plik w formacie
Transkrypt
plik w formacie
ZARZĄDZENIE Nr 24/2014/2015 DYREKTORA ZESPOŁU SZKÓŁ ZAWODOWYCH I OGÓLNOKSZTAŁCĄCYCH W KARTUZACH z dnia 01.06.2015r. w sprawie: wprowadzenia dokumentacji przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach oraz powołania Administratora Bezpieczeństwa Informacji, Zastępcy Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.) zarządza się, co następuje: §1 Wprowadza się do użytku służbowego: 1. Politykę bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 1 do niniejszego zarządzenia. 2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 2 do niniejszego zarządzenia. §2 Wyznacza się Panią Teresę Riegel na Administratora Bezpieczeństwa Informacji, Panią Renatę Szyca na Zastępcę Administratora Bezpieczeństwa Informacji oraz Pana Sebastiana Wrońskiego na Administratora Systemu Informatycznego. §3 Ustala się zakresy zadań Administratora Bezpieczeństwa Informacji, Zastępcy Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego, w brzmieniu załącznika nr 3, nr 4 i nr 5 do niniejszego zarządzenia. §4 Zobowiązuje się wszystkich pracowników do zapoznania się z treścią zarządzenia. §5 Tracą moc Załączniki nr 1 i 2 do Zarządzenia Nr 33/2012/2013 Dyrektora Zespołu Szkół Zawodowych i Ogólnokształcących w Kartuzach z dnia 20.08.2013 r. §6 Zarządzenie wchodzi w życie z dniem podpisania. ………………………………. (podpis) Do wiadomości i stosowania: ......................................................... ......................................................... ......................................................... ......................................................... ......................................................... Załącznik nr 1 do zarządzenia nr 24/14/15 Dyrektora ZSZiO w Kartuzach z dnia 01.06.2015r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach §1 Postanowienia ogólne 1. Polityka bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach zwana dalej ,,Polityką bezpieczeństwa” określa tryb i zasady ochrony danych osobowych przetwarzanych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. 2. Ilekroć w Polityce bezpieczeństwa jest mowa o: 1) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 1) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, 2) danych osobowych - w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 3) zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedury przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrażanie i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 8) ZSZiO – rozumie się przez to Zespół Szkół Zawodowych i Ogólnokształcących w Kartuzach, 9) dyrektorze – rozumie się przez Dyrektora ZSZiO w Kartuzach, 10) administratorze danych osobowych – rozumie się przez to dyrektora szkoły, 3. 4. 5. 6. 11) administratorze bezpieczeństwa informacji – rozumie się przez to osobę wyznaczoną przez administratora danych do nadzoru przestrzegania zasad ochrony danych osobowych oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych, 12) zastępcy administratora bezpieczeństwa informacji – rozumie się przez to osobę wyznaczoną przez administratora danych wspomagającą ABI w nadzorze przestrzegania zasad ochrony, 13) administratorze systemu informatycznego – rozumie się przez to osobę wyznaczoną przez administratora danych odpowiedzialnego za funkcjonowanie systemu informatycznego, 14) użytkowniku – rozumie się przez to użytkownika systemu, pracownika ZSZiO upoważnionego przez administratora danych do przetwarzania danych osobowych, 15) identyfikatorze użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 16) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 17) uwierzytelnieniu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 18) integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 19) raporcie – rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 20) poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępnione nieupoważnionym podmiotom. Polityka bezpieczeństwa zawiera: 1) zasady ochrony dostępu do danych osobowych, 2) kontrolę zabezpieczenia danych osobowych w systemie informatycznym, 3) tryb postępowania w sytuacji naruszenia ochrony danych osobowych, 4) wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, 5) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 6) opis struktury zbiorów danych wskazujących zawartości poszczególnych pól informatycznych i powiązania między nimi, 7) sposób przepływu danych pomiędzy poszczególnymi systemami, 8) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem do: a systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem; b informacji zgromadzonych, przetwarzanych w formie tradycyjnej. Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności przetwarzanych danych. Pod szczególną ochroną pozostają wrażliwe dane osobowe wymienione w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sadowym lub administracyjnym dopuszczalne jest tylko w związku z realizacją celów statutowych ZSZiO i w granicach wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 7. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator Danych Osobowych (ADO), tj. dyrektor. 8. Dyrektor ZSZiO w Kartuzach jako administrator danych świadomy wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających szkole swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklaruje: 1) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, 2) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w ZSZiO w zakresie problematyki bezpieczeństwa tych danych, 3) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby, 4) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. 9. Dyrektor ZSZiO w Kartuzach jako administrator danych, świadomy zagrożeń związanych z przetwarzaniem danych osobowych na dużą skalę, zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych. Deklaruje, że szkoła będzie stale doskonaliła i rozwijała organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi, jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom. 10. Dyrektor ZSZiO w Kartuzach realizując Politykę bezpieczeństwa dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 11. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w ZSZiO odnosi się do danych osobowych przetwarzanych w zbiorach danych: 1) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych. 12. Dane osobowe w ZSZiO są gromadzone, przechowywane, edytowane, archiwizowane w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO na dokumentach papierowych, jak również w systemach informatycznych na elektronicznych nośnikach informacji. 13. Do informacji przechowywanych w systemach informatycznych jak i dokumentów tradycyjnych mają dostęp jedynie upoważnieni pracownicy oraz osoby mające imienne zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania tych danych w tajemnicy. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom. Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu korzystania z usług systemów informatycznych. 14. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe, są chronione przed zagrożeniami, a w szczególności przed udostępnieniem danych osobom nieupoważnionym odpowiednimi środkami informatycznymi, technicznymi i organizacyjnymi. Środki te są systematycznie unowocześniane. W szczególności zapewnia się aktualizacje informatycznych środków ochrony danych osobowych pozwalające na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych. Opracowane procedury określają obowiązki użytkownika zbiorów tradycyjnych oraz zasady korzystania z systemów informatycznych. 15. W ramach realizacji Polityki bezpieczeństwa w zakresie ochrony danych osobowych sprawuje się kontrole i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno w szczególności na: 1) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod, 2) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych osobowych i/lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których anonimizowane dane dotyczą. Osoby przetwarzające dane osobowe mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych i/lub ich zbiorów. 16. Dla skutecznej realizacji Polityki Administrator Danych Osobowych zapewnia: 1) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne; 2) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony; 3) kontrolę i nadzór nad przetwarzaniem danych osobowych; 4) monitorowanie zastosowanych środków ochrony; 5) ciągłe śledzenie zmieniających się zagrożeń wewnętrznych i zewnętrznych, także uwzględnianie zmieniającego się prawa; 6) kontrolę i nadzór nad przetwarzaniem danych osobowych przez podmioty trzecie, którym dane zostały udostępnione lub powierzone. 17. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych. Polityka bezpieczeństwa określa przetwarzanie danych osobowych przez pracowników ZSZiO, a w szczególności Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji, Zastępcę Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego. §2 Administracja i organizacja bezpieczeństwa A. Obowiązki Administratora Danych Osobowych 1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych osobowych odpowiada Administrator Danych Osobowych. 2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 3. Administrator Danych Osobowych dąży do systematycznego unowocześniania stosowanych na terenie szkoły informatycznych, technicznych i organizacyjnych środków ochrony tych danych w celu zabezpieczenia danych osobowych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów o ochronie danych osobowych, nieautoryzowaną zmianą, uszkodzeniem lub zniszczeniem. 4. Administrator Danych Osobowych gromadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. 5. Każdej osobie zatrudnionej przy przetwarzaniu danych osobowych i obsługującej zbiory informatyczne nadaje upoważnienie do przetwarzania danych osobowych, stanowiące Załącznik nr 1 do „Polityki bezpieczeństwa”. 6. Wydane upoważnienia rejestruje w ewidencji osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać: a) imię, nazwisko i stanowisko osoby upoważnionej, b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także nazwę programu (aplikacji) i identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 4 do niniejszej „Polityki bezpieczeństwa”. 7. Odpowiada za to by zakres czynności osoby zatrudnionej przy przetwarzaniu danych osobowych, którego wzór stanowi Załącznik nr 1a do niniejszego dokumentu, określał odpowiedzialność tej osoby za: a) ochronę danych przed niepowołanym dostępem, b) nieuzasadnioną modyfikację lub zniszczenie danych, c) nielegalne ujawnienie danych, w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych osobowych. 8. Wyznacza osoby, zwanymi dalej Administratorem Bezpieczeństwa Informacji i Zastępcą Administratora Bezpieczeństwa Informacji, nadzorującymi i kontrolującymi przestrzegania zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w szkole. Imienne upoważnienia udzielane są w formie pisemnej i stanowią odpowiednio Załącznik nr 2 i Załącznik nr 2a do „Polityki bezpieczeństwa”. 9. Dodatkowo, wyznacza Administratora Systemu Informatycznego odpowiedzialnego za funkcjonowanie systemu informatycznego, wydając upoważnienie stanowiące Załącznik nr 3 do niniejszego dokumentu. 10. Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego (Załącznik nr 5). B. Obowiązki Administratora Bezpieczeństwa Informacji 1. Dyrektor szkoły jako Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji (ABI), nadzorującego przestrzeganie zasad ochrony danych osobowych. 2. Upoważnienie wraz ze szczegółowym zakresem obowiązków stanowi Załącznik nr 2 do niniejszego dokumentu. 3. Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: 1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, 2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych, 3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 4. Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych osobowych. C. Obowiązki Zastępcy Administratora Bezpieczeństwa Informacji 1. Dyrektor szkoły jako Administrator Danych Osobowych powołuje Zastępcę Administratora Bezpieczeństwa Informacji (Zastępca ABI), nadzorującego również przestrzeganie zasad ochrony danych osobowych. 2. Zastępca ABI, podobnie jak ABI, odpowiedzialny jest za bezpieczeństwo danych osobowych przetwarzanych w ZSZiO w Kartuzach. 3. Upoważnienie wraz ze szczegółowym zakresem obowiązków stanowi Załącznik nr 2a do niniejszej „Polityki bezpieczeństwa”. D. Obowiązki Administratora Systemu Informatycznego Obowiązkiem Administratora Systemu Informatycznego (zgodnie z Załącznikiem nr 3) jest: zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe; rejestrowanie użytkownikom uprawnień dostępu do systemu informatycznego na zasadach określonych w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; zaznajomienie użytkowników z procedurami ustalania i zmiany haseł dostępu; odbieranie użytkownikom dostępu do systemu informatycznego na polecenie Administratora Bezpieczeństwa Informacji; naprawa, konserwacja oraz likwidacja urządzeń komputerowych i nośników informatycznych zawierających dane osobowe; kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną; aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te wykonywane są automatycznie; regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych; wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe; współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów informatycznych; konsultacje, udzielanie wsparcia Zastępcy ABI w podejmowaniu decyzji i instalacji aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania haseł zabezpieczających informację; odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego, jego sprawność techniczną i używanie zgodnie z przeznaczeniem. E. Obowiązki użytkowników 1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z następującymi dokumentami: a) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. po. 1182 z późn. zm.), b) rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024 z późn. zm.), c) niniejszą „Polityką bezpieczeństwa” i „Instrukcją zarządzania systemem informatycznym”. 2. Zapoznanie się z powyższymi dokumentami użytkownik systemu potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi pkt IV Załącznika nr 1. 3. Do obowiązków użytkowników w zakresie ochrony danych osobowych należy w szczególności: przestrzeganie opracowanych zasad przetwarzania danych osobowych; przestrzeganie opracowanych procedur operacyjnych i bezpieczeństwa; udostępnianie danych osobowych wyłącznie osobom upoważnionym lub uprawnionym do ich uzyskania; uniemożliwianie dostępu lub podglądu danych osobowych dla osób nieupoważnionych; informowanie Administratora Bezpieczeństwa Informacji o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych; wykonywanie bez zbędnej zwłoki poleceń ABI i Zastępcy ABI w zakresie ochrony danych osobowych, jeśli są one zgodne z przepisami prawa powszechnie obowiązującego. Imienny zakres czynności przy przetwarzaniu danych osobowych, stanowiący Załącznik nr 1a, otrzymuje każdy pracownik ZSZiO w Kartuzach. §3 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 1. 2. 3. Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach, skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO w postaci dokumentów papierowych. Do przetwarzania zbiorów danych osobowych w systemie informatycznym ZSZiO, stosowane są pakiety biurowe lub specjalizowane aplikacje (programy). Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych stanowi Załącznik nr 6 do ,,Polityki bezpieczeństwa”. §4 Opis struktury zbiorów wskazujący zawartości poszczególnych pól informacyjnych i powiązania między nimi stanowi Załącznik nr 7 do ,,Polityki bezpieczeństwa”. §5 Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami 1. 2. 3. Obieg dokumentów zawierających dane osobowe pomiędzy komórkami organizacyjnymi ZSZiO winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (informacji). Przekazywanie informacji (danych) w systemie informatycznym poza sieć lokalną ZSZiO, w miarę możliwości, powinno odbywać się w sposób szyfrowany. Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami stanowi Załącznik nr 8 do ,, Polityki bezpieczeństwa”. §6 Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych A. Środki ochrony fizycznej. Budynek Zespołu Szkół przy ul. Wzgórze Wolności 3 Zawodowych i Ogólnokształcących w Kartuzach 1. Dostęp do budynku, w którym zlokalizowany jest obszar przetwarzania danych osobowych nadzorowany jest przez monitoring poza godzinami pracy szkoły. 2. Budynek, w którym znajduje się obszar przetwarzania danych osobowych, dodatkowo zabezpieczony jest elektronicznym systemem antywłamaniowym oraz wydzielonym systemem przeciwpożarowym. 3. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi. Pracownicy zobowiązania są zamykać pomieszczenia na czas ich nieobecności. 4. Zastosowano szafy pancerne i metalowe do przechowywania kopii zapasowych i wymiennych nośników danych. B. Środki sprzętowe, informatyczne i telekomunikacyjne. Budynek Zespołu Szkół Zawodowych i Ogólnokształcących przy ul. Wzgórze Wolności 3 1. Zastosowano niszczarki dokumentów. w Kartuzach 2. Serwer podłączony jest do zasilacza UPS, zastosowanego na wypadek zaniku napięcia albo awarii w sieci zasilającej. 3. Zastosowano sieć lokalną Ethernet. 4. Dane są przetwarzane w sposób scentralizowany i zdecentralizowany. 5. Sieć lokalna podłączona jest do Internetu za pomocą sprzętowego urządzenia ( modem ADSL, serwer z mechanizmem NAT). 6. Kopie awaryjne wykonywane są na zewnętrznych nośnikach danych całościowo. C. Środki ochrony w ramach oprogramowania urządzeń teletransmisji. 1. Zastosowano sprzętowy oraz programowy firewall. 2. Wszystkie komputery chronione są programem antywirusowym działającym w tle. Uaktualnienie baz wirusowych następuje automatycznie każdego dnia bezpośrednio po uruchomieniu komputera. 3. Sprzętowy firewall chroniony jest hasłem dostępu. D. Środki ochrony w ramach oprogramowania systemu. 1. Dostęp do plików baz danych osobowych zastrzeżony jest wyłącznie dla Administratora Systemu Informatycznego. 2. System informatyczny pozwala zdefiniować odpowiednie prawa do zasobów informatycznych systemu. 3. Na komputerach użytkowników zastosowano program antywirusowy. E. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych. 1. Automatycznie rejestrowany jest identyfikator użytkownika wprowadzającego dane. 2. Dla każdego użytkownika systemu ustalony jest odrębny identyfikator. F. Środki ochrony w ramach systemu użytkowego. 1. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika. 2. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem. G. Środki organizacyjne. 1. Wyznaczono Administratora Bezpieczeństwa Informacji i Zastępcę Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego. 2. Tymczasowe wydruki z danymi osobowymi są niszczone po ustaniu ich przydatności. 3. Korespondencja z osobami współpracującymi z ZSZiO prowadzona jest pocztą priorytetową i zapisywana w dzienniku podawczym. 4. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania tajemnicy. 5. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowanie o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemach informatycznych. 6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. 7. Ustalono instrukcję zarządzania systemem informatycznym. 8. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. 9. W przypadku, gdy zachodzi konieczność naprawy sprzętu poza szkołą, należy wymontować z niego nośniki zawierające dane osobowe. 10. W przypadku, gdy uszkodzenie elementu sprzętu zawierającego nośnik informacji, na którym zapisane są dane osobowe, np. dysk twardy, wymaga przekazania sprzętu poza budynek, nośniki te wymontowuje się, a następnie niszczy. §7 Zasady ochrony dostępu do danych osobowych 1. Przetwarzanie danych osobowych pracowników, uczniów i ich rodziców służy realizacji zadań szkoły. 2. Przetwarzanie danych osobowych może odbywać się zarówno w systemie informatycznym, jak i w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. 3. Dane osobowe przetwarza się w pomieszczeniach tworzących obszar przetwarzania danych osobowych określony w Załączniku nr 5 do niniejszego dokumentu. 4. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w którym znajdują się zbiory danych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. Zamknięcie na czas nieobecności uniemożliwia dostęp osób nieuprawnionych. 5. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Dostęp do pokoi jest kontrolowany za pomocą monitoringu wizyjnego. 6. Przebywanie wewnątrz obszaru, w którym są przetwarzane dane osobowe z użyciem stacjonarnego sprzętu komputerowego osób nieupoważnionych jest możliwe tylko w obecności użytkownika i za zgodą Administratora Bezpieczeństwa Informacji. 7. Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w ,,Instrukcji zarządzania systemem informatycznym w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach” stanowiącej Załącznik Nr 2 do zarządzenia. 8. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne, obowiązują przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów służbowych. 9. Osoby zatrudnione przetwarzające dane osobowe każdego rodzaju, niezależnie od systemu przetwarzania, są zobowiązane przestrzegać następujące zasady: a) mogą przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez Administratora Danych Osobowych w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych; b) muszą zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji; c) zapoznają się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; d) stosują określone procedury oraz wytyczne mające na celu zgodne z prawem przetwarzanie danych; e) korzystają z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników; f) zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym. §8 Szkolenia w zakresie ochrony danych osobowych 1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać przeszkolony przez Administratora Bezpieczeństwa Informacji. Szkolenie powinno obejmować następujące zagadnienia: 1) Przepisy o ochronie danych osobowych. 2) Zasady przetwarzania danych osobowych. 3) Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach informatycznych. 4) Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych. 5) Zagrożenia, na jakie może być narażone przetwarzanie danych osobowych, a w szczególności te związane z przetwarzaniem danych osobowych w systemach informatycznych. 6) Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe. 7) Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego. 8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych. 2. Szkolenia powinny być powtarzane okresowo lub na żądanie, gdy zaistnieje taka potrzeba. §9 Kontrola przestrzegania zasad zabezpieczenia danych osobowych 1. Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa Informacji sprawują nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w niniejszym dokumencie. 2. Kontroli podlegają: system informatyczny przetwarzający dane osobowe, zabezpieczenia fizyczne, zabezpieczenia organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu faktycznego z wymaganiami ustawy o ochronie danych osobowych. 3. Administrator Bezpieczeństwa sporządza roczny plan kontroli zatwierdzony przez dyrektora i zgodnie z nim przeprowadza kontrole. Kontrola powinna odbyć się co najmniej raz w roku. 4. Po dokonanej kontroli przeprowadzający kontrolę (ABI) dokonuje oceny stanu bezpieczeństwa danych osobowych, po czym przygotowuje i przekazuje raport pokontrolny sporządzony zgodnie z wzorem, stanowiącym Załącznik nr 9 do niniejszej Polityki bezpieczeństwa, Administratorowi Danych Osobowych. Na jego podstawie ABI inicjuje działania korygujące lub zapobiegawcze. 5. Na podstawie zgromadzonych materiałów, o których mowa w ust. 4, Administrator Bezpieczeństwa sporządza roczne sprawozdanie ze stanu funkcjonowania systemu ochrony danych osobowych i przedstawia Administratorowi Danych Osobowych (Dyrektorowi ZSZiO w Kartuzach). Sprawozdanie przygotowuje się zgodnie z wzorem stanowiącym Załącznik nr 10. § 10 Kontrola zabezpieczenia danych osobowych w systemie informatycznym 1. Codzienną kontrolę zabezpieczenia danych w systemie informatycznym sprawuje użytkownik. 2. Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa Informacji prowadzą bieżący nadzór nad przestrzeganiem przez użytkowników zasad ochrony danych osobowych oraz sprawuje kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu przekazane. § 11 Tryb postępowania w sytuacji naruszenia ochrony danych osobowych 1. Za naruszenie ochrony danych osobowych uważa się w szczególności: 1) próbę lub fakt nieuprawnionego dostępu do zbioru danych osobowych lub obszaru, w którym są one przetwarzane, 2) sytuację, w której skutkiem jest: a) brak możliwości fizycznego dostępu do danych np. z powodu zgubienia klucza do pomieszczenia lub mebli biurowych, w których przechowywane są dokumenty zawierające przetwarzane dane osobowe, zniszczenia lub kradzieży urządzeń służących do przechowywania danych osobowych, w tym elektronicznych nośników informacji, b) brak dostępu do zawartości zbioru danych, np. zbiór istnieje, lecz nie ma możliwości przetwarzania danych osobowych, c) zmieniono zawartość zbioru, np. niepoprawna treść, postać, data, różnica w danych, d) różnica funkcjonowania systemu, a w szczególności wyświetlania komunikatów i informacji o błędach oraz nieprawidłowościach w wykonywaniu operacji. 3) zniszczenie lub próby zniszczenia w sposób nieautoryzowany danych ze zbioru danych systemowych, 4) zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach archiwalnych, 5) nieskuteczne zniszczenie nośników informacji zawierających dane osobowe umożliwiające ponowny ich odczyt przez osoby nieuprawnione, 6) nieuprawnioną zmianę elementów systemu informatycznego służących do przetwarzania danych w szczególności urządzeń, procedur i oprogramowania. 2. W przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych, dyrektor lub użytkownik zobowiązany jest do: 1) określenia, w miarę możliwości charakteru zaistniałej sytuacji (kradzież, wirus komputerowy), 2) niezwłocznego zawiadomienia o zaistniałej sytuacji Administratora Bezpieczeństwa lub Zastępcy Administratora Bezpieczeństwa oraz Administratora Systemu, 3) zabezpieczenia, w zależności od sytuacji dostępu do pomieszczenia i urządzenia służącego do przetwarzania danych osobowych a także dowodów zdarzenia przed zniszczeniem, 4) powstrzymania się od pracy w systemie informatycznym oraz w przypadku podejrzenia infekcji wirusowej natychmiastowego wyłączenia urządzenia przetwarzającego dane, 5) podjęcie działań stosownie do zaistniałej sytuacji, które zapobiegną ewentualnej utracie danych osobowych, 6) sporządzeniu notatki służbowej z dokonanych ustaleń oraz podjętych działań i przekazania jej osobom wymienionym w pkt 2. 