ZARZĄDZENIE Nr 33/2012/2013 z dnia 20.08.2013r.
Transkrypt
ZARZĄDZENIE Nr 33/2012/2013 z dnia 20.08.2013r.
ZARZĄDZENIE Nr 33/2012/2013 DYREKTORA ZESPOŁU SZKÓŁ ZAWODOWYCH I OGÓLNOKSZTAŁCĄCYCH W KARTUZACH z dnia 20.08.2013r. w sprawie: dokumentacji przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zarządza się, co następuje: §1 Wprowadza się do użytku służbowego: 1. Politykę bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 1 do niniejszego zarządzenia. 2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 2 do niniejszego zarządzenia. §3 Zobowiązuje się wszystkich pracowników do zapoznania się z treścią zarządzenia. §4 Tracą moc Załączniki nr 1 i 2 do Zarządzenia Nr 8a/2010/2011 Dyrektora Zespołu Szkół Zawodowych i Ogólnokształcących w Kartuzach z dnia 01.12.2010 r. §5 Zarządzenie wchodzi w życie z dniem podpisania. ...................................................... (podpis) Do wiadomości i stosowania: ......................................................... ......................................................... ......................................................... ......................................................... ......................................................... Załącznik nr 1 do zarządzenia nr 33/12/13 Dyrektora ZSZiO w Kartuzach z dnia 20.08.2013r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach §1 Postanowienia ogólne 1. Polityka bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach zwana dalej ,,Polityką bezpieczeństwa” określa tryb i zasady ochrony danych osobowych przetwarzanych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. 2. Ilekroć w Polityce bezpieczeństwa jest mowa o: 1) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 1) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, 2) danych osobowych - w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 3) zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedury przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrażanie i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 8) ZSZiO – rozumie się przez to Zespół Szkół Zawodowych i Ogólnokształcących w Kartuzach, 9) dyrektorze – rozumie się przez Dyrektora ZSZiO w Kartuzach, 10) administratorze danych osobowych – rozumie się przez to dyrektora szkoły, 11) administratorze bezpieczeństwa informacji – rozumie się przez to osobę wyznaczoną przez administratora danych nadzorującą przestrzegania zasad ochrony, 12) administratorze systemu informatycznego – rozumie się przez to osobę wyznaczoną przez administratora danych odpowiedzialnego za funkcjonowanie systemu informatycznego, 13) użytkowniku – rozumie się przez to użytkownika systemu, pracownika ZSZiO upoważnionego przez administratora danych do przetwarzania danych osobowych, 14) identyfikatorze użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 15) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 16) uwierzytelnieniu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 17) integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 18) raporcie – rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 19) poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępnione nieupoważnionym podmiotom. 3. Polityka bezpieczeństwa zawiera: 1) zasady ochrony dostępu do danych osobowych, 2) kontrolę zabezpieczenia danych osobowych w systemie informatycznym, 3) tryb postępowania w sytuacji naruszenia ochrony danych osobowych, 4) wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, 5) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 6) opis struktury zbiorów danych wskazujących zawartości poszczególnych pól informatycznych i powiązania między nimi, 7) sposób przepływu danych pomiędzy poszczególnymi systemami, 8) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 4. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem do: a) systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem; b) informacji zgromadzonych, przetwarzanych w formie tradycyjnej. 5. Niniejsze opracowanie określa politykę bezpieczeństwa w zakresie przetwarzania danych osobowych przez pracowników ZSZiO, a w szczególności Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego. 6. Dane osobowe w ZSZiO są gromadzone, przechowywane, edytowane, archiwizowane w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO na dokumentach papierowych, jak również w systemach informatycznych na elektronicznych nośnikach informacji. 7. Polityka bezpieczeństwa wprowadza regulacje w zakresie zasad organizacji procesu przetwarzania i odnosi się swoją treścią do informacji: a) w formie papierowej - przetwarzanej w ramach SYSTEMU TRADYCYJNEGO; b) w formie elektronicznej INFORMATYCZNEGO; - przetwarzanej w ramach SYSTEMU 8. Do informacji przechowywanych w systemach informatycznych jak i dokumentów tradycyjnych mają dostęp jedynie upoważnieni pracownicy oraz osoby mające imienne zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania tych danych w tajemnicy. 9. Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności przetwarzanych danych. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe, są chronione odpowiednimi środkami technicznymi. Opracowane procedury określają obowiązki użytkownika zbiorów tradycyjnych oraz zasady korzystania z systemów informatycznych. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom. Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu korzystania z usług systemów informatycznych. 10. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator Danych Osobowych, tj. dyrektor. 11. Dyrektor ZSZiO w Kartuzach realizując Politykę bezpieczeństwa dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą. 12. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych. §2 Administracja i organizacja bezpieczeństwa A. Obowiązki Administratora Danych Osobowych 1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych osobowych odpowiada Administrator Danych Osobowych. 2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów, c) merytorycznie poprawne i adekwatne w stosunku do celów. 3. Administrator Danych Osobowych dąży do systematycznego unowocześniania stosowanych na terenie szkoły informatycznych, technicznych i organizacyjnych środków ochrony tych danych w celu zabezpieczenia danych osobowych przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem przepisów o ochronie danych osobowych, nieautoryzowaną zmianą, uszkodzeniem lub zniszczeniem. 4. Administrator Danych Osobowych opracowuje i prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające 5. 6. 7. 8. 9. ochronę przetwarzanych danych osobowych, m. in. opracowuje instrukcję określającą sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. Wyznacza osobę, zwaną dalej Administratorem Bezpieczeństwa Informacji, odpowiedzialnym za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Imienne upoważnienie udzielane jest w formie pisemnej i stanowi Załącznik nr 1 do „Polityki bezpieczeństwa”. Dodatkowo, wyznacza Administratora Systemu Informatycznego odpowiedzialnego do funkcjonowania systemu informatycznego, wydając upoważnienie stanowiące Załącznik nr 2 do niniejszego dokumentu. Każdej osobie zatrudnionej przy przetwarzaniu danych osobowych i obsługującej zbiory informatyczne nadaje upoważnienie do przetwarzania danych osobowych, stanowiące Załącznik nr 3 do „Polityki bezpieczeństwa”. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Odpowiada za to by zakres czynności osoby zatrudnionej przy przetwarzaniu danych osobowych, którego wzór stanowi Załącznik nr 3a do niniejszego dokumentu, określał odpowiedzialność tej osoby za: a) ochronę danych przed niepowołanym dostępem, b) nieuzasadnioną modyfikację lub zniszczenie danych, c) nielegalne ujawnienie danych, w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych osobowych. Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego. B. Obowiązki Administratora Bezpieczeństwa Informacji 1. Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony. 2. Do obowiązków Administratora Bezpieczeństwa Informacji należy: nadzór nad przestrzeganiem instrukcji określającej sposób zarządzania systemem informatycznym; nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe; nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością; przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych; badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych; podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych; nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe; definiowanie użytkowników i haseł dostępu; nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności; wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych; sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego. 3. Administrator Bezpieczeństwa Informacji prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać: a) imię, nazwisko i stanowisko osoby upoważnionej, b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także nazwę programu (aplikacji) i identyfikator. Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 4 do niniejszej „Polityki bezpieczeństwa”. C. Obowiązki Administratora Systemu Informatycznego Obowiązkiem Administratora Systemu Informatycznego jest: naprawa, konserwacja oraz likwidacja urządzeń komputerowych zawierających dane osobowe; aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te wykonywane są automatycznie; regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych; wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe; współdziałanie z ABI w ochronie szkolnych systemów informatycznych; konsultacje, udzielanie wsparcia ABI w podejmowaniu decyzji i instalacji aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania haseł zabezpieczających informację; odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego, jego sprawność techniczną i używanie zgodnie z przeznaczeniem. D. Obowiązki użytkowników Do obowiązków użytkowników w zakresie ochrony danych osobowych należy w szczególności: przestrzeganie opracowanych zasad przetwarzania danych osobowych; przestrzeganie opracowanych procedur operacyjnych i bezpieczeństwa; udostępnianie danych osobowych wyłącznie osobom upoważnionym lub uprawnionym do ich uzyskania; uniemożliwianie dostępu lub podglądu danych osobowych dla osób nieupoważnionych; informowanie Administratora Bezpieczeństwa Informacji o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych; wykonywanie bez zbędnej zwłoki poleceń ABI w zakresie ochrony danych osobowych, jeśli są one zgodne z przepisami prawa powszechnie obowiązującego. §3 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 1. 2. 3. Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach, skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO w postaci dokumentów papierowych. Do przetwarzania zbiorów danych osobowych w systemie informatycznym ZSZiO, stosowane są pakiety biurowe lub specjalizowane aplikacje (programy). Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych stanowi Załącznik nr 6 do ,,Polityki bezpieczeństwa”. §4 Opis struktury zbiorów wskazujący zawartości poszczególnych pól informatycznych i powiązania między nimi stanowi Załącznik nr 7 do ,,Polityki bezpieczeństwa”. §5 Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami 1. 2. 3. Obieg dokumentów zawierających dane osobowe pomiędzy komórkami organizacyjnymi ZSZiO winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (informacji). Przekazywanie informacji (danych) w systemie informatycznym poza sieć lokalną ZSZiO, w miarę możliwości, powinno odbywać się w sposób szyfrowany. Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami stanowi Załącznik nr 8 do ,, Polityki bezpieczeństwa”. §6 Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych A. Środki ochrony fizycznej. Budynek Zespołu Szkół przy ul. Wzgórze Wolności 3 Zawodowych i Ogólnokształcących w Kartuzach 1. Dostęp do budynku, w którym zlokalizowany jest obszar przetwarzania danych osobowych nadzorowany jest przez monitoring poza godzinami pracy szkoły. 2. Budynek, w którym znajduje się obszar przetwarzania danych osobowych, dodatkowo zabezpieczony jest elektronicznym systemem antywłamaniowym oraz wydzielonym systemem przeciwpożarowym. 3. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi. Pracownicy zobowiązania są zamykać pomieszczenia na czas ich nieobecności. 4. Zastosowano szafy pancerne i metalowe do przechowywania kopii zapasowych i wymiennych nośników danych. B. Środki sprzętowe, informatyczne i telekomunikacyjne. Budynek Zespołu Szkół Zawodowych i Ogólnokształcących przy ul. Wzgórze Wolności 3 1. Zastosowano niszczarki dokumentów. 2. Serwer podłączony jest do zasilacza UPS, na wypadek zaniku napięcia albo awarii w sieci zasilającej. w Kartuzach zastosowanego 3. Zastosowano sieć lokalną Ethernet. 4. Dane są przetwarzane w sposób scentralizowany i zdecentralizowany. 5. Sieć lokalna podłączona jest do Internetu za pomocą sprzętowego urządzenia ( modem ADSL, serwer z mechanizmem NAT). 6. Kopie awaryjne wykonywane są na zewnętrznych nośnikach danych całościowo. C. Środki ochrony w ramach oprogramowania urządzeń teletransmisji. 1. Zastosowano sprzętowy oraz programowy firewall. 2. Wszystkie komputery chronione są programem antywirusowym działającym w tle. Uaktualnienie baz wirusowych następuje automatycznie każdego dnia bezpośrednio po uruchomieniu komputera. 3. Sprzętowy firewall chroniony jest hasłem dostępu. D. Środki ochrony w ramach oprogramowania systemu. 1. Dostęp do plików baz danych osobowych zastrzeżony jest wyłącznie dla Administratora Systemu Informatycznego. 2. System informatyczny pozwala zdefiniować odpowiednie prawa do zasobów informatycznych systemu. 3. Na komputerach użytkowników zastosowano program antywirusowy. E. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych. 1. Automatycznie rejestrowany jest identyfikator użytkownika wprowadzającego dane. 2. Dla każdego użytkownika systemu ustalony jest odrębny identyfikator. F. Środki ochrony w ramach systemu użytkowego. 1. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika. 2. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem. G. Środki organizacyjne. 1. Wyznaczono Administratora Bezpieczeństwa Informacji. 2. Tymczasowe wydruki z danymi osobowymi są niszczone po ustaniu ich przydatności. 3. Korespondencja z osobami współpracującymi z ZSZiO prowadzona jest pocztą priorytetową i zapisywana w dzienniku podawczym. 4. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania tajemnicy. 5. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowanie o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemach informatycznych. 6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. 7. Ustalono instrukcję zarządzania systemami informatycznymi. 8. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. 9. W przypadku, gdy zachodzi konieczność naprawy sprzętu poza szkołą, należy wymontować z niego nośniki zawierające dane osobowe. 10. W przypadku, gdy uszkodzenie elementu sprzętu zawierającego nośnik informacji, na którym zapisane są dane osobowe, np. dysk twardy, wymaga przekazania sprzętu poza budynek, nośniki te wymontowuje się, a następnie niszczy. §7 Zasady ochrony dostępu do danych osobowych 1. Przetwarzanie danych osobowych pracowników, uczniów i ich rodziców służy realizacji zadań szkoły. 2. Przetwarzanie danych osobowych może odbywać się zarówno w systemie informatycznym, jak i w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. 3. Dane osobowe przetwarza się w pomieszczeniach tworzących obszar przetwarzania danych osobowych określony w Załączniku nr 5 do niniejszego dokumentu. 4. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w którym znajdują się zbiory danych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. Zamknięcie na czas nieobecności uniemożliwia dostęp osób nieuprawnionych. 5. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Dostęp do pokoi jest kontrolowany za pomocą monitoringu wizyjnego. 6. Przebywanie wewnątrz obszaru, w którym są przetwarzane dane osobowe z użyciem stacjonarnego sprzętu komputerowego osób nieupoważnionych jest możliwe tylko w obecności użytkownika i za zgodą Administratora Bezpieczeństwa Informacji. 7. Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w ,,Instrukcji zarządzania systemem informatycznym w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach” stanowiącej Załącznik Nr 2 do zarządzenia. 8. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne, obowiązują przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów służbowych. 9. Osoby zatrudnione przetwarzające dane osobowe każdego rodzaju, niezależnie od systemu przetwarzania, są zobowiązane przestrzegać następujące zasady: a) mogą przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez Administratora Danych Osobowych w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych; b) muszą zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji; c) zapoznają się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”; d) stosują określone procedury oraz wytyczne mające na celu zgodne z prawem przetwarzanie danych; e) korzystają z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników; f) zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym. §8 Kontrola przestrzegania zasad zabezpieczenia danych osobowych 1. Administrator Danych i Administrator Bezpieczeństwa Informacji sprawują nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w niniejszym dokumencie. 2. Administrator Bezpieczeństwa sporządza roczny plan kontroli zatwierdzony przez dyrektora i zgodnie z nimi przeprowadza kontrole oraz dokonuje półrocznych ocen stanu bezpieczeństwa danych osobowych. 3. Na podstawie zgromadzonych materiałów, o których mowa w ust. 2, Administrator Bezpieczeństwa sporządza roczne sprawozdanie i przedstawia Administratorowi Danych (Dyrektorowi ZSZiO w Kartuzach). §9 Kontrola zabezpieczenia danych osobowych w systemie informatycznym 1. Codzienną kontrolę zabezpieczenia danych w systemie informatycznym sprawuje użytkownik. 2. Dyrektor prowadzi bieżący nadzór nad przestrzeganiem przez użytkowników zasad ochrony danych osobowych oraz sprawuje kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu przekazane. § 10 Tryb postępowania w sytuacji naruszenia ochrony danych osobowych 1. Za naruszenie ochrony danych osobowych uważa się w szczególności: 1) próbę lub fakt nieuprawnionego dostępu do zbioru danych osobowych lub obszaru, w którym są one przetwarzane, 2) sytuację, w której skutkiem jest: a) brak możliwości fizycznego dostępu do danych np. z powodu zgubienia klucza do pomieszczenia lub mebli biurowych, w których przechowywane są dokumenty zawierające przetwarzane dane osobowe, zniszczenia lub kradzieży urządzeń służących do przechowywania danych osobowych, w tym elektronicznych nośników informacji, b) brak dostępu do zawartości zbioru danych, np. zbiór istnieje, lecz nie ma możliwości przetwarzania danych osobowych, c) zmieniono zawartość zbioru, np. niepoprawna treść, postać, data, różnica w danych, d) różnica funkcjonowania systemu, a w szczególności wyświetlania komunikatów i informacji o błędach oraz nieprawidłowościach w wykonywaniu operacji. 3) zniszczenie lub próby zniszczenia w sposób nieautoryzowany danych ze zbioru danych systemowych, 4) zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach archiwalnych, 5) nieskuteczne zniszczenie nośników informacji zawierających dane osobowe umożliwiające ponowny ich odczyt przez osoby nieuprawnione, 6) nieuprawnioną zmianę elementów systemu informatycznego służących do przetwarzania danych w szczególności urządzeń, procedur i oprogramowania. 2. W przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych, dyrektor lub użytkownik zobowiązany jest do: 1) określenia, w miarę możliwości charakteru zaistniałej sytuacji (kradzież, wirus komputerowy), 2) niezwłocznego zawiadomienia o zaistniałej sytuacji Administratora Bezpieczeństwa lub Administratora Danych oraz Administratora Systemu, 3) zabezpieczenia, w zależności od sytuacji dostępu do pomieszczenia i urządzenia służącego do przetwarzania danych osobowych a także dowodów zdarzenia przed zniszczeniem, 4) powstrzymania się od pracy w systemie informatycznym oraz w przypadku podejrzenia infekcji wirusowej natychmiastowego wyłączenia urządzenia przetwarzającego dane, 5) podjęcie działań stosownie do zaistniałej sytuacji, które zapobiegną ewentualnej utracie danych osobowych, 6) sporządzeniu notatki służbowej z dokonanych ustaleń oraz podjętych działań i przekazania jej osobom wymienionym w pkt 2. 3. W sytuacji, o której mowa w ust. 2, Administrator Bezpieczeństwa zobowiązany jest do: 1) oceny sytuacji uwzględniając stan pomieszczenia, w którym przetwarzane są dane osobowe, stan urządzenia oprogramowania i zbioru oraz identyfikacji zakresu ewentualnych negatywnych następstw ochrony danych osobowych, 2) podjęcia działań mających na celu ustalenia sprawcy, miejsca, czasu i sposobu dokonania naruszenia ochrony danych osobowych, 3) podjęcia decyzji w sprawie ewentualnego odizolowania odpowiednich części systemu, dokonania przeglądu i kontroli zabezpieczeń wszystkich pozostałych elementów sytemu, 4) podjęcia działań mających na celu przywrócenie prawidłowego stanu zbiorom danych osobowych i elementów systemu informatycznego, w tym zabezpieczenia, 5) podjęcia decyzji co do dalszego postępowania, w tym dotyczącej przetwarzania danych osobowych w systemie informatycznym, 6) sporządzenie notatki służbowej, tzw. raportu z dokonanych ustaleń oraz podjętych działań. Raport, stanowiący Załącznik nr 9, powinien zawierać informacje o przyczynach, skutkach, a także winnych naruszenia ochrony danych osobowych i czy naruszenie ochrony danych osobowych było wynikiem przestępstwa oraz wnioski określające zakres działań technicznych i organizacyjnych niezbędnych do podjęcia w celu zapobieżenia w przyszłości naruszeniu ochrony danych osobowych. 7) Raport, o którym mowa w ust. 6, Administrator Bezpieczeństwa niezwłocznie przekazuje Administratorowi Danych. 8) Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu Administrator Bezpieczeństwa zasięga niezbędnych opinii i proponuje postępowanie naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych. § 11 Udostępnianie posiadanych w zbiorze danych osobowych 1. Do udostępniania posiadanych w zbiorze danych osobowych upoważniony jest Administrator Danych Osobowych lub pracownik posiadający wymagane prawem upoważnienie. 2. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, Administrator Danych Osobowych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. § 12 Szkolenia w zakresie ochrony danych osobowych 1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać przeszkolony przez Administratora Bezpieczeństwa Informacji. Szkolenie powinno obejmować następujące zagadnienia: 1) Przepisy o ochronie danych osobowych. 2) Zasady przetwarzania danych osobowych. 3) Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach informatycznych. 4) Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych. 5) Zagrożenia, na jakie może być narażone przetwarzanie danych osobowych, a w szczególności te związane z przetwarzaniem danych osobowych w systemach informatycznych. 6) Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe. 7) Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego. 8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych. 2. Szkolenia powinny być powtarzane okresowo lub na żądanie, gdy zaistnieje taka potrzeba. § 13 Przeglądy polityki bezpieczeństwa i audyty systemu 1. Polityka bezpieczeństwa powinna być poddawana przeglądowi przynajmniej raz na rok. W razie istotnych zmian dotyczących przetwarzania danych osobowych Administrator Bezpieczeństwa Informacji może zarządzić przegląd Polityki bezpieczeństwa stosownie do potrzeb. 2. Administrator Bezpieczeństwa Informacji analizuje, czy Polityka bezpieczeństwa i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do: a) zmian w budowie systemu informatycznego; b) zmian organizacyjnych Administratora Danych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych; c) zmian w obowiązującym prawie. 3. Administrator Bezpieczeństwa Informacji może, stosownie do potrzeb, przeprowadzić wewnętrzny audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Przeprowadzenie audytu wymaga uzgodnienia jego zakresu z Administratorem Systemu. Zakres, przebieg i rezultaty audytu dokumentowane są na piśmie w protokole podpisywanym zarówno przez Administratora Bezpieczeństwa Informacji, jak i Administratora Danych Osobowych. Załącznik Nr 1 Nr ewidencyjny: .............................................. do POLITYKI BEZPIECZEŃSTWA UPOWAŻNIENIE do przetwarzania danych osobowych I. Upoważniam Panią/Pana .............................................................................................................. (imię i nazwisko) zatrudnioną/zatrudnionego w ....................................................................................................... ....................................................................................................................................................... (nazwa komórki organizacyjnej) do przetwarzania danych osobowych, w celach związanych z wykonywaniem obowiązków na stanowisku: .............................................................................................................................. (zajmowane stanowisko) oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład. Niniejsze upoważnienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej (kartoteki, ewidencje, rejestry, spisy itp.*) i elektronicznej, tj. ....................................................................................................................................................... ......................................................................................................................................................, (zakres danych osobowych) zgodnie z wykazem zbiorów podanych w pkt. II. II. Upoważniam Panią/Pana do przetwarzania danych osobowych zawartych w następujących zbiorach: (proszę wpisać zgodnie z wykazem obowiązujących nazw zbiorów danych osobowych przetwarzanych w ZSZiO Kartuzy zgodnie z Załącznikiem Nr 2 do Polityki Bezpieczeństwa oraz podać zakres upoważnienia i identyfikator w zbiorze) 1.................................................................................................................................................................. 2.................................................................................................................................................................. 3.................................................................................................................................................................. Upoważnienie jest udzielane na czas trwania zatrudnienia. III. Równocześnie zobowiązuję Panią/Pana do zachowania w tajemnicy wszelkich informacji dotyczących przetwarzania danych osobowych oraz sposobu ich zabezpieczenia. Informuję, że udostępnianie danych osobowych lub umożliwianie dostępu do nich osobie nieuprawnionej podlega karze grzywnie, karze ograniczenia wolności do lat dwóch. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) OŚWIADCZENIE PRACOWNIKA IV. Ja niżej podpisana (ny) oświadczam, iż: 1. Zostałam (em) przeszkolona (ny) w zakresie ochrony danych osobowych i znana jest mi treść ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm. oraz „Polityką bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach” i wydanej na jej podstawie „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach”. 2. Zobowiązuję się: zachować w tajemnicy dane osobowe, z którymi zetknęłam się / zetknąłem się* w trakcie wykonywania swoich obowiązków służbowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu; chronić dane osobowe przed dostępem do nich osób do tego nieupoważnionych, zabezpieczać je przed zniszczeniem i nielegalnym ujawnieniem. 3. Znana jest mi odpowiedzialność karna za naruszenie ww. ustawy (art. 49-54). ..................................................................... (data, podpis pracownika) Załącznik Nr 2 do POLITYKI BEZPIECZEŃSTWA ................................................... (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DZ. U. nr 100, poz. 1024) upoważniam Pana / Panią ............................................................................................................ do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych (dz. U. nr 101, poz. 926, z 2002 r.) oraz aktów wykonawczych wydanych na jej podstawie. Obowiązkiem Pana / Pani jest: nadzór nad przestrzeganiem instrukcji określającej sposób zarządzania systemem informatycznym; nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe; nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością; przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych; badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych; podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych; nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe; definiowanie użytkowników i haseł dostępu; nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności; wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych; sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego. Jednocześnie upoważniam Pana / Panią do dostępu do zbiorów danych osobowych prowadzonych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach, ich przetwarzania i kontrolowania pracowników zatrudnionych przy jego przetwarzaniu, a także do ich przetwarzania w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) Załącznik Nr 3 do POLITYKI BEZPIECZEŃSTWA ................................................... (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DZ. U. nr 100, poz. 1024) upoważniam Pana / Panią ............................................................................................................ do wykonywania zadań Administratora Systemu Informatycznego w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych (dz. U. nr 101, poz. 926, z 2002 r.) oraz aktów wykonawczych wydanych na jej podstