Instrukcja zarządzania systemem informatycznym wraz z polityką

Transkrypt

Instrukcja zarządzania systemem informatycznym wraz z polityką bezpieczeństwa w sieci stanowi załącznik do
zarządzenie nr 271/11/12 Dyrektora Zespołu Szkół Gimnazjalnych w Gliwicach z dnia 31 sierpnia 2012r
Instrukcja zarządzania systemem
informatycznym
wraz z polityką bezpieczeństwa
jaka obowiązuje
w Zespole Szkół Gimnazjalnych
w Gliwicach
Strona 0
Instrukcja zarządzania systemem informatycznym wraz z polityką bezpieczeństwa w sieci stanowi
załącznik do zarządzenie nr 271/11/12 Dyrektora Zespołu Szkół Gimnazjalnych w Gliwicach z dnia 31
sierpnia 2012r
Wyjaśnienie terminów używanych w dokumencie.
1) ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U.
1997 r. Nr 133 poz. 883 z późn. zm.), zwaną dalej „ustawą",
2) rozporządzenie – rozumie się przez to rozporządzenie ministra spraw wewnętrznych i
administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z
2004 r. Nr 100, poz. 1024 z późn. zm.), zwane dalej „rozporządzeniem”,
3) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej,
4) instrukcja zarządzania systemem informatycznym – dokument instrukcji zarządzania
systemem informatycznym w rozumieniu § 1 pkt 1 rozporządzenia, zwaną dalej „instrukcją”,
5) polityka bezpieczeństwa – dokument polityki bezpieczeństwa w rozumieniu § 1 pkt 1
rozporządzenia, zwaną dalej „polityką”,
6) zbiór danych – rozumie się przez to każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest rozproszony lub podzielony funkcjonalnie,
7) przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,
8) system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w
celu przetwarzania danych,
Strona 1
sierpnia 2012r
9) zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i
eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę
danych przed ich nieuprawnionym przetwarzaniem,
10) usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
11) administrator danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot
lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące o
celach i środkach przetwarzania danych osobowych,
12) zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego
treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda
nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,
13) odbiorca danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z
wyłączeniem:
a. osoby, której dane dotyczą,
b. osoby upoważnionej do przetwarzania danych,
c. przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych,
d. podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych,
e. organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem,
14) państwo trzecie – rozumie się przez to państwo nienależące do Europejskiego Obszaru
Gospodarczego,
15) identyfikator użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych
lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym,
16) hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany
jedynie osobie uprawnionej do pracy w systemie informatycznym,
Strona 2
sierpnia 2012r
17) sieć telekomunikacyjna – rozumie się przez to sieć telekomunikacyjną w rozumieniu art.
2 pkt. 23 ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852,
z późn. zm.),
18) sieć publiczna – rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z
dnia 21 lipca 2000 r. – Prawo telekomunikacyjne,
19) teletransmisja – rozumie się przez to przesyłanie informacji za pośrednictwem sieci
telekomunikacyjnej,
20) rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu
mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
21) integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe
nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
22) raport – rozumie się przez to przygotowane przez system informatyczny zestawienia
zakresu i treści przetwarzanych danych,
23) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są
udostępniane nieupoważnionym podmiotom,
24) uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja
deklarowanej tożsamości podmiotu.
Strona 3
sierpnia 2012r
1. Wstęp
1.1. Informacje ogólne.
Niniejszy dokument w postaci Instrukcji zarządzania systemem informatycznym został
opracowany na polecenie administratora danych Szkoły Zespołu Szkół Gimnazjalnych w
Gliwicach w celu zapewnienia zgodności przetwarzania danych osobowych z polskim
ustawodawstwem.
Instrukcja zarządzania systemem informatycznym wraz z Polityką Bezpieczeństwa
stanowi dokumentację przetwarzania danych osobowych w rozumieniu § 1 pkt. 1
rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w
sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.).
Instrukcja zarządzania systemem informatycznym została wdrożona zarządzeniem nr
271/11/12 Dyrektora Zespołu Szkół Gimnazjalnych w Gliwicach z dnia 31 sierpnia 2012r .
Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu
Instrukcji zarządzania systemem informatycznym, powinny być rozstrzygane na korzyść
zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw
osób, których dane dotyczą.
Każda osoba mająca dostęp do danych osobowych na podstawie upoważnienia
Administratora
informatycznym
Danych,
i
zapoznawana
zobowiązana
do
zostaje
jej
z
Instrukcją
przestrzegania
w
zarządzania
zakresie
systemem
wynikającym
z przydzielonych zadań. Dotyczy to w szczególności pracowników zatrudnionych przez
Administratora Danych.
1.2. Cel przygotowania instrukcji zarządzania.
Podstawowym celem przyświecającym przygotowaniu i wdrożeniu dokumentu Instrukcji
zarządzania systemem informatycznym było zapewnienie zgodności działania Zespołu Szkół
Gimnazjalnych w Gliwicach z ustawą o ochronie danych osobowych oraz jej
rozporządzeniami wykonawczymi. Opracowany dokument Instrukcji zarządzania systemem
Strona 4
sierpnia 2012r
informatycznym został opracowany w oparciu o wytyczne zawarte w następujących aktach
prawnych:
1) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.),
2) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. Nr
101, poz. 926 z późn. zm.),
3) ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. 2004 r. Nr 256 poz. 2572 z
późn. zm.),
4) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie
sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu
nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U.
2002 r. Nr 23 poz. 225 z późn. zm.),
5) ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (tj. Dz.U. z 2001 r. nr 128, poz. 1402
z późn. zm.).
Należy przez powyższe rozumieć w szczególności realizację w niniejszym dokumencie
wymogu opisania sposobu przetwarzania danych osobowych oraz środków technicznych
i
organizacyjnych
zapewniających
ochronę
przetwarzanych
danych
osobowych,
odpowiednich do zagrożeń oraz kategorii danych objętych ochroną.
Zadaniem Instrukcji zarządzania systemem informatycznym jest także określenie
podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz
wymagań w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa
przetwarzania danych osobowych.
1.3. Zakres informacji objętych instrukcją zarządzania.
Dokument Instrukcji zarządzania systemem informatycznym opisuje zasady
i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym
dostępem. Obejmuje on ogólne informacje o systemie informatycznym i zbiorach danych
Strona 5
sierpnia 2012r
osobowych, które są przy ich użyciu przetwarzane, zastosowane rozwiązania techniczne, jak
również procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia
bezpieczeństwa przetwarzania danych osobowych. Na Instrukcję zarządzania składają się
w szczególności następujące informacje:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników
systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania;
5) sposób, miejsce oraz okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt. 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
o którym mowa w pkt. III ppkt. 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust.1 pkt. 4 rozporządzenia;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
Instrukcję zarządzania systemem informatycznym stosuje się do wszelkich czynności,
stanowiących w myśl ustawy o ochronie danych osobowych przetwarzanie danych
osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania,
sposób przetwarzania lub czas przetwarzania, stosuje się zasady przetwarzania danych
osobowych
ujęte
w
niniejszym
dokumencie
Instrukcji
zarządzania
systemem
informatycznym. Rygorowi Instrukcji zarządzania systemem informatycznym podlegają także
Strona 6
sierpnia 2012r
dane powierzone Zespołowi Szkół Gimnazjalnych w Gliwicach do przetwarzania na
podstawie pisemnej umowy powierzenia przetwarzania danych osobowych oraz dane
osobowe, których Zespół Szkół Gimnazjalnych w Gliwicach jest odbiorcą w rozumieniu
ustawy o ochronie danych osobowych.
1.4. Sposób aktualizacji oraz przeglądania instrukcji zarządzania.
W związku z dynamiką zmian w zakresie bezpieczeństwa informacji oraz mając na
uwadze częste zmiany w konstrukcji systemów informatycznych, Administrator Danych
zobowiązuje się dokonywać corocznie przeglądów i aktualizacji Instrukcji zarządzania
systemem
informatycznym.
Weryfikacja
zapisów
Instrukcji
zarządzania
systemem
informatycznym jest prowadzona pod kątem zgodności stanu deklarowanego ze stanem
faktycznym. Do końca stycznia każdego roku kalendarzowego Administrator Danych lub
osoba przez niego upoważniona dokona sprawdzenia aktualności Instrukcji zarządzania. Do
końca czerwca zostanie przygotowany raport zawierający wnioski płynące z przeprowadzonej
weryfikacji Instrukcji zarządzania. Raport będzie zawierał informacje pozwalające na
wyeliminowanie niezgodności stanu opisanego w Instrukcji zarządzania ze stanem
faktycznym. Instrukcja zarządzania podlega aktualizacji każdorazowo, w przypadku
likwidacji, utworzenia lub zmiany zawartości zbioru danych, a także w przypadku zmiany
przepisów dotyczących ochrony danych osobowych, wymagającej aktualizacji Instrukcji
zarządzania. Aktualizacja Instrukcji zarządzania jest przeprowadzana przez administratora
danych.
Nowa
wersja
Instrukcji
zarządzania
zastępuje
poprzednio
obowiązującą.
administrator danych wprowadza w życie nową wersję Instrukcji zarządzania w formie
zarządzenia, określającego w treści od kiedy nowy dokument obowiązuje.
1.5. Sposób przechowywania dokumentu instrukcji zarządzania.
Dokument Instrukcji zarządzania jest przechowywany w wersji elektronicznej, na
komputerze zabezpieczonym przed dostępem osób nieupoważnionych oraz papierowej wraz
z Polityką Ochrony Danych Osobowych. Zapewniona jest możliwość wydrukowania
aktualnej wersji dokumentu Instrukcji zarządzania w terminie 24 godzin od pojawienia się
takiej potrzeby. Kopia pliku Instrukcji zarządzania wykonywana jest po każdej aktualizacji.
Wykonanie kopii skutkuje usunięciem poprzednio przygotowanej kopii. Dokument Instrukcji
Strona 7
sierpnia 2012r
zarządzania jest przechowywany wraz z innymi dokumentami, do których dostęp posiada
tylko Administrator Danych oraz upoważnione przez niego osoby. Wydrukowany po
aktualizacji dokument Instrukcji zarządzania zastępuje poprzedni, który ulega zniszczeniu.
2.
Procedury
nadawania
uprawnień
do
przetwarzania
danych
i rejestrowania tych uprawnień w systemach informatycznych oraz
wskazania osoby odpowiedzialnej za te czynności.
2.1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemach informatycznych.