3. W sytuacji, o której mowa w ust. 2, Administrator Bezpieczeństwa, przy pomocy Zastępy Administratora Bezpieczeństwa, zobowiązany jest do: 1) oceny sytuacji uwzględniając stan pomieszczenia, w którym przetwarzane są dane osobowe, stan urządzenia oprogramowania i zbioru oraz identyfikacji zakresu ewentualnych negatywnych następstw ochrony danych osobowych, 2) podjęcia działań mających na celu ustalenia sprawcy, miejsca, czasu i sposobu dokonania naruszenia ochrony danych osobowych, 3) podjęcia decyzji w sprawie ewentualnego odizolowania odpowiednich części systemu, dokonania przeglądu i kontroli zabezpieczeń wszystkich pozostałych elementów sytemu, 4) podjęcia działań mających na celu przywrócenie prawidłowego stanu zbiorom danych osobowych i elementów systemu informatycznego, w tym zabezpieczenia, 5) podjęcia decyzji co do dalszego postępowania, w tym dotyczącej przetwarzania danych osobowych w systemie informatycznym, 6) sporządzenie notatki służbowej, tzw. raportu z dokonanych ustaleń oraz podjętych działań. Raport, stanowiący Załącznik nr 11, powinien zawierać informacje o przyczynach, skutkach, a także winnych naruszenia ochrony danych osobowych i czy naruszenie ochrony danych osobowych było wynikiem przestępstwa oraz wnioski określające zakres działań technicznych i organizacyjnych niezbędnych do podjęcia w celu zapobieżenia w przyszłości naruszeniu ochrony danych osobowych. 7) Raport, o którym mowa w ust. 6, Administrator Bezpieczeństwa niezwłocznie przekazuje Administratorowi Danych. 8) Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu Administrator Bezpieczeństwa zasięga niezbędnych opinii i proponuje postępowanie naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych. § 12 Powierzenie i udostępnienie posiadanych w zbiorze danych osobowych 1. Administrator Danych Osobowych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Treść umowy powierzenia musi obejmować co najmniej: a) zakres i cel przetwarzania danych osobowych, b) zobowiązanie podmiotu, któremu powierza się dane, do zastosowania środków zabezpieczających dane osobowe, o których mowa w art. 36 – 39 ustawy, c) oświadczenie o spełnieniu wymagań , o których mowa w art. 39a ustawy, Dane osobowe przetwarzane mogą być wyłącznie w zakresie i celu przewidzianym w umowie. 2. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego. § 13 Postanowienia końcowe 1. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z art. 49 – 54a ustawy o ochronie danych osobowych. 2. W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Załącznik Nr 1 Nr ewidencyjny: .............................................. do POLITYKI BEZPIECZEŃSTWA UPOWAŻNIENIE do przetwarzania danych osobowych I. Upoważniam Panią/Pana .............................................................................................................. (imię i nazwisko) zatrudnioną/zatrudnionego w ....................................................................................................... ....................................................................................................................................................... (nazwa komórki organizacyjnej) do przetwarzania danych osobowych, w celach związanych z wykonywaniem obowiązków na stanowisku: .............................................................................................................................. (zajmowane stanowisko) oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład. Niniejsze upoważnienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej (kartoteki, ewidencje, rejestry, spisy itp.*) i elektronicznej, tj. ....................................................................................................................................................... ......................................................................................................................................................, (zakres danych osobowych) zgodnie z wykazem zbiorów podanych w pkt. II. II. Upoważniam Panią/Pana do przetwarzania danych osobowych zawartych w następujących zbiorach: (proszę wpisać zgodnie z wykazem obowiązujących nazw zbiorów danych osobowych przetwarzanych w ZSZiO Kartuzy oraz podać zakres upoważnienia i identyfikator w zbiorze) 1.................................................................................................................................................................. 2.................................................................................................................................................................. 3.................................................................................................................................................................. Upoważnienie jest udzielane na czas trwania zatrudnienia. III. Równocześnie zobowiązuję Panią/Pana do zachowania w tajemnicy wszelkich informacji dotyczących przetwarzania danych osobowych oraz sposobu ich zabezpieczenia. Informuję, że udostępnianie danych osobowych lub umożliwianie dostępu do nich osobie nieuprawnionej podlega karze grzywnie, karze ograniczenia wolności do lat dwóch. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) OŚWIADCZENIE PRACOWNIKA IV. Ja niżej podpisana (ny) oświadczam, iż: 1. Zostałam (em) przeszkolona (ny) w zakresie ochrony danych osobowych i znana jest mi treść ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych t.j. Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz „Polityką bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach” i wydanej na jej podstawie „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach”. 2. Zobowiązuję się: zachować w tajemnicy dane osobowe, z którymi zetknęłam się / zetknąłem się* w trakcie wykonywania swoich obowiązków służbowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu; chronić dane osobowe przed dostępem do nich osób do tego nieupoważnionych, zabezpieczać je przed zniszczeniem i nielegalnym ujawnieniem. 3. Znana jest mi odpowiedzialność karna za naruszenie ww. ustawy (art. 49-54). ..................................................................... (data, podpis pracownika) Załącznik Nr 1a ................................................... do POLITYKI BEZPIECZEŃSTWA /imię i nazwisko pracownika/ ZAKRES CZYNNOŚCI PRACOWNIKA ZATRUDNIONEGO PRZY PRZETWARZANIU DANYCH OSOBOWYCH I. Obowiązki pracownika Pracownik dopuszczony do przetwarzania danych osobowych zobowiązany jest do: 1. Zapoznania się i wypełniania obowiązków wynikających z: przepisów ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz przepisów wykonawczych wydanych na jej podstawie, przepisów Konwencji oraz Dyrektyw dotyczących ochrony danych osobowych, w tym Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. 2. Kontrolowania dostępu do danych osobowych. 3. Zachowania w tajemnicy danych oraz sposobu ich zabezpieczania do których uzyskał dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia. 4. Zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. II. Odpowiedzialność pracownika Za niedopełnienie obowiązków wynikających z niniejszego aneksu pracownik ponosi odpowiedzialność na podstawie przepisów Regulaminu pracy, Kodeksu pracy oraz ustawy o ochronie danych osobowych. Oświadczam, że treść niniejszego zakresu jest mi znana i zobowiązuję się do jego przestrzegania. ……………………………… /podpis pracownika/ …………………………… /podpis pracodawcy/ Załącznik Nr 2 do POLITYKI BEZPIECZEŃSTWA ................................................... (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.) upoważniam Pana / Panią ............................................................................................................ do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie. Do obowiązków Pana / Pani będzie należało wdrożenie i nadzór nad prawidłową realizacją Polityki bezpieczeństwa obowiązującej w ZSZiO, w szczególności nadzorowanie, kontrolowanie i koordynowanie: stosowania środków technicznych i przedsięwzięć organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii tych danych; zasad zabezpieczenia danych osobowych przed udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem; przetwarzania danych osobowych zgodnie z przepisami prawa; opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne służące ich zabezpieczeniu; definiowania użytkowników i haseł dostępu; nadawania, modyfikacji i odbierania uprawnień użytkownikom w systemie informatycznym; wykonywania obowiązków użytkowników; zgłoszeń rejestracyjnych oraz aktualizacyjnych zbiorów danych osobowych zawierających dane wrażliwe; czynności realizowanych przez Zastępcę Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego; czynności realizowanych w wyniku postępowań administracyjnych prowadzonych przez Generalnego Inspektora ochrony danych osobowych; wyjaśniania i dokumentowania przypadków naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych (sporządzanie raportów); wdrażania szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych. Wykonując swoje czynności realizuje Pan / Pani zadania w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie do: wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych osobowych, kontrolowania umów i porozumień z osobami oraz podmiotami zewnętrznymi mającymi przetwarzać dane osobowe znajdujące się w szkole, lub którymi takie przetwarzanie ma zostać powierzone, decydowania o pozbawieniu lub ograniczeniu zakresu przetwarzania danych osobowych i uprawnień nadanych w systemie informatycznym dla użytkowników, którzy powodują zagrożenia bezpieczeństwa i ochrony danych osobowych, przechowywania hasła do serwera; udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego z przepisami prawa, zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych, szkolenia pracowników z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji; kontrolowania pracowników poprzez audyty związane z bezpieczeństwem informacji oraz ochroną danych osobowych. W razie nieobecności Administratora Bezpieczeństwa Informacji zadania wykonuje Zastępca Administratora Bezpieczeństwa Informacji. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Administratora Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO, ustawę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane na podstawie art. 39a do wyżej wymienionej ustawy. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Bezpieczeństwa Informacji) Załącznik Nr 2a do POLITYKI BEZPIECZEŃSTWA ................................................... (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.) upoważniam Pana / Panią ............................................................................................................ do wykonywania zadań Zastępcy Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie. Pełniąc funkcję Zastępcy Administratora Bezpieczeństwa Informacji obowiązkiem Pana / Pani jest: nadzór nad wykonywanymi obowiązkami użytkowników; nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe; przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; współpraca z Administratorem Systemu Informatycznego; nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością; w ramach współpracy z Administratorem Systemu Informatycznego podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych; nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe; nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem; aktualizowanie dokumentacji przetwarzania danych osobowych; współudział w czynnościach związanych z rejestracją zbiorów danych osobowych zawierających dane wrażliwe i zgłaszaniem zmian w zarejestrowanych zbiorach danych osobowych; pomoc Administratorowi Bezpieczeństwa Informacji w dokumentowaniu przypadków naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych; inne obowiązki przewidziane w ustawie o ochronie danych osobowych, a nie wymienione w Polityce bezpieczeństwa. Wykonując swoje czynności realizuje Pan / Pani zadania w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie do: wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych osobowych, udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego z przepisami prawa, zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych. W razie nieobecności Zastępcy Administratora Bezpieczeństwa Informacji zadania wykonuje Administrator Bezpieczeństwa Informacji. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Zastępcy Administratora Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO, ustawę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane na podstawie art. 39a do wyżej wymienionej ustawy. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Zastępcy Administratora Bezpieczeństwa Informacji) Załącznik Nr 3 do POLITYKI BEZPIECZEŃSTWA ................................................... (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.) upoważniam Pana / Panią ............................................................................................................ do wykonywania zadań Administratora Systemu Informatycznego w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie. Obowiązkiem Pana / Pani jest: zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe; rejestrowanie użytkownikom uprawnień dostępu do systemu informatycznego na zasadach określonych w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; zaznajomienie użytkowników z procedurami ustalania i zmiany haseł dostępu; odbieranie użytkownikom dostępu do systemu informatycznego na polecenie Administratora Bezpieczeństwa Informacji; przekazanie ABI identyfikatora i hasła dostępu do serwera; naprawa, konserwacja oraz likwidacja urządzeń komputerowych i nośników informatycznych zawierających dane osobowe; kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną; aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te wykonywane są automatycznie; regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych; wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe; współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów informatycznych; konsultacje, udzielanie wsparcia Zastępcy ABI w podejmowaniu decyzji i instalacji aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania haseł zabezpieczających informację; odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego, jego sprawność techniczną i używanie zgodnie z przeznaczeniem. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Administratora Systemu Informatycznego w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO, ustawę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane na podstawie art. 39a do wyżej wymienionej ustawy. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Systemu Informatycznego) Załącznik Nr 4 do POLITYKI BEZPIECZEŃSTWA Ewidencja osób upoważnionych do przetwarzania danych osobowych, zgodnie z art. 39, pkt. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych Dz. U. z 2014 r. poz. 1182 z późn. zm. Lp. 1. 2. 3. 4. 5. 6. 7. Imię i nazwisko osoby upoważnionej Stanowisko Data nadania Data ustania Zakres upoważnienia do przetwarzania danych osobowych Nazwa programu oraz identyfikator w systemie informatycznym Załącznik Nr 5 do POLITYKI BEZPIECZEŃSTWA WYKAZ POMIESZCZEŃ, w których przetwarzane są dane osobowe Lp. Pomieszczenie, w którym są przetwarzane dane osobowe Nazwa zbioru przetwarzanych danych 1. Sekretariat Archiwum Ewidencja uczniów Kandydaci do szkoły Wykaz uczniów do matury i egzaminów potwierdzających kwalifikacje zawodowe Ewidencja zasobów szkoły Rejestr korespondencji 2. Księgowość i Kadry Płace Finansowo – Księgowy Przelewy Pracownicy Emeryci Kandydaci do pracy Ewidencja zasobów szkoły 3. Administracja Ewidencja sprzętu komputerowego i oprogramowania Płatnik Zamówienia publiczne Badania BHP i PPOŻ Ewidencja zasobów szkoły 4. Gabinet Wicedyrektorów Arkusz organizacyjny Plan lekcji Arkusze ocen Ewidencja wyników maturalnych i gimnazjalnych uczniów 5. Gabinet Dyrektora Rejestr upoważnień 6. Doradca zawodowy Losy absolwentów 7. Kierownik szkolenia praktycznego Ewidencja wyników egzaminów zawodowych absolwentów Pracodawcy 8. Pedagog szkolny Informacje o uczniach i ich sytuacji rodzinnej, wychowawczej, profilaktycznej i opiekuńczej 9. Czytelnia i biblioteka Ewidencja księgozbioru i uczniów Załącznik Nr 6 do POLITYKI BEZPIECZEŃSTWA WYKAZ ZBIORÓW DANYCH OSOBOWYCH wraz ze wskazaniem programów zastosowanych do przetwarzania danych Sposób przetwarzania Lp. Nazwa zbioru danych osobowych Tradycyjny W systemie informatycznym (nazwa programu) 1. Archiwum X 2. Ewidencja uczniów X Sekretariat Optivum, 3. Wykaz uczniów do matury i egzaminów potwierdzających kwalifikacje zawodowe X Program Hermes 4. Ewidencja zasobów szkoły X SIO 5. Płace 6. Finansowo – Księgowy 7. Przelewy 8. Pracownicy X 9. Kandydaci do pracy X 10. Ewidencja sprzętu komputerowego i oprogramowania X 11. Płatnik 12. Zamówienia Publiczne X 13. Badania BHP i PPOŻ X 14. Arkusz organizacyjny 15. Plan lekcji X 16. Arkusze ocen X 17. Ewidencja wyników i gimnazjalnych uczniów Płace Optivum Faktury Optivum Księgowość Optivum Przelewy iPKO Kadry Optivum, Płatnik Arkusz Optivum maturalnych X LIBRUS Analizator matur PROGMAN 18. Dziennik elektroniczny LIBRUS (on-line) 19. Rejestr upoważnień X 20. Losy absolwentów X 21. Ewidencja wyników egzaminów zawodowych absolwentów X 22. Pracodawcy X 23. Informacje o uczniach i ich sytuacji rodzinnej, wychowawczej, profilaktycznej i opiekuńczej X 24. Ewidencja księgozbioru i uczniów 25. Kandydaci do szkoły X 26. Emeryci X 27. Rejestr korespondencji X MOL Optivum Załącznik Nr 7 do POLITYKI BEZPIECZEŃSTWA OPIS STRUKTURY ZBIORÓW DANYCH wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Lp. Nazwa zbioru danych osobowych Struktura zbioru 1. Archiwum Nazwisko i imię, imiona rodziców, data urodzenia, miejsce zamieszkania, data przyjęcia do pracy, stanowisko, wykształcenie, sposób nawiązania stosunku pracy, sposób rozwiązania stosunku pracy, data zwolnienia 2. Ewidencja uczniów Nazwisko i imię, imiona rodziców, adres zamieszkania, data i miejsce urodzenia, PESEL, wykształcenie, numer telefonu, miejsce pracy 3. Wykaz uczniów do matury i egzaminów potwierdzających kwalifikacje zawodowe Imiona i nazwisko, PESEL 4. Ewidencja zasobów szkoły Informacje o uczniach: imiona i nazwisko, PESEL, data i miejsce urodzenia, adres zamieszkania, wykształcenie; informacje o nauczycielach: imiona i