
19.
Imię i nazwisko, stanowisko
20.
Losy absolwentów
Imię i nazwisko absolwenta,
nazwa uczelni i kierunek studiów,
informacje o zatrudnieniu (zakład
pracy, branża, rodzaj stosunku
pracy)
21.
Ewidencja wyników
egzaminów
zawodowych
absolwentów
Imiona i nazwisko, PESEL, data
i miejsce urodzenia, wyniki
egzaminu zawodowego
22.
Pracodawcy
Nazwa, adres siedziby, NIP
23.
Informacje o uczniach
i ich sytuacji rodzinnej,
wychowawczej,
profilaktycznej
i opiekuńczej
Imiona i nazwisko, data i miejsce
urodzenia uczniów, adresy
zamieszkania, informacje
o dysfunkcjach uczniów
i ich niepełnosprawności, choroby,
struktura rodziny, dane nt.
zatrudnienia rodziców uczniów,
nazwy i adresy instytucji
24.
Ewidencja
księgozbioru
i uczniów
Imię i nazwisko
25.
Nazwisko i imię, adres
zamieszkania, imiona rodziców,
data i miejsce urodzenia, PESEL,
wykształcenie, miejsce pracy,
nr telefonu
26.
Emeryci
Nazwisko i imię, PESEL, data
i miejsce urodzenia, adres
zamieszkania, dochód
27.
Nazwisko i imię, adres
zamieszkania, miejsce pracy,
nazwa i adres firmy
Załącznik Nr 8
SPOSÓB PRZEPŁYWU DANYCH OSOBOWYCH
pomiędzy poszczególnymi systemami
Lp.
Nazwa zbioru
Sposób przepływu danych pomiędzy
poszczególnymi systemami
1.
System Kadry – System Płace
Baza systemu Płace jest otwierana w trybie
tylko do odczytu w systemie Płace
2.
System Płace – Płatnik
Eksport danych z systemu Płace w postaci
pliku zapisanego w formie KDU
do programu Płatnik
3.
System Hermes – OKE
Program szyfruje i pakuje dane tworząc plik
z rozszerzeniem XML, CSV, po czym plik
przesyłany jest do OKE
4.
System SIO – Starostwo Powiatowe
System wykorzystuje wygenerowane dane
z dostępnych systemów, szyfruje i pakuje
dane tworząc plik z rozszerzeniem .exp –
plik przesyłany jest do Starostwa
Powiatowego w Kartuzach
Załącznik Nr 9
RAPORT
POKONTROLNY
z ochrony danych osobowych
w Zespole Szkół Zawodowych i Ogólnokształcących
w Kartuzach
Miejsce (obszar) kontroli: …………………..
Termin wykonania kontroli: ……...........
Osoba(y) kontrolowana(e): …………………….
…………………….
…………………….
Godzina rozpoczęcia: ……........
Godzina zakończenia: …………
Kontrolerzy: ……………………
……………………
Podstawa kontroli (zaznacz właściwe)
 - planowa kontrola,
 - kontrola specjalna,
Zakres
 - kontrola sprawdzająca
Uchybienie / spostrzeżenie /
(U1, U2, U3 … lub S1, S2, S3 …)
Przesłanki legalności przetwarzania
danych osobowych zwykłych
i wrażliwych
Zakres i cel przetwarzania danych
Merytoryczna poprawność danych
i ich adekwatność do celu przetwarzania
Obowiązek informacyjny (art. 24)
dane osobowe zbierane od osoby,
której dotyczą
Obowiązek informacyjny (art. 25)
dane osobowe zbierane nie od osoby,
której dotyczą
Zgłoszenie zbioru do rejestracji
Przekazywanie danych do państwa
trzeciego
Powierzenie przetwarzania danych
Zabezpieczenia organizacyjne
Zabezpieczenia fizyczne
Zabezpieczenia infrastruktury
informatycznej
(informatycznej i telekomunikacyjnej)
Zabezpieczenia infrastruktury
informatycznej (baz i aplikacji
z danymi osobowymi)
Wymagania dla systemów
przetwarzających dane osobowe
Zabezpieczenia osobowe
Kontrolowany
…………………
Kontroler
………………..
Załącznik Nr 10
SPRAWOZDANIE
- roczny raport
z ochrony danych osobowych
w Kartuzach
Uczestnicy przeglądu:
Termin przeprowadzenia przeglądu:
Zagadnienia omawiane na przeglądzie:
Komentarze / uwagi
Podsumowanie realizacji zadań
z poprzedniego przeglądu
Omówienie wyników kontroli
przeprowadzonych (w okresie od ostatniego
przeglądu)
Omówienie zarejestrowanych incydentów
oraz ilości i powodów ich wystąpienia
(w okresie od ostatniego przeglądu)
Omówienie najważniejszych działań
korygujących i zapobiegawczych
(zrealizowanych i w trakcie realizacji)
Proponowane zadania do realizacji (do oceny
na kolejnym przeglądzie)
Podpisy uczestników przeglądu ……………………….
………………………..
………………………..
………………………..
Załącznik Nr 11
RAPORT
z naruszenia bezpieczeństwa systemu informatycznego
w Kartuzach
1. Data………………………………….
Godzina…………………………………
/dd.mm.rr./
2. Osoba powiadamiająca o zaistniałym zdarzeniu:
…………………………………………………………………………………………………...
/imię, nazwisko, stanowisko służbowe, nazwa użytkownika – jeśli występuje/
3. Lokalizacja zdarzenia:
…………………………………………………………………………………………………...
/np. nr pokoju, nazwa pomieszczenia/
4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
5. Podjęte działania:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
6. Przyczyny wystąpienia zdarzenia:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
7. Postępowanie wyjaśniające:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
……..……..………………………………………………
/data, podpis Administratora Bezpieczeństwa Informacji/
Załącznik nr 2
z dnia 01.06.2015r.
INSTRUKCJA
ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
służącym do przetwarzania danych osobowych
Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych
osobowych w ZSZiO w Kartuzach zwana dalej ,,Instrukcja zarządzania” określa i zawiera:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2) metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
5) sposób, miejsce oraz okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
7) zasady i sposób odnotowania w systemie informacji: komu, kiedy i w jakim zakresie dane
osobowe ze zbiorów zostały udostępnione,
8) procedury wykonania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
§1
Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym, wskazanie osoby odpowiedzialnej za te czynności.
A. Procedura nadawania uprawnień do przetwarzania danych
1. Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych,
może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania
danych osobowych, stanowiące Załącznik nr 1 do ,, Polityki bezpieczeństwa”.
2. Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem
przechowywane są w teczkach akt osobowych pracowników.
3. Upoważnienie powinno mieć charakter imienny i określać dozwolony okres
i zakres przetwarzania danych. Upoważnienia mogą być wydawane bezterminowo
lub na czas określony.
4. Upoważnienie do przetwarzania danych osobowych każdemu użytkownikowi
nadaje dyrektor.
5. Każdy użytkownik systemu informatycznego, który przetwarza dane osobowe,
posiada niepowtarzalny identyfikator. Identyfikator, a także hasło początkowe ustala
Administrator Bezpieczeństwa Informacji.
6. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu
użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie.
7. W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych
w systemie informatycznym identyfikator takiej osoby należy niezwłocznie
wyrejestrować z systemu, unieważnić jej hasło oraz podjąć inne stosowne działania
w celu zapobieżenia dalszemu dostępowi tej osoby do danych. Za realizację procedury
rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym
odpowiedzialny jest Administrator Systemu Informatycznego.
8. Na podstawie wydanych upoważnień Administrator Danych Osobowych, tj. drektor
prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
Wzór ewidencji stanowi Załącznik Nr 4 do ,,Polityki bezpieczeństwa przetwarzania
danych osobowych w ZSZiO w Kartuzach”.
9. Wydane upoważnienia dyrektor przekazuje Administratorowi Bezpieczeństwa
Informacji.
10. Administrator Bezpieczeństwa Informacji bada poprawność przekazanych
dokumentów oraz:
a) w przypadku braku uwag przekazuje je Administratorowi Systemu Informatycznego,
w celu nadania uprawnień użytkownikowi w systemie informatycznym,
b) w przypadku uwag przekazuje dokumenty z odpowiednią adnotacją dyrektorowi
od którego je otrzymał. Czynności te powtarza się do czasu uzyskania akceptacji.
B. Rejestrowanie uprawnień do przetwarzania danych
1. Administrator Systemu Informatycznego odpowiednio, zgodnie z przekazanymi
dokumentami rejestruje użytkownika w systemie i nadaje mu określone uprawnienia.
2. O zarejestrowaniu użytkownika w systemie informatycznym Administrator
Bezpieczeństwa Informacji informuje dyrektora.
3. Użytkownik systemu informatycznego w obecności Administratora Systemu
uwierzytelnia się w systemie informatycznym.
4. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć
miejsce wyłącznie po:
a) podaniu właściwego hasła dostępu do stanowiska komputerowego,
b) podaniu identyfikatora użytkownika i właściwego hasła w aplikacji.
§2
Metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem
i użytkowaniem.
C. Metody i środki uwierzytelnienia
1. W systemie informatycznym stosuje się uwierzytelnienia dwustopniowe, na poziomie:
a) dostępu do stanowiska komputerowego,
b) dostępu do aplikacji,
2. Do uwierzytelnienia użytkownika w systemie informatycznym stosuje się hasła.