Nadawanie uprawnień do przetwarzania danych osobowych - uprawnienia do
przetwarzania danych osobowych są wydawane przez administratora danych. Uprawnienie
jest nadawane tylko i wyłącznie w zakresie wykonywanych przez pracownika zadań. Nadanie
uprawnień polega na utworzeniu konta w systemie informatycznym. Dokonuje tego osoba
upoważniona przez administratora danych. Cofnięcie uprawnień do przetwarzania danych
osobowych - uprawnienia do przetwarzania danych osobowych są anulowane decyzją
administratora danych, a także w wypadku rozwiązania umowy będącej podstawą
świadczenia pracy lub usług przez pracownika na rzecz administratora danych. Jeżeli
zachodzi konieczność modyfikacji uprawnienia do przetwarzania danych osobowych w
systemie informatycznym, osoba upoważniona przez administratora danych do ich
nadawania, zmienia konfigurację systemu informatycznego w odpowiedni sposób. Cofnięcie
uprawnień polega na usunięciu konta w systemie informatycznym. Dokonuje tego osoba
upoważniona przez administratora danych. Rejestrowanie uprawnień do przetwarzania
danych w systemie informatycznym – uprawnienia do przetwarzania danych w systemie
informatycznym są rejestrowane poprzez dokonanie wpisu identyfikatora w ewidencji osób
upoważnionych do przetwarzania danych osobowych oraz utworzeniu konta w odpowiednim
systemie informatycznym. Lista osób uprawnionych do przetwarzania danych jest
przechowywana w szafie zamykanej na klucz w gabinecie dyrektora szkoły. Istnieje także
możliwość wydrukowania na żądanie listy osób uprawnionych do przetwarzania danych
osobowych. Nadzór i kontrolę nad procesem rejestracji uprawnień do przetwarzania danych
osobowych w systemie informatycznym sprawuje osoba upoważniona przez administratora
Strona 8
sierpnia 2012r
danych. Hasła administratorów systemów informatycznych przechowywane są w zamykanej
metalowej szafie w gabinecie dyrektora. Dostęp do nich ma tylko i wyłącznie dyrektor oraz
osoba przez niego upoważniona. W sytuacjach awaryjnych w przypadku nieobecności
dyrektora oraz braku możliwości skontaktowania się z nim podejmować decyzje może osoba
upoważniona przez dyrektora mająca na celu zapewnienie bezpieczeństwa przetwarzanych
danych osobowych .
2.2. Osoby odpowiedzialne za nadawanie uprawnień do przetwarzania danych
i rejestrowania tych uprawnień w systemach informatycznych.
Zakres odpowiedzialności
pełniona funkcja/uwagi
Przegląd przestrzegania instrukcji
Dyrektor
Przegląd aktualności instrukcji
Dyrektor
Aktualizacja instrukcji
Nauczyciel informatyki lub inna osoba do
tego powołana.
Nadawanie uprawnień do
przetwarzania danych w systemach
informatycznych
Dyrektor
Rejestrowanie uprawnień do
informatycznych
Sekretarz
Wyrejestrowanie uprawnień do
informatycznych
Sekretarz
Strona 9
sierpnia 2012r
3. Opis stosowanych metod i środków uwierzytelnienia oraz procedur
związanych z zarządzaniem i użytkowaniem stosowanych metod i środków
uwierzytelnienia.
3.1. Zastosowane środki i metody uwierzytelnienia związane z ruchem osobowym:
Całodobowa ochrona budynku. Przebywanie na terenie budynku osób nieupoważnionych do
przetwarzania danych osobowych jest dozwolone tylko i wyłącznie pod nadzorem i po
wcześniejszym wpisaniu się do księgi wejść i wyjść zaraz po przekroczeniu drzwi
wejściowych.
3.2. Zastosowane środki i metody uwierzytelnienia obowiązujące systemy
informatyczne:
a) Autoryzacja w systemie operacyjnym za pomocą logina i hasła (hasło min. 8 znaków
długości, używane małe i wielkie litery, cyfry oraz znaki specjalne),
b) Autoryzacja w programach przetwarzających dane osobowe za pomocą logina i hasła
(hasło min. 8 znaków długości, używane małe i wielkie litery, cyfry oraz znaki specjalne)
c) System operacyjny wymusza zmianę haseł co 30 dni,
d) Pierwsze hasło użytkownika jest zawsze przekazywane w odpowiednio zabezpieczony
sposób (zaklejone w kopercie i opieczętowane) i ustalane przez osobę nadającą uprawnienie
dostępu w systemie informatycznym,
e) Dostęp do każdego z komputerów, na których przetwarzane są dane osobowe, ograniczony
jest wyłącznie do jednego pracownika.
Zabronione jest stosowanie rozwiązań programowych pozwalających na zapamiętywanie
identyfikatorów i haseł.
Strona 10
sierpnia 2012r
4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone
dla użytkowników systemu.
4.1. Procedura rozpoczęcia pracy przeznaczona dla użytkownika Systemu.
Przed
rozpoczęciem
pracy,
w
trakcie
rozpoczynania
pracy
z
systemem
informatycznym oraz w trakcie pracy, każdy pracownik jest obowiązany do zwrócenia
bacznej uwagi, czy nie wystąpiły objawy, mogące świadczyć o naruszeniu zasad ochrony
danych osobowych. Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje
uruchomienie komputera, wprowadzenie identyfikatora i hasła w sposób minimalizujący
ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności
działania systemu. Użytkownikowi nie wolno w czasie uruchamiania systemu operacyjnego
odchodzić od stanowiska. Jest to dozwolone tylko i wyłącznie zgodnie z procedurą opisującą
tryb zawieszenia pracy z systemem, w którym przetwarzane są dane osobowe. Użytkownik
informuje osobę upoważnioną przez administratora danych do opieki nad sprzętem
komputerowym
o
zablokowaniu
dostępu
do
zbioru
danych
oraz
o
wszelkich
nieprawidłowościach w dostępie do danych osobowych.
4.2. Procedura zawieszenia pracy przeznaczona dla użytkownika Systemu.
Nie wolno opuszczać stanowiska komputerowego nie zamykając wcześniej programów
służących do przetwarzania danych osobowych, oraz nie zapisując otwartych dokumentów.