nazwisko, PESEL, data i miejsce urodzenia, adres zamieszkania, miejsce zatrudnienia, wykształcenie, zawód, wynagrodzenie 5. Płace Nazwiska i imiona, data i miejsce urodzenia, adres zamieszkania, PESEL, NIP, miejsce pracy, zawód, kwota składników wynagrodzenia i składek 6. Finansowo – Księgowy Nazwiska i imiona, adres zamieszkania, NIP 7. Przelewy Nazwiska, imiona, adresy zamieszkania, nazwa, nr konta bankowego kontrahentów, NIP, REGON, nr telefonu Powiązania między polami informacyjnymi 8. Pracownicy Nazwisko i imię, imiona rodziców, data urodzenia, miejsce zamieszkania, numer i seria dowodu osobistego, data urodzenia dzieci pracownika, imię i nazwisko, adres i telefon osoby, którą należy powiadomić o wypadku pracownika, data przyjęcia do pracy, wykształcenie, dotychczasowe zatrudnienie, stanowisko, sposób nawiązania stosunku pracy, sposób rozwiązania stosunku pracy, data zwolnienia 9. Kandydaci do pracy Imię i nazwisko, imiona rodziców, data i miejsce urodzenia, adres zamieszkania, miejsce pracy, zawód, wykształcenie, znajomość języków, posiadane prawo jazdy, zainteresowania 10. Ewidencja sprzętu komputerowego i oprogramowania Imię i nazwisko, numery seryjne i ewidencyjne urządzeń, nazwy urządzeń i oprogramowania 11. Płatnik Nazwiska i imiona, data urodzenia, adres zamieszkania, PESEL, NIP, miejsce pracy, kwota składników wynagrodzenia i składek 12. Zamówienia publiczne Nazwisko i imię, nazwa firmy, adres firmy, nr telefonu 13. Badania BHP i POPŻ Nazwisko i imię, nazwa firmy, adres firmy, nr telefonu 14. Arkusz organizacyjny Imię i nazwisko, płeć, PESEL, data rodzenia, dane płacowe, stanowisko, wykształcenie, forma zatrudnienia 15. Plan lekcji Imię i nazwisko 16. Arkusze ocen Imiona i nazwisko, data i miejsce urodzenia, PESEL, imiona i nazwiska rodziców oraz ich adresy zamieszkania, data opuszczenia szkoły, przyczyna opuszczenia, oceny, osiągnięcia. frekwencja Powiązanie danych użytkownika konkretnymi urządzeniami oraz oprogramowaniem oraz ich numerami seryjnymi i ewidencyjnymi. 17. Ewidencja wyników maturalnych i gimnazjalnych uczniów Imiona i nazwisko, PESEL, wyniki egzaminu maturalnego i gimnazjalnego 18. Dziennik elektroniczny Imiona i nazwisko, imiona i nazwiska rodziców / opiekunów, data i miejsce urodzenia, miejsce zamieszkania, PESEL, płeć, tel. kontaktowy, osiągnięcia edukacyjne, frekwencja 19. Rejestr upoważnień Imię i nazwisko, stanowisko 20. Losy absolwentów Imię i nazwisko absolwenta, nazwa uczelni i kierunek studiów, informacje o zatrudnieniu (zakład pracy, branża, rodzaj stosunku pracy) 21. Ewidencja wyników egzaminów zawodowych absolwentów Imiona i nazwisko, PESEL, data i miejsce urodzenia, wyniki egzaminu zawodowego 22. Pracodawcy Nazwa, adres siedziby, NIP 23. Informacje o uczniach i ich sytuacji rodzinnej, wychowawczej, profilaktycznej i opiekuńczej Imiona i nazwisko, data i miejsce urodzenia uczniów, adresy zamieszkania, informacje o dysfunkcjach uczniów i ich niepełnosprawności, choroby, struktura rodziny, dane nt. zatrudnienia rodziców uczniów, nazwy i adresy instytucji 24. Ewidencja księgozbioru i uczniów Imię i nazwisko 25. Kandydaci do szkoły Nazwisko i imię, adres zamieszkania, imiona rodziców, data i miejsce urodzenia, PESEL, wykształcenie, miejsce pracy, nr telefonu 26. Emeryci Nazwisko i imię, PESEL, data i miejsce urodzenia, adres zamieszkania, dochód 27. Rejestr korespondencji Nazwisko i imię, adres zamieszkania, miejsce pracy, nazwa i adres firmy Załącznik Nr 8 do POLITYKI BEZPIECZEŃSTWA SPOSÓB PRZEPŁYWU DANYCH OSOBOWYCH pomiędzy poszczególnymi systemami Lp. Nazwa zbioru Sposób przepływu danych pomiędzy poszczególnymi systemami 1. System Kadry – System Płace Baza systemu Płace jest otwierana w trybie tylko do odczytu w systemie Płace 2. System Płace – Płatnik Eksport danych z systemu Płace w postaci pliku zapisanego w formie KDU do programu Płatnik 3. System Hermes – OKE Program szyfruje i pakuje dane tworząc plik z rozszerzeniem XML, CSV, po czym plik przesyłany jest do OKE 4. System SIO – Starostwo Powiatowe System wykorzystuje wygenerowane dane z dostępnych systemów, szyfruje i pakuje dane tworząc plik z rozszerzeniem .exp – plik przesyłany jest do Starostwa Powiatowego w Kartuzach Załącznik Nr 9 do POLITYKI BEZPIECZEŃSTWA RAPORT POKONTROLNY z ochrony danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach Miejsce (obszar) kontroli: ………………….. Termin wykonania kontroli: ……........... Osoba(y) kontrolowana(e): ……………………. ……………………. ……………………. Godzina rozpoczęcia: ……........ Godzina zakończenia: ………… Kontrolerzy: …………………… …………………… Podstawa kontroli (zaznacz właściwe) - planowa kontrola, - kontrola specjalna, Zakres - kontrola sprawdzająca Uchybienie / spostrzeżenie / (U1, U2, U3 … lub S1, S2, S3 …) Przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych Zakres i cel przetwarzania danych Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania Obowiązek informacyjny (art. 24) dane osobowe zbierane od osoby, której dotyczą Obowiązek informacyjny (art. 25) dane osobowe zbierane nie od osoby, której dotyczą Zgłoszenie zbioru do rejestracji Przekazywanie danych do państwa trzeciego Powierzenie przetwarzania danych Zabezpieczenia organizacyjne Zabezpieczenia fizyczne Zabezpieczenia infrastruktury informatycznej (informatycznej i telekomunikacyjnej) Zabezpieczenia infrastruktury informatycznej (baz i aplikacji z danymi osobowymi) Wymagania dla systemów przetwarzających dane osobowe Zabezpieczenia osobowe Kontrolowany ………………… Kontroler ……………….. Załącznik Nr 10 do POLITYKI BEZPIECZEŃSTWA SPRAWOZDANIE - roczny raport z ochrony danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach Uczestnicy przeglądu: Termin przeprowadzenia przeglądu: Zagadnienia omawiane na przeglądzie: Komentarze / uwagi Podsumowanie realizacji zadań z poprzedniego przeglądu Omówienie wyników kontroli przeprowadzonych (w okresie od ostatniego przeglądu) Omówienie zarejestrowanych incydentów oraz ilości i powodów ich wystąpienia (w okresie od ostatniego przeglądu) Omówienie najważniejszych działań korygujących i zapobiegawczych (zrealizowanych i w trakcie realizacji) Proponowane zadania do realizacji (do oceny na kolejnym przeglądzie) Podpisy uczestników przeglądu ………………………. ……………………….. ……………………….. ……………………….. Załącznik Nr 11 do POLITYKI BEZPIECZEŃSTWA RAPORT z naruszenia bezpieczeństwa systemu informatycznego w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach 1. Data…………………………………. Godzina………………………………… /dd.mm.rr./ 2. Osoba powiadamiająca o zaistniałym zdarzeniu: …………………………………………………………………………………………………... /imię, nazwisko, stanowisko służbowe, nazwa użytkownika – jeśli występuje/ 3. Lokalizacja zdarzenia: …………………………………………………………………………………………………... /np. nr pokoju, nazwa pomieszczenia/ 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: …………………………………………………………………………………………………... …………………………………………………………………………………………………... 5. Podjęte działania: …………………………………………………………………………………………………... …………………………………………………………………………………………………... 6. Przyczyny wystąpienia zdarzenia: …………………………………………………………………………………………………... …………………………………………………………………………………………………... 7. Postępowanie wyjaśniające: …………………………………………………………………………………………………... …………………………………………………………………………………………………... ……..……..……………………………………………… /data, podpis Administratora Bezpieczeństwa Informacji/ Załącznik nr 2 do zarządzenia nr 24/14/15 Dyrektora ZSZiO w Kartuzach z dnia 01.06.2015r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach zwana dalej ,,Instrukcja zarządzania” określa i zawiera: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce oraz okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, 7) zasady i sposób odnotowania w systemie informacji: komu, kiedy i w jakim zakresie dane osobowe ze zbiorów zostały udostępnione, 8) procedury wykonania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. §1 Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym, wskazanie osoby odpowiedzialnej za te czynności. A. Procedura nadawania uprawnień do przetwarzania danych 1. Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych, może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, stanowiące Załącznik nr 1 do ,, Polityki bezpieczeństwa”. 2. Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem przechowywane są w teczkach akt osobowych pracowników. 3. Upoważnienie powinno mieć charakter imienny i określać dozwolony okres i zakres przetwarzania danych. Upoważnienia mogą być wydawane bezterminowo lub na czas określony. 4. Upoważnienie do przetwarzania danych osobowych każdemu użytkownikowi nadaje dyrektor. 5. Każdy użytkownik systemu informatycznego, który przetwarza dane osobowe, posiada niepowtarzalny identyfikator. Identyfikator, a także hasło początkowe ustala Administrator Bezpieczeństwa Informacji. 6. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie. 7. W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych w systemie informatycznym identyfikator takiej osoby należy niezwłocznie wyrejestrować z systemu, unieważnić jej hasło oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych. Za realizację procedury rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym odpowiedzialny jest Administrator Systemu Informatycznego. 