3. Wskazane jest, aby hasło dostępu składało się co najmniej z 8 znaków, zawierało małe
i duże litery oraz cyfry i znaki specjalne.
4. Hasła nie powinny być powszechnie używanymi słowami. W szczególności nie należy
jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych
samochodów, numerów telefonów.
5. Hasło nie może być ujawnione. Należy utrzymywać je w tajemnicy, również
po upływie jego ważności.
6. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona,
użytkownik zobowiązany jest do natychmiastowej zmiany hasła.
D. Procedury zarządzania środkami uwierzytelnienia
1. Administrator Systemu Informatycznego nadaje hasło dostępu do aplikacji dla nowego
użytkownika albo dla użytkownika, który zapomniał swojego hasła.
2. Administrator Systemu Informatycznego zapisuje swój identyfikator i hasło dostępu
do serwera i przekazuje je w kopercie Administratorowi Bezpieczeństwa Informacji.
Koperta zostaje zabezpieczona w sposób uniemożliwiający jej nieuważne otwarcie.
Administrator Bezpieczeństwa Informacji przechowuje kopertę w sejfie znajdującym
się w sekretariacie.
§3
Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym.
E. Procedura rozpoczęcia pracy
1. Uruchomić komputer wchodzący w skład systemu informatycznego i zalogować się
podając swój identyfikator i hasło dostępu.
2. Uruchomić aplikację, podając następnie swój identyfikator i hasło dostępu
do aplikacji.
3. Rozpocząć pracę.
F. Procedura zawieszenia pracy w systemie informatycznym
1. W trakcie pracy, przy każdorazowym opuszczeniu stanowiska komputerowego należy
dopilnować, aby na ekranie nie były wyświetlone dane osobowe.
2. Przy opuszczeniu pokoju należy włączyć wygaszacz ekranu lub zablokować
komputer.
G. Procedura zakończenia pracy w systemie informatycznym
1. Zamknąć aplikację.
2. Zamknąć system informatyczny.
3. Wyłączyć monitor i drukarkę.
§4
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania.
1. Kopie zapasowe zbiorów danych osobowych wykonywane są za pomocą
specjalistycznego programu archiwizującego.
2. Oprócz kopii bezpieczeństwa wykonuje się kopie zapasowe na nośnikach wymiennych.
3. Administrator Systemu Informatycznego sprawuje nadzór nad wykonaniem kopii
zapasowych oraz weryfikuje ich poprawność.
4. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności
do odtworzenia w przypadku awarii systemu.
5. Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć
w sposób uniemożliwiający odczyt danych.
§5
Sposób, miejsce oraz okres przechowywania elektronicznych nośników informacji
zawierających dane osobowe i kopii zapasowych.
H. Elektroniczne nośniki informacji
1. Kopie zapasowe wykonywane są na płytach CD lub innych elektronicznych nośnikach
informacji. Nośniki informacji zawierające kopie przechowuje się w sposób
uniemożliwiający nieuprawnione przejęcie.
2. Dane osobowe w postaci elektronicznej nie mogą być wynoszone poza siedzibę
szkoły.
3. Po zakończeniu pracy przez użytkowników systemu informatycznego, wymienne
nośniki informacji są zamykane w szafach biurowych.
4. Dane osobowe w postaci elektronicznej należy usunąć z nośnika informacji w sposób
uniemożliwiający ich ponowne odtworzenie.
5. W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe należy
fizycznie zniszczyć nośnik przez spalenie lub rozdrobnienie.
6. Dyski twarde z danymi osobowymi należy niszczyć zgodnie z obowiązującymi
przepisami dotyczącymi gospodarki środkami trwałymi oraz wartościami
niematerialnymi.
I. Kopie zapasowe
1. Kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi
programowych zastosowanych do przetwarzania danych należy przechowywać
w szafie pancernej lub sejfie.
2. Dostęp do szafy pancernej i sejfu mają tylko upoważnieni pracownicy.
J. Wydruki
1. Wydruki zawierające dane osobowe należy przechowywać w pokojach stanowiących
obszar przetwarzania danych osobowych.
2. Wydruki, zawierające dane osobowe należy zniszczyć w niszczarce
po ich wykorzystaniu, chyba że z odrębnych przepisów wynika obowiązek
ich przechowywania.
K. Dane wyjściowe z systemu informatycznego
1. Dane osobowe zapisane w formie papierowej innej niż wydruki są przechowywane
na podobnych zasadach, co wydruki.
2. Formularze zgody z podpisami osób, których dotyczą dane przetwarzane w systemie