Odchodząc od swojego komputera, każdy użytkownik powinien aktywować wygaszacz
ekranu zabezpieczony hasłem dostępu. Użytkownik informuje osobę upoważnioną przez
administratora danych do opieki nad sprzętem komputerowym o zablokowaniu dostępu do
zbioru danych oraz o wszelkich nieprawidłowościach w dostępie do danych osobowych.
Stanowiska komputerowe usytuowane są w sposób uniemożliwiający odczytanie informacji
z ekranu komputera osobom postronnym.
4.3. Procedura zakończenia pracy dla użytkownika systemu.
Zakończenie pracy polega na zamknięciu wszystkich programów i zapisaniu wszystkich
otwartych plików oraz wybraniu odpowiedniego polecenia systemowego umożliwiającego
zakończenie pracy. Użytkownik powinien zaczekać przy komputerze do chwili jego
wyłączenia. Użytkownik informuje osobę upoważnioną przez administratora danych do
Strona 11
sierpnia 2012r
opieki nad sprzętem komputerowym, o zablokowaniu dostępu do zbioru danych oraz
o wszelkich nieprawidłowościach w dostępie do danych osobowych.
5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów
i narzędzi programowych służących do ich przetwarzania.
Na koniec każdego miesiąca wyznaczony przez administratora danych pracownik lub
firma do tego powołana tworzy kopie zapasowe wszystkich zbiorów danych oraz programów
i narzędzi programowych, w których przetwarzane są dane osobowe. Procedura tworzenia
kopii zapasowych obejmuje wszystkie komputery, na których przetwarzane są dane osobowe.
Tworzenie kopii zapasowych polega na nagraniu na elektroniczny nośnik informacji danych
podlegających procedurze tworzeniu kopii zapasowych. Kopie zapasowe wykonywane są
poprzez utworzenie archiwum zabezpieczonego hasłem za pomocą programu WinRar (kopia
całościowa). Nośnik z nagranymi kopiami zapasowymi jest umieszczany w szafie zamykanej
na klucz. Na nośniku kopii zapasowej znajduje się oznaczenie, kto wykonał daną kopię
zapasową, czy jest ona kompletna oraz data jej wykonania. W każdym miesiącu dokonywany
jest przegląd przechowywanych nośników kopii zapasowych, w celu usunięcia danych
zapisanych, co najmniej 2 miesiące wstecz. Nieprzydatne już nośniki informacji pozbawia się
w sposób trwały zapisanych danych osobowych.
6. Opis sposobu, miejsca i okresu przechowywania elektronicznych
nośników informacji zawierających dane osobowe oraz kopii zapasowych,
o których mowa w pkt. 5 instrukcji.
Nośniki informatyczne zawierające ew., dane osobowe oraz kopie zapasowe zbiorów
danych osobowych, programów i narzędzi programowych służących do przetwarzania danych
osobowych, przechowywane są w szafie zamykanej na klucz w sekretariacie szkoły. Dostęp
do nośników, o których mowa ograniczony jest do administratora danych oraz
upoważnionego przez niego pracownika. Co roku, osoba wskazana przez administratora
danych dokonuje przeglądu nośników, a po ustaniu ich użyteczności usuwa zapisane dane.
Każdy przechowywany nośnik jest oznaczony poprzez wskazanie, jakie dane się na nim
znajdują.
Strona 12
sierpnia 2012r
7. Opis sposobu zabezpieczenia systemów Informatycznych przed
działalnością szkodliwego oprogramowania, o którym mowa w pkt III ppkt
1 załącznika do rozporządzenia
Wyciąg z załącznika do rozporządzenia: [pkt III System informatyczny służący do przetwarzania danych
osobowych zabezpiecza się, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego; ]
Z uwagi na fakt, iż niektóre wykorzystywane komputery przetwarzające dane osobowe
posiadają dostęp do sieci publicznej, administrator danych wdrożył procedury oraz
oprogramowanie, które chroni dane osobowe przed nieuprawnionym dostępem, zmianom,
usunięciem lub uszkodzeniem. Zagrożenia te to programy zawierające złośliwy kod (wirusy),
tzw. konie trojańskie oraz ataki hakerów. Zabronione jest pobieranie oraz instalowanie bez
nadzoru osoby upoważnionej przez administratora danych, jakichkolwiek programów na
komputerach służących do przetwarzania danych osobowych. Zabronione jest również
używanie nośników informacji nie pochodzących z zasobów administratora danych. Każda
osoba przetwarzająca dane osobowe przy użyciu komputera została pouczona, aby w
wypadku
jakichkolwiek
podejrzeń
dotyczących
obniżenia
bezpieczeństwa
danych
osobowych, poinformowała o tym fakcie osobę upoważnioną przez administratora danych lub
administratora danych.
Typ zabezpieczenia
Nazwa programu
Częstotliwość i
sposób aktualizacji
oprogramowania
Program typu
Firewall
Włączona zawsze
Włączona zawsze
Program
antywirusowy
NOD32
Codziennie
Uwagi
Strona 13
Nazwa systemu
informatycznego
Sprzeciw, o którym mowa w art.32
st. 1 pko.8 UODO
Informacje o odbiorcach, którym
dane osobowe zostały udostępnione,
dacie i zakresie tego udostępnienia,
chyba że system informatyczny
używany jest do przetwarzania
danych zawartych w zbiorach
jawnych
Źródło danych, w przypadku
zbierania danych, nie od osoby,
której one dotyczą
Identyfikator użytkownika
wprowadzającego dane osobowe do
systemu, chyba że dostęp do system
informatycznego i przetwarzanych
w nim danych posiada wyłącznie
jedna osoba
Data pierwszego wprowadzenia
danych do systemu
sierpnia 2012r
8. Opis sposobu realizacji wymogów stawianych systemom informatycznym
przez rozporządzenie wykonawcze do ustawy o ochronie danych
osobowych.
Microsoft Excel
Word
SIO
OKE
Płatnik
Qark
Hermes
Librus
Arkusz Optivum
Strona 14
sierpnia 2012r
9. Procedury wykonywania przeglądów i konserwacji systemów oraz
nośników informacji służących do przetwarzania danych.
W wypadku wystąpienia takiej potrzeby, lecz nie rzadziej niż raz na rok, osoba
odpowiedzialna za przegląd przestrzegania instrukcji zarządzania systemem informatycznym,
dokonuje przeglądu i konserwacji systemów oraz nośników informacji służących do
przetwarzania
danych
osobowych.
Wykryte
podczas
przeglądu
i
konserwacji
nieprawidłowości w działaniu sprzętu lub programów służących do przetwarzania danych
osobowych, usuwa się niezwłocznie. Osoba dokonująca wyeliminowania opisanych
nieprawidłowości, zawiadamia o podjętych czynnościach administratora danych. Przegląd
i
konserwacja
mogą
być
zlecone
pracownikowi
lub
podmiotowi
zewnętrznemu
specjalizującemu się w tego typu działaniach. W wypadku przekazania sprzętu lub nośników
informacji służących do przetwarzania danych osobowych podmiotowi trzeciemu, pozbawia
się je zapisanych danych osobowych w sposób, który uniemożliwi ich odtworzenie.
W obydwu przypadkach, zostaną zachowane szczególne warunki ostrożności, w celu
zabezpieczenia danych osobowych przed dostępem osób nieuprawnionych.
10. Poziom bezpieczeństwa.
Administrator danych zastosował środki techniczne i organizacyjne zapewniające
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną, a w szczególności, aby zabezpieczyć dane osobowe przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem.
10.1. Określenie stosowanego poziomu bezpieczeństwa
W zależności od właściwości zbioru danych administrator danych stosuje następujące
poziomy bezpieczeństwa: podstawowy, podwyższony lub wysoki.
Poziom co najmniej podstawowy stosuje się, gdy w systemie informatycznym nie są
przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Strona 15
sierpnia 2012r
Poziom co najmniej podwyższony stosuje się, gdy w systemie informatycznym
przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego
do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom
wysoki
stosuje
się,
gdy przynajmniej
jedno
urządzenie
systemu
informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią
publiczną.
Nr
1
2
3
4
Nazwa zbioru
Uczniowie oraz
kandydaci do szkoły
Pracownicy oraz
kandydaci do pracy
Rodzice/prawni
opiekunowie
finanse
Systemy informatyczne
przetwarzające dane osobowe w
zbiorze
Word, Excel, OKE, Librus,
Hermes, Librus
Word, Excel, SIO, Płatnik, Quark,
Arkusz Optivum
Zastosowany
poziom
bezpieczeństwa
Word, Excel
wysoki
Quark, Płatnik, Excel, Word
wysoki
wysoki
wysoki
10.2. Stosowane zabezpieczenia
10.2.1. Poziom podstawowy
NAZWA ZABEZPIECZENIA
Stosowane
zabezpieczenia:
TAK/NIE/ ND (nie
dotyczy)
Zabezpieczenie obszaru, w którym przetwarzane są dane osobowe, przed
dostępem osób nieuprawnionych na czas nieobecności w nim osób
upoważnionych do przetwarzania danych osobowych.
TAK
Przebywanie osób nieuprawnionych jest dopuszczalne za zgodą administratora
danych lub w obecności osoby upoważnionej do przetwarzania danych
osobowych.
TAK
Stosowane są mechanizmy kontroli dostępu do danych.
TAK
Jeżeli dostęp do danych posiadają co najmniej dwie osoby, to w systemie
rejestrowany jest dla każdego użytkownika odrębny identyfikator oraz dostęp do
danych jest możliwy wyłącznie po wprowadzeniu identyfikatora.
TAK
System jest zabezpieczony przed działaniem oprogramowania, którego celem jest
uzyskanie nieuprawnionego dostępu do systemu informatycznego.
TAK
Strona 16
sierpnia 2012r
System jest zabezpieczony przed stratą danych spowodowaną utratą zasilania lub
zakłóceniem sieci zasilającej.
TAK
Identyfikator użytkownika, który utracił uprawnienia do przetwarzani danych,
nie zostaje przydzielony innej osobie.
TAK
W przypadku, gdy do uwierzytelniania użytkowników żywa się haseł, jego
zmiana następuje nie rzadziej, niż co 30 dni. Hasło składa się, z co najmniej 8
znaków.
TAK
Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez
wykonywanie kopii zapasowych zbiorów danych oraz programów służących do
przetwarzania danych osobowych.
TAK
Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed
nieuprawnionym przejęciem, modyfikacją, uszkodzeniem, lub zniszczeniem oraz
usuwa się niezwłocznie po ustaniu ich użyteczności.
TAK
Urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane
osobowe, przeznaczone do:
1. likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie
jest to możliwe, uszkadza siew sposób uniemożliwiający ich odczytanie.
2. przekazania podmiotowi nieuprawnionemu do przetwarzania danych –
pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich
odzyskanie.
3. naprawy – pozbawia się wcześniej zapis tych danych w sposób
uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby
upoważnionej przez administratora danych.
TAK
Administrator danych monitoruje wdrożone zabezpieczenia systemu
informatycznego.
TAK
10.2.2. Poziom podwyższony
Stosowane
zabezpieczenia:
TAK/NIE/ ND
(nie dotyczy)
W przypadku, gdy do uwierzytelnienia użytkowników używa się
haseł, składa się ono, co najmniej z 8 znaków, zawiera małe i
wielkie litery oraz cyfry i znaki specjalne.
TAK
Urządzenia i nośniki zawierające dane osobowe zabezpiecza się w
sposób zapewniający poufność i integralność tych danych.
TAK
Strona 17
sierpnia 2012r
10.2.3. Poziom wysoki
Stosowane
zabezpieczenia:
TAK/NIE/ ND
(nie dotyczy)
Administrator danych stosuje środki kryptograficznej ochrony
wobec danych wykorzystywanych do uwierzytelnienia, które są
przesyłane w sieci publicznej.
TAK
System informatyczny służący do przetwarzania danych osobowych
chroni się przed zagrożeniami pochodzącymi z sieci publicznej
poprzez wdrożenie fizycznych lub elektronicznych zabezpieczeń
chroniących przed nieuprawnionym dostępem.
TAK
Podpis Administratora
Danych:
Pieczęć
Dokument sporządzono:
Data__/__/_____ (dd/mm/rrrr)
Miejsce:_________________
Strona 18
sierpnia 2012r
Polityka ochrony danych osobowych
1. Wstęp
Internet stwarza możliwości stałego i szybkiego dostępu do różnorodnych informacji, toteż
stał się on nieocenionym narzędziem w procesie edukacji. Jego zaletą jest nieprzerwana praca
sieci, możliwość korzystania z niej w dowolnych porach, praca w tempie dostosowanym do
potrzeb i indywidualnych możliwości osoby uczącej się.
Można wykorzystywać go jako narzędzie wspierające proces kształcenia w zorganizowanych
formach uczenia się, jak i w samokształceniu. Jednak mimo wielu zalet niesie on również
pewne zagrożenia, szczególnie dla najmłodszych jego użytkowników.
"Nigdy nie wiadomo, kto jest po drugiej stronie" to hasło obrazuje problem kontaktowania się
i przekazywania informacji nieznajomym, często wykorzystujących je w złych intencjach.
Dzieci korzystające z sieci komputerowej narażone są również na kontakt
z niebezpiecznymi treściami, których w Internecie nie brak.
Nieograniczony dostęp do sieci to okazja do wszelkiego rodzaju reklamy oraz propagowania
informacji sprzecznych z ogólnie przyjętymi normami wychowania. Uczniowie naszej szkoły
coraz częściej korzystają z zasobów Internetu. Toteż konieczna jest edukacja dzieci mająca na
celu uświadomienie im zagrożeń i przekazanie zasad bezpiecznego korzystania z sieci.
Tym celom służyć ma opracowany program. Jest on adresowany do uczniów naszej szkoły
oraz ich rodziców, gdyż także oni nie zawsze zdają sobie sprawę z zagrożeń, jakie niesie ze
sobą współczesna technika informacyjna.
Program realizowany jest we wszystkich klasach gimnazjum, głównie w ramach zajęć
lekcyjnych z informatyki oraz zajęć w bibliotece szkolnej, a także podczas godzin
z wychowawcą i w czasie spotkań z rodzicami/opiekunami.
Strona 19
sierpnia 2012r
2. Założenia ogólne, cele do realizacji.
Celem programu jest profilaktyka zagrożeń, jakie niesie ze sobą korzystanie z sieci Internet
poprzez edukację uczniów/słuchaczy i rodziców/opiekunów w zakresie zasad bezpieczeństwa
w sieci komputerowej.
Program mówi o tym, że Internet może być bezpiecznym miejscem pracy, edukacji i rozrywki
a jest to możliwe dzięki znajomości zagrożeń i stosowaniu zasad bezpieczeństwa.
1. Cele szczegółowe.
1)
Przedstawienie uczniom/słuchaczom rodzajów zagrożeń, jakie niesie ze sobą
korzystanie z Internetu (uzależnienie od Internetu i gier komputerowych, kontakt z
osobami niebezpiecznymi, dostęp do treści sprzecznych z normami wychowania,
nieumiejętność odróżniania rzeczywistości wirtualnej od świata realnego,
przestępczość, nieuczciwość).
2)
Upowszechnianie zasad bezpiecznego i właściwego zachowywania się w Internecie,
głównie poprzez promowanie internetowej etykiety.
3)
Wyrobienie postawy dystansu wobec przekazów elektronicznych i krytycyzmu wobec
treści informacji.
4)
Wyrabianie umiejętności klasyfikowania i wartościowania wiadomości zdobytych
w Internecie.
5)
Uświadomienie uczniom/słuchaczom faktu, że anonimowość w sieci jest tylko
pozorna.
6)
Pokazanie korzyści wypływających z właściwego korzystania z sieci.
7)
Uświadomienie rodzicom ich decydującej roli w zakresie kontroli nad sposobami
korzystania przez dziecko z Internetu.
8)
Zapoznanie rodziców ze sposobami kontrolowania i ograniczania dostępu dziecka do
wybranych, niepożądanych treści.
Strona 20
sierpnia 2012r
9)
Promowanie wśród uczniów, rodziców i nauczycieli akcji i programów o różnym
zasięgu na rzecz bezpiecznego Internetu.
10)
Uczulenie nauczycieli na problem bezpieczeństwa dzieci w Sieci.
2. Sposoby realizacji.
Edukacja uczniów/słuchaczy:
1)
Przeprowadzenie w ramach lekcji informatyki, lekcji wychowawczych/zajęć z
wychowawcą oraz ścieżek międzyprzedmiotowych zajęć i pogadanek na temat bezpiecznego
korzystania z Internetu:
a)
bezpieczne komunikowanie się
b)
niebezpieczeństwa związane
z nawiązywaniem nowych znajomości w Internecie i podawania swoich danych osobowych
ograniczone zaufanie do osób
c)
poznanych w Sieci, bezpieczne surfowanie
bezpieczne i właściwe zachowanie
d)
w Sieci, promowanie Netykiety, czyli zasad internetowego savoir-vivre,
e)
piractwo komputerowe a prawa
autorskie – kopiowanie i rozpowszechnianie zastrzeżonych materiałów, przywłaszczanie
sobie „owoców” cudzej pracy,
wiarygodność informacji
f)
zamieszczanych w Internecie weryfikacja uzyskanych danych
2)
Praktyczne zapoznanie z programami antywirusowymi.
3)
Przeprowadzenie ankiety „Aktywność internetowa”.
4)
Publikowanie informacji na temat bezpieczeństwa w Internecie poprzez plakaty,
informacje i umieszczanie ich w widocznych miejscach w szkole, w klasach oraz
publikowanie na stronie www szkoły..
Strona 21
sierpnia 2012r
Nadzorowanie pracy uczniów/słuchaczy w bibliotece, pracowni internetowej oraz
5)
podczas innych zajęć związanych z pracą przy komputerze.
Rozprowadzenie wśród uczniów/słuchaczy ulotek (dostępnych w sieci) dotyczących
6)
ww. tematów.
Udział w akcjach, programach, kampaniach edukacyjnych.
7)
Edukacja rodziców/opiekunów:
Zorganizowanie spotkania z psychologiem dla rodziców/opiekunów w celu
8)
przekazania informacji na temat konieczności ochrony dzieci przed szkodliwymi treściami
Internetu.
Poinformowanie rodziców/opiekunów podczas wywiadówki szkolnej o zagrożeniach
9)
płynących z Internetu..
Edukacja nauczycieli:
Szkolenie Rady Pedagogicznej na temat „Zagrożenia w sieci”,
10)
Zabezpieczenia techniczne szkolnej sieci komputerowej:
11)
Systematyczne sprawdzanie komputerów szkolnych programami antywirusowymi
oraz odpowiednia konfiguracji ustawień zabezpieczeń w przeglądarce
3. Osiągnięcia
Realizacja programu prowadzi do następujących osiągnięć:
1)
wyczulenie uczniów/słuchaczy i rodziców/opiekunów na zagrożenia, jakie niesie za sobą
zbyt długie przebywanie w Internecie oraz nabycie umiejętności dostosowania czasu
spędzanego przy komputerze do realnych potrzeb ucznia/słuchacza,
2)
zwrócenie uwagi na niebezpieczeństw różnego rodzaju, jakie mogą czyhać na
użytkownika w Sieci,
Strona 22
sierpnia 2012r
3)
4)
wyrobienia nawyku wybiórczego i efektywnego korzystania z Internetu
nabycia umiejętności bezpiecznego sposobu korzystania z poczty elektronicznej
i komunikatorów z zachowaniem podstawowych zasad netykiety,
5)
znajomość obowiązujących norm prawnych dotyczących pracy w sieci.
Nauczyciele:
1)
znają podstawowe zastosowania i wykorzystania Internetu oraz zagrożenia jakie mogą
napotkać w Internecie;
2)
potrafią poruszać zagadnienia związane z bezpieczeństwem w sieci na lekcjach
wychowawczych i na spotkaniach z rodzicami/opiekunami,
3)
umieją wskazywać uczniom/słuchaczom ciekawe miejsca w sieci związane
z nauczanym przedmiotem.
4)
umieją wskazać uczniom/słuchaczom kontakt do miejsc gdzie mogą zwrócić się
o pomoc.
Uczniowie/słuchacze:
1)
znają i stosują zasady bezpiecznego poruszania się po Internecie,
2)
potrafią rozpoznawać zagrożenia związane z wykorzystaniem dostępnych w sieci
usług i narzędzi.
3)
świadomie i odpowiedzialnie korzystają z dobrodziejstw Internetu.
Rodzice/opiekunowie:
1)
znają zagrożenia związane z Internetem, na które narażone mogą być ich dzieci;
2)
znają podstawowe sposoby kontrolowania, co ich dziecko robi w sieci,
3)
wiedzą, gdzie szukać pomocy w przypadku napotkania przestępstwa internetowego.
Strona 23
sierpnia 2012r
Ewaluacja
Sprawdzenie, czy program osiągnął zamierzony cel opierać się będzie na obserwacji
uzyskiwanych efektów. Przeprowadzona zostanie też ankieta wśród uczniów/słuchaczy,
rodziców/opiekunów, nauczycieli, konkurs sprawdzający wiadomości uczniów na temat
zagrożeń związanych z korzystaniem z Internetu i wiedzy dotyczącej sposobów ochrony
przed tymi zagrożeniami.
Strona 24
sierpnia 2012r
Rejestr
pracowników
Zespołu
Szkół
Gimnazjalnych
w Gliwicach upoważnionych do wglądu w dane osobowe
uczniów/słuchaczy/pracowników
szkoły
oraz
ich
przetwarzanie w zakresie posiadanych kompetencji.
Podstawa prawna:
Dz.U. 1997 Nr 133 poz. 883
USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
I
Postanowienia ogólne.
W Zespole Szkół Gimnazjalnych w Gliwicach, jako placówce oświatowej, zatrudnieni są:
1. Pracownicy pedagogiczni
2. Pracownicy niepedagogiczni
3. Pracownicy administracji
4. Pracownicy obsługi
II
Wszystkich pracowników placówki obowiązuje zachowanie oraz poszanowanie ochrony
danych osobowych innych osób, w tym uczniów, słuchaczy oraz wszystkich pracowników.
III
Szkoła posiada: „REJESTR PRACOWNIKÓW ZESPOŁU SZKÓŁ GIMNAZJALNYCH
W GLIWICACH UPOWAŻNIONYCH DO WGLĄDU W DANE OSOBOWE
UCZNIÓW/SŁUCHACZY/PRACOWNIKÓW SZKOŁY ORAZ ICH PRZETWARZANIE
W ZASIĘGU POSIADANYCH KOMPETENCJI”.
Gdzie i u kogo należy uwzględnić przetwarzanie danych i w jakim zakresie?
IV
Strona 25
sierpnia 2012r
Rejestr pracowników :
1.Dyrektor szkoły – zwany administratorem danych osobowych, posiada wgląd we wszelkie
dane osobowe, wrażliwe oraz chronione uczniów/słuchaczy oraz pracowników szkoły oraz
ma możliwość ich przetwarzania zgodnie z potrzebami związanymi z prawidłowym
funkcjonowaniem placówki oraz z uwagi na działalność dydaktyczno wychowawczą
placówki.
2.Wicedyrektor szkoły - posiada wgląd we wszelkie dane osobowe, wrażliwe oraz chronione
uczniów/słuchaczy i pracowników szkoły ma możliwość ich przetwarzania zgodnie
z potrzebami związanymi z prawidłowym funkcjonowaniem placówki oraz z uwagi na
działalność dydaktyczno wychowawczą placówki zgodnie z przydziałem obowiązków
oraz uprawnieniami do przetwarzania danych osobowych w zakresie otrzymanym od
dyrektora szkoły.
3. Wicedyrektor społeczny szkoły - , posiada wgląd we wszelkie dane osobowe, wrażliwe
oraz chronione uczniów/słuchaczy z uwagi na działalność dydaktyczno wychowawczą
placówki zgodnie z przydziałem obowiązków oraz uprawnieniami do przetwarzania danych
osobowych w zakresie otrzymanym od dyrektora szkoły
4. Pracownicy pedagogiczni – wychowawcy klas, nauczyciele dydaktycy - posiadają wgląd
we wszelkie dane osobowe, wrażliwe oraz chronione uczniów/słuchaczy z uwagi na
działalność dydaktyczno wychowawczą placówki zgodnie z przydziałem obowiązków oraz
uprawnieniami do przetwarzania danych osobowych w zakresie otrzymanym od dyrektora
szkoły.
5.Pedagog szkolny - posiada wgląd we wszelkie dane osobowe, wrażliwe oraz chronione
uczniów/słuchaczy z uwagi na działalność dydaktyczno wychowawczą placówki zgodnie
z przydziałem obowiązków oraz uprawnieniami do przetwarzania danych osobowych w
zakresie otrzymanym od dyrektora szkoły.
6. Psycholog szkolny - , posiada wgląd we wszelkie dane osobowe, wrażliwe oraz chronione
uczniów/słuchaczy z uwagi na działalność dydaktyczno wychowawczą placówki zgodnie
z przydziałem obowiązków oraz uprawnieniami do przetwarzania danych osobowych w
zakresie otrzymanym od dyrektora szkoły.
Strona 26
sierpnia 2012r
7. Pracownicy administracji, sekretarze -
posiadają wgląd we wszelkie dane osobowe,
wrażliwe oraz chronione uczniów/słuchaczy oraz pracowników szkoły z uwagi na działalność
administracyjną oraz dydaktyczno wychowawczą placówki zgodnie z przydziałem
obowiązków oraz uprawnieniami do przetwarzania danych osobowych w zakresie swoich
obowiązków otrzymanych od dyrektora szkoły.
8. Pracownicy płac i kadr - posiadają wgląd we wszelkie dane osobowe, wrażliwe oraz
chronione pracowników szkoły oraz uczniów/słuchaczy – w zasięgu posiadanych kompetencji
oraz uprawnieniami do przetwarzania danych osobowych w zakresie swoich obowiązków
otrzymanych od dyrektora szkoły.
9. Pracownicy obsługi posiadają upoważnienie do przetwarzania danych osobowych osób
wchodzących do placówki w zakresie ich wpisywania do „książki wejść i wyjść” oraz wglądu
w ich dokumenty.
Strona 27
sierpnia 2012r
Strona 28

Instrukcja zarządzania systemem informatycznym wraz z polityką

Transkrypt

Podobne dokumenty

Zarządzenie nr 135 /12/13 Dyrektora Zespołu Szkół Gimnazjalnych

audytu i aktualizacji dokumentacji przetwarzania danych osobowych

Generuj PDF - Komenda Miejska Policji w Gliwicach

Komenda Miejska Policji w Gliwicach Parking CH Forum/najechano

Generuj PDF - Komenda Miejska Policji w Gliwicach

Zarządzenie nr 4/14/15 Dyrektora Zespołu Szkół Gimnazjalnych w

uszkodzono peugeota 106 - Komenda Miejska Policji w Gliwicach

Rozporządzenie Ministra Spraw Wewnętrznych i

KONKURS INFORMATYCZNY W JĘZYKU ANGIELSKIM FACE 2