8. Na podstawie wydanych upoważnień Administrator Danych Osobowych, tj. drektor prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Wzór ewidencji stanowi Załącznik Nr 4 do ,,Polityki bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach”. 9. Wydane upoważnienia dyrektor przekazuje Administratorowi Bezpieczeństwa Informacji. 10. Administrator Bezpieczeństwa Informacji bada poprawność przekazanych dokumentów oraz: a) w przypadku braku uwag przekazuje je Administratorowi Systemu Informatycznego, w celu nadania uprawnień użytkownikowi w systemie informatycznym, b) w przypadku uwag przekazuje dokumenty z odpowiednią adnotacją dyrektorowi od którego je otrzymał. Czynności te powtarza się do czasu uzyskania akceptacji. B. Rejestrowanie uprawnień do przetwarzania danych 1. Administrator Systemu Informatycznego odpowiednio, zgodnie z przekazanymi dokumentami rejestruje użytkownika w systemie i nadaje mu określone uprawnienia. 2. O zarejestrowaniu użytkownika w systemie informatycznym Administrator Bezpieczeństwa Informacji informuje dyrektora. 3. Użytkownik systemu informatycznego w obecności Administratora Systemu uwierzytelnia się w systemie informatycznym. 4. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po: a) podaniu właściwego hasła dostępu do stanowiska komputerowego, b) podaniu identyfikatora użytkownika i właściwego hasła w aplikacji. §2 Metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem. C. Metody i środki uwierzytelnienia 1. W systemie informatycznym stosuje się uwierzytelnienia dwustopniowe, na poziomie: a) dostępu do stanowiska komputerowego, b) dostępu do aplikacji, 2. Do uwierzytelnienia użytkownika w systemie informatycznym stosuje się hasła. 3. Wskazane jest, aby hasło dostępu składało się co najmniej z 8 znaków, zawierało małe i duże litery oraz cyfry i znaki specjalne. 4. Hasła nie powinny być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów. 5. Hasło nie może być ujawnione. Należy utrzymywać je w tajemnicy, również po upływie jego ważności. 6. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła. D. Procedury zarządzania środkami uwierzytelnienia 1. Administrator Systemu Informatycznego nadaje hasło dostępu do aplikacji dla nowego użytkownika albo dla użytkownika, który zapomniał swojego hasła. 2. Administrator Systemu Informatycznego zapisuje swój identyfikator i hasło dostępu do serwera i przekazuje je w kopercie Administratorowi Bezpieczeństwa Informacji. Koperta zostaje zabezpieczona w sposób uniemożliwiający jej nieuważne otwarcie. Administrator Bezpieczeństwa Informacji przechowuje kopertę w sejfie znajdującym się w sekretariacie. §3 Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym. E. Procedura rozpoczęcia pracy 1. Uruchomić komputer wchodzący w skład systemu informatycznego i zalogować się podając swój identyfikator i hasło dostępu. 2. Uruchomić aplikację, podając następnie swój identyfikator i hasło dostępu do aplikacji. 3. Rozpocząć pracę. F. Procedura zawieszenia pracy w systemie informatycznym 1. W trakcie pracy, przy każdorazowym opuszczeniu stanowiska komputerowego należy dopilnować, aby na ekranie nie były wyświetlone dane osobowe. 2. Przy opuszczeniu pokoju należy włączyć wygaszacz ekranu lub zablokować komputer. G. Procedura zakończenia pracy w systemie informatycznym 1. Zamknąć aplikację. 2. Zamknąć system informatyczny. 3. Wyłączyć monitor i drukarkę. §4 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 1. Kopie zapasowe zbiorów danych osobowych wykonywane są za pomocą specjalistycznego programu archiwizującego. 2. Oprócz kopii bezpieczeństwa wykonuje się kopie zapasowe na nośnikach wymiennych. 3. Administrator Systemu Informatycznego sprawuje nadzór nad wykonaniem kopii zapasowych oraz weryfikuje ich poprawność. 4. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. 5. Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych. §5 Sposób, miejsce oraz okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych. H. Elektroniczne nośniki informacji 1. Kopie zapasowe wykonywane są na płytach CD lub innych elektronicznych nośnikach informacji. Nośniki informacji zawierające kopie przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie. 2. Dane osobowe w postaci elektronicznej nie mogą być wynoszone poza siedzibę szkoły. 3. Po zakończeniu pracy przez użytkowników systemu informatycznego, wymienne nośniki informacji są zamykane w szafach biurowych. 4. Dane osobowe w postaci elektronicznej należy usunąć z nośnika informacji w sposób uniemożliwiający ich ponowne odtworzenie. 5. W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe należy fizycznie zniszczyć nośnik przez spalenie lub rozdrobnienie. 6. Dyski twarde z danymi osobowymi należy niszczyć zgodnie z obowiązującymi przepisami dotyczącymi gospodarki środkami trwałymi oraz wartościami niematerialnymi. I. Kopie zapasowe 1. Kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi programowych zastosowanych do przetwarzania danych należy przechowywać w szafie pancernej lub sejfie. 2. Dostęp do szafy pancernej i sejfu mają tylko upoważnieni pracownicy. J. Wydruki 1. Wydruki zawierające dane osobowe należy przechowywać w pokojach stanowiących obszar przetwarzania danych osobowych. 2. Wydruki, zawierające dane osobowe należy zniszczyć w niszczarce po ich wykorzystaniu, chyba że z odrębnych przepisów wynika obowiązek ich przechowywania. K. Dane wyjściowe z systemu informatycznego 1. Dane osobowe zapisane w formie papierowej innej niż wydruki są przechowywane na podobnych zasadach, co wydruki. 2. Formularze zgody z podpisami osób, których dotyczą dane przetwarzane w systemie informatycznym przechowywane są w sposób uniemożliwiający ich utratę. §6 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. L. Ochrona antywirusowa 1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych. 2. Wirusy komputerowe mogą pojawić się w systemach szkoły poprzez: Internet, nośniki informacji, takie jak: płyty CD, pendrive’y, dyski przenośne, itp. 3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest poprzez zainstalowanie oprogramowania antywirusowego. 4. Za ochronę antywirusową odpowiada Administrator Systemu Informatycznego. 5. Czynności związane z ochroną antywirusową systemu wykonuje Administrator Systemu, wykorzystując w trakcie pracy systemu moduł programu antywirusowego w aktualnej wersji, sprawdzającego na bieżąco zasoby systemu informatycznego. 6. Użytkownik systemu informatycznego na stanowisku komputerowym importujący dane osobowe do systemu jest odpowiedzialny za sprawdzenie tych danych pod kątem możliwości występowania wirusów. 7. Zabrania się użytkownikom komputerów wyłączania, blokowania, odinstalowywania programów zabezpieczających komputer przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. M. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej 1. 2. Administrator Systemu Informatycznego jest odpowiedzialny za aktywowanie i poprawne konfigurowanie specjalistycznego oprogramowania monitorującego wymianę danych na styku: a) sieci lokalnej i rozległej, b) stanowiska komputerowego użytkownika systemu informatycznego i pozostałych urządzeń wchodzących w skład sieci lokalnej. Użytkownicy systemu obowiązani są do utrzymania stałej aktywności zainstalowanego na ich stanowiskach komputerowych specjalistycznego oprogramowania monitorującego wymianę danych na styku tego stanowiska i sieci lokalnej. §7 Udostępnianie danych osobowych oraz zasady i sposób odnotowywania informacji o udostępnieniu danych. 1. Udostępnianie danych osobowych instytucjom i osobom spoza szkoły może odbywać się wyłącznie za pośrednictwem Administratora Bezpieczeństwa Informacji i na pisemny uzasadniony wniosek lub zgodnie z przepisami prawa (OKE, CKE, Urząd Gminy, Powiat Kartuski, itp.). 2. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. 3. Odbiorcą danych jest każdy, komu udostępnia się dane, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby użytkownika systemu lub innej osoby upoważnionej do przetwarzania danych osobowych w szkole, c) podmiotu, któremu powierzono przetwarzanie danych. §8 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. informatycznych N. Przeglądy i konserwacja urządzeń 1. O przeprowadzonych przeglądach i konserwacjach systemu w każdym przypadku informowany jest Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa Informacji. 2. Przeglądy i konserwacje urządzeń wchodzących w skład systemu informatycznego powinny być wykonane w terminach określonych przez producenta sprzętu. 3. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości należy zawiadomić Administratora Bezpieczeństwa Informacji i Zastępcę Administratora Bezpieczeństwa Informacji. 4. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada Administrator Systemu Informatycznego. O. Przegląd programów i narzędzi programowych 1. Przegląd programów i narzędzi programowych przeprowadzany jest w następujących przypadkach: a) zmiany wersji oprogramowania serwera plików, b) zmiany wersji oprogramowania stanowiska komputerowego użytkownika systemu informatycznego, c) zmiany systemu operacyjnego serwera plików, d) zmiany systemu operacyjnego stanowiska komputerowego użytkownika systemu informatycznego, e) wykonania zmian w projekcie systemu informatycznego spowodowanych koniecznością naprawy, konserwacji lub modyfikacji systemu informatycznego, 2. Przed dokonaniem zmian w systemie informatycznym należy dokonać przeglądu działania systemu w zmienionej konfiguracji w warunkach testowych na testowej bazie danych. Sprawdzenie powinno obejmować: a) poprawność logowania się do systemu w zależności od posiadanych uprawnień, b) poprawność działania wszystkich elementów aplikacji, c) poprawność funkcjonalną systemu informatycznego symulując działania wszystkich grup użytkowników wykonując następujące operacje: wprowadzenie danych osobowych, edytowanie danych osobowych, wyszukiwanie danych osobowych, wydruku danych osobowych. 3. Przegląd przeprowadza Administrator Systemu Informatycznego. 4. Za prawidłowość przeprowadzania przeglądów i konserwacji systemu informatycznego odpowiada Administrator Systemu Informatycznego. P. Konserwacja oprogramowania 1. Konserwację oprogramowania przeprowadza się po zgłoszeniu przez użytkownika systemu informatycznego takiej potrzeby. 2. Konserwację oprogramowania przeprowadza się także po zgłoszeniu przez użytkownika systemu informatycznego potrzeby wprowadzenia zmian pozwalających utrzymać funkcjonalność systemu. 3. Konserwacje przeprowadza Administrator Systemu Informatycznego. Załącznik nr 3 do zarządzenia nr 24/14/15 Dyrektora ZSZiO w Kartuzach z dnia 01.06.2015r. Zakres zadań oraz uprawnienia i upoważnienia Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach I. Administrator Bezpieczeństwa Informacji – zwany dalej ABI wykonuje zadania w zakresie niniejszego zarządzenia oraz upoważnień i pełnomocnictw nadanych przez Administratora Danych Osobowych. II. Celem działania ABI jest nadzorowanie i kontrolowanie przestrzegania zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w ZSZiO w Kartuzach. III. Zadaniem ABI jest realizacja przedsięwzięć określonych w art. 36a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz zarządzeniach Administratora Danych Osobowych, a w szczególności nadzorowanie, kontrolowanie i koordynowanie: stosowania środków technicznych i przedsięwzięć organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii tych danych; zasad zabezpieczenia danych osobowych przed udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem; przetwarzania danych osobowych zgodnie z przepisami prawa; opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne służące ich zabezpieczeniu; definiowania użytkowników i haseł dostępu; nadawania, modyfikacji i odbierania uprawnień użytkownikom w systemie informatycznym; wykonywania obowiązków użytkowników; zgłoszeń rejestracyjnych oraz aktualizacyjnych zbiorów danych osobowych zawierających dane wrażliwe; czynności realizowanych przez Zastępcę Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego; czynności realizowanych w wyniku postępowań administracyjnych prowadzonych przez Generalnego Inspektora ochrony danych osobowych; wyjaśniania i dokumentowania przypadków naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych (sporządzanie raportów); wdrażania szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych. IV. Wykonując swoje czynności Administrator Bezpieczeństwa Informacji realizuje zadania w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie do: wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych osobowych, kontrolowania umów i porozumień z osobami oraz podmiotami zewnętrznymi mającymi przetwarzać dane osobowe znajdujące się w szkole, lub którymi takie przetwarzanie ma zostać powierzone, decydowania o pozbawieniu lub ograniczeniu zakresu przetwarzania danych osobowych i uprawnień nadanych w systemie informatycznym dla użytkowników, którzy powodują zagrożenia bezpieczeństwa i ochrony danych osobowych, przechowywania hasła do serwera, udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego z przepisami prawa, zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych, szkolenia pracowników z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji; kontrolowania pracowników poprzez audyty związane z bezpieczeństwem informacji oraz ochroną danych osobowych. Załącznik nr 4 do zarządzenia nr 24/14/15 Dyrektora ZSZiO w Kartuzach z dnia 01.06.2015r. Zakres zadań oraz uprawnienia i upoważnienia Zastępcy Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach I. Zastępca Administratora Bezpieczeństwa Informacji – zwany dalej Zastępca ABI wykonuje zadania w zakresie niniejszego zarządzenia oraz upoważnień i pełnomocnictw nadanych przez Administratora Danych Osobowych. II. Celem działania Zastępcy ABI jest nadzorowanie i kontrolowanie przestrzegania zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w ZSZiO w Kartuzach. III. Zadaniem Zastępcy ABI jest realizacja przedsięwzięć określonych w art. 36a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz zarządzeniach Administratora Danych Osobowych, a w szczególności: nadzór nad wykonywanymi obowiązkami użytkowników; nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe; przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; współpraca z Administratorem Systemu Informatycznego; nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością; w ramach współpracy z Administratorem Systemu Informatycznego podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych; nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe; nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem; aktualizowanie dokumentacji przetwarzania danych osobowych; współudział w czynnościach związanych z rejestracją zbiorów danych osobowych zawierających dane wrażliwe i zgłaszaniem zmian w zarejestrowanych zbiorach danych osobowych; pomoc Administratorowi Bezpieczeństwa Informacji w dokumentowaniu przypadków naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych; inne obowiązki przewidziane w ustawie o ochronie danych osobowych, a nie wymienione w niniejszym zarządzeniu. IV. Wykonując swoje czynności Zastępca ABI realizuje zadania w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie do: wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych osobowych, udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego z przepisami prawa, zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych. Załącznik nr 5 do zarządzenia nr 24/14/15 Dyrektora ZSZiO w Kartuzach z dnia 01.06.2015r. Zakres zadań oraz uprawnienia Administratora Systemu Informatycznego w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach I. Administrator Systemu Informatycznego – zwany dalej ASI wykonuje zadania w zakresie niniejszego zarządzenia oraz upoważnienia nadanego przez Administratora Danych Osobowych. II. Celem działania ASI jest nadzorowanie i realizowanie zasad bezpieczeństwa i ochrony danych osobowych systemu informatyczego ZSZiO w Kartuzach. III. Zadaniem ASI jest nadzór i kontrola realizacji przedsięwzięć określonych w art. 36 ust. 1 i w art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.) oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.). IV. ASI, realizując swoje zadania współpracuje z Administratorem Bezpieczeństwa Informacji (ABI) i Zastępcą Administratora Bezpieczeństwa Informacji (Zastępca ABI) w ZSZiO w Kartuzach. Do szczegółowych zadań ASI zaliczyć można: zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe; rejestrowanie użytkownikom uprawnień dostępu do systemu informatycznego na zasadach określonych w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; zaznajomienie użytkowników z procedurami ustalania i zmiany haseł dostępu; odbieranie użytkownikom dostępu do systemu informatycznego na polecenie Administratora Bezpieczeństwa Informacji; przekazanie ABI identyfikatora i hasła dostępu do serwera; naprawa, konserwacja oraz likwidacja urządzeń komputerowych i nośników informatycznych zawierających dane osobowe; kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną; aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te wykonywane są automatycznie; regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych; wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe; współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów informatycznych; konsultacje, udzielanie wsparcia Zastępcy ABI w podejmowaniu decyzji i instalacji aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania haseł zabezpieczających informację; odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego, jego sprawność techniczną i używanie zgodnie z przeznaczeniem. V. ASI posiada uprawnienia dostępu do systemu informatycznego ZSZiO w Kartuzach, umożliwiające mu realizację zadań określonych w niniejszym zarządzeniu.