informatycznym przechowywane są w sposób uniemożliwiający ich utratę.
§6
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
L. Ochrona antywirusowa
1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony
wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk
komputerowych.
2. Wirusy komputerowe mogą pojawić się w systemach szkoły poprzez: Internet, nośniki
informacji, takie jak: płyty CD, pendrive’y, dyski przenośne, itp.
3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest
poprzez zainstalowanie oprogramowania antywirusowego.
4. Za ochronę antywirusową odpowiada Administrator Systemu Informatycznego.
5. Czynności związane z ochroną antywirusową systemu wykonuje Administrator
Systemu, wykorzystując w trakcie pracy systemu moduł programu antywirusowego
w aktualnej wersji, sprawdzającego na bieżąco zasoby systemu informatycznego.
6. Użytkownik systemu informatycznego na stanowisku komputerowym importujący
dane osobowe do systemu jest odpowiedzialny za sprawdzenie tych danych pod kątem
możliwości występowania wirusów.
7. Zabrania się użytkownikom komputerów wyłączania, blokowania, odinstalowywania
programów zabezpieczających komputer przed oprogramowaniem złośliwym
oraz nieautoryzowanym dostępem.
M. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej
1.
2.
Administrator Systemu Informatycznego jest odpowiedzialny za aktywowanie
i poprawne konfigurowanie specjalistycznego oprogramowania monitorującego
wymianę danych na styku:
a) sieci lokalnej i rozległej,
b) stanowiska
komputerowego
użytkownika
systemu
informatycznego
i pozostałych urządzeń wchodzących w skład sieci lokalnej.
Użytkownicy systemu obowiązani są do utrzymania stałej aktywności
zainstalowanego na ich stanowiskach komputerowych specjalistycznego
oprogramowania monitorującego wymianę danych na styku tego stanowiska i sieci
lokalnej.
§7
Udostępnianie danych osobowych oraz zasady i sposób odnotowywania informacji
o udostępnieniu danych.
1. Udostępnianie danych osobowych instytucjom i osobom spoza szkoły może odbywać się
wyłącznie za pośrednictwem Administratora Bezpieczeństwa Informacji i na pisemny
uzasadniony wniosek lub zgodnie z przepisami prawa (OKE, CKE, Urząd Gminy,
Powiat Kartuski, itp.).
2. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych
danych osobowych oraz wskazywać ich zakres i przeznaczenie.
3. Odbiorcą danych jest każdy, komu udostępnia się dane, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby użytkownika systemu lub innej osoby upoważnionej do przetwarzania danych
osobowych w szkole,
c) podmiotu, któremu powierzono przetwarzanie danych.
§8
Procedury wykonywania przeglądów i konserwacji systemów
oraz nośników informacji służących do przetwarzania danych.
informatycznych
N. Przeglądy i konserwacja urządzeń
1. O przeprowadzonych przeglądach i konserwacjach systemu w każdym przypadku
informowany jest Administrator Bezpieczeństwa Informacji i Zastępca Administratora
Bezpieczeństwa Informacji.
2. Przeglądy i konserwacje urządzeń wchodzących w skład systemu informatycznego
powinny być wykonane w terminach określonych przez producenta sprzętu.
3. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie
usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości
należy zawiadomić Administratora Bezpieczeństwa Informacji i Zastępcę
Administratora Bezpieczeństwa Informacji.
4. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy
przebieg odpowiada Administrator Systemu Informatycznego.
O. Przegląd programów i narzędzi programowych
1. Przegląd programów i narzędzi programowych przeprowadzany jest w następujących
przypadkach:
a) zmiany wersji oprogramowania serwera plików,
b) zmiany wersji oprogramowania stanowiska komputerowego użytkownika systemu
informatycznego,
c) zmiany systemu operacyjnego serwera plików,
d) zmiany systemu operacyjnego stanowiska komputerowego użytkownika systemu
informatycznego,
e) wykonania zmian w projekcie systemu informatycznego spowodowanych
koniecznością naprawy, konserwacji lub modyfikacji systemu informatycznego,
2. Przed dokonaniem zmian w systemie informatycznym należy dokonać przeglądu
działania systemu w zmienionej konfiguracji w warunkach testowych na testowej
bazie danych. Sprawdzenie powinno obejmować:
a) poprawność logowania się do systemu w zależności od posiadanych uprawnień,
b) poprawność działania wszystkich elementów aplikacji,
c) poprawność funkcjonalną systemu informatycznego symulując działania
wszystkich grup użytkowników wykonując następujące operacje:
 wprowadzenie danych osobowych,
 edytowanie danych osobowych,
 wyszukiwanie danych osobowych,
 wydruku danych osobowych.
3. Przegląd przeprowadza Administrator Systemu Informatycznego.
4. Za prawidłowość przeprowadzania przeglądów i konserwacji systemu
informatycznego odpowiada Administrator Systemu Informatycznego.
P. Konserwacja oprogramowania
1. Konserwację oprogramowania przeprowadza się po zgłoszeniu przez użytkownika
systemu informatycznego takiej potrzeby.
2. Konserwację oprogramowania przeprowadza się także po zgłoszeniu przez
użytkownika systemu informatycznego potrzeby wprowadzenia zmian pozwalających
utrzymać funkcjonalność systemu.
3. Konserwacje przeprowadza Administrator Systemu Informatycznego.
Załącznik nr 3
z dnia 01.06.2015r.
Zakres zadań oraz uprawnienia i upoważnienia
Administratora Bezpieczeństwa Informacji
I. Administrator Bezpieczeństwa Informacji – zwany dalej ABI wykonuje zadania
w zakresie niniejszego zarządzenia oraz upoważnień i pełnomocnictw nadanych
przez Administratora Danych Osobowych.
II. Celem działania ABI jest nadzorowanie i kontrolowanie przestrzegania zasad
bezpieczeństwa i ochrony danych osobowych przetwarzanych w ZSZiO w Kartuzach.
III. Zadaniem ABI jest realizacja przedsięwzięć określonych w art. 36a ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r.
poz. 1182 z późn. zm.) oraz zarządzeniach Administratora Danych Osobowych,
a w szczególności nadzorowanie, kontrolowanie i koordynowanie:
 stosowania środków technicznych i przedsięwzięć organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
tych danych;
 zasad zabezpieczenia danych osobowych przed udostępnieniem osobom
nieupoważnionym lub zabraniem przez osobę nieuprawnioną, utratą, zmianą,
uszkodzeniem lub zniszczeniem;
 przetwarzania danych osobowych zgodnie z przepisami prawa;
 opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych
oraz zastosowane środki techniczne służące ich zabezpieczeniu;
 definiowania użytkowników i haseł dostępu;
 nadawania, modyfikacji i odbierania uprawnień użytkownikom w systemie
informatycznym;
 wykonywania obowiązków użytkowników;
 zgłoszeń rejestracyjnych oraz aktualizacyjnych zbiorów danych osobowych
zawierających dane wrażliwe;
 czynności realizowanych przez Zastępcę Administratora Bezpieczeństwa Informacji
i Administratora Systemu Informatycznego;
 czynności realizowanych w wyniku postępowań administracyjnych prowadzonych
przez Generalnego Inspektora ochrony danych osobowych;
 wyjaśniania i dokumentowania przypadków naruszania zasad bezpieczeństwa
przetwarzania i ochrony danych osobowych (sporządzanie raportów);
 wdrażania szkoleń z zakresu przepisów dotyczących ochrony danych osobowych
oraz środków technicznych i organizacyjnych przy przetwarzaniu danych
w systemach informatycznych.
IV. Wykonując swoje czynności Administrator Bezpieczeństwa Informacji realizuje zadania
w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie
do:
 kontrolowania umów i porozumień z osobami oraz podmiotami zewnętrznymi
mającymi przetwarzać dane osobowe znajdujące się w szkole, lub którymi takie
przetwarzanie ma zostać powierzone,
 decydowania o pozbawieniu lub ograniczeniu zakresu przetwarzania danych
osobowych i uprawnień nadanych w systemie informatycznym dla użytkowników,
którzy powodują zagrożenia bezpieczeństwa i ochrony danych osobowych,
 przechowywania hasła do serwera,
w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu
zgodnego z przepisami prawa,
 zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności
powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych,
 szkolenia pracowników z zakresu ochrony danych osobowych oraz bezpieczeństwa
informacji;
 kontrolowania pracowników poprzez audyty związane z bezpieczeństwem informacji
oraz ochroną danych osobowych.
Załącznik nr 4
z dnia 01.06.2015r.
Zakres zadań oraz uprawnienia i upoważnienia
Zastępcy Administratora Bezpieczeństwa Informacji
I. Zastępca Administratora Bezpieczeństwa Informacji – zwany dalej Zastępca ABI
wykonuje zadania w zakresie niniejszego zarządzenia oraz upoważnień i pełnomocnictw
nadanych przez Administratora Danych Osobowych.
II. Celem działania Zastępcy ABI jest nadzorowanie i kontrolowanie przestrzegania zasad
bezpieczeństwa i ochrony danych osobowych przetwarzanych w ZSZiO w Kartuzach.
III. Zadaniem Zastępcy ABI jest realizacja przedsięwzięć określonych w art. 36a ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r.
poz. 1182 z późn. zm.) oraz zarządzeniach Administratora Danych Osobowych,
a w szczególności:
 nadzór nad wykonywanymi obowiązkami użytkowników;
 nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których
przetwarzane są dane osobowe;
 przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane
są dane osobowe;
 współpraca z Administratorem Systemu Informatycznego;
 nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością;
 w ramach współpracy z Administratorem Systemu Informatycznego podejmowanie
decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego
do przetwarzania danych osobowych;
 nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych
zawierających dane osobowe;
 nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem;
 aktualizowanie dokumentacji przetwarzania danych osobowych;
 współudział w czynnościach związanych z rejestracją zbiorów danych osobowych
zawierających dane wrażliwe i zgłaszaniem zmian w zarejestrowanych zbiorach
danych osobowych;
 pomoc Administratorowi Bezpieczeństwa Informacji w dokumentowaniu przypadków
naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych;
 inne obowiązki przewidziane w ustawie o ochronie danych osobowych,
a nie wymienione w niniejszym zarządzeniu.
IV. Wykonując swoje czynności Zastępca ABI realizuje zadania w imieniu Administratora
Danych Osobowych i posiada uprawnienie oraz upoważnienie do:
w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu
zgodnego z przepisami prawa,
 zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności
powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych.
Załącznik nr 5
z dnia 01.06.2015r.
Zakres zadań oraz uprawnienia
Administratora Systemu Informatycznego
I. Administrator Systemu Informatycznego – zwany dalej ASI wykonuje zadania w zakresie
niniejszego zarządzenia oraz upoważnienia nadanego przez Administratora Danych
Osobowych.
II. Celem działania ASI jest nadzorowanie i realizowanie zasad bezpieczeństwa i ochrony
danych osobowych systemu informatyczego ZSZiO w Kartuzach.
III. Zadaniem ASI jest nadzór i kontrola realizacji przedsięwzięć określonych w art. 36 ust. 1
i w art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz w rozporządzeniu Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.).
IV. ASI, realizując swoje zadania współpracuje z Administratorem Bezpieczeństwa
Informacji (ABI) i Zastępcą Administratora Bezpieczeństwa Informacji (Zastępca ABI)
w ZSZiO w Kartuzach. Do szczegółowych zadań ASI zaliczyć można:
na zasadach określonych w „Instrukcji zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych”;
 przekazanie ABI identyfikatora i hasła dostępu do serwera;
 kontrola przepływu informacji pomiędzy systemem informatycznym a siecią
publiczną;
 regularne
tworzenie
kopii
zapasowych
zasobów
danych
osobowych
oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie
poprawności wykonania kopii zapasowych;
 wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów
i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów
informatycznych, aplikacji oraz elektronicznych nośników informacji, na których
zapisane są dane osobowe;
 współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów
informatycznych;
aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów
generowania haseł zabezpieczających informację;
V. ASI posiada uprawnienia dostępu do systemu informatycznego ZSZiO w Kartuzach,
umożliwiające mu realizację zadań określonych w niniejszym zarządzeniu.

plik w formacie

Transkrypt

Podobne dokumenty

Administrator sieci

REGULAMIN OCHRONY DANYCH OSOBOWYCH PUBLICZNEGO

Program szkolenia

Rozporządzenie Ministra Spraw Wewnętrznych i

Informacja o szkoleniu oferta

Regulamin Ochrony Danych Osobowych od 01092013

Przykładowy wzór Wystąpienia GIODO – dotyczy zastosowanych

Załącznik Nr 2 do Zarządzenia Nr 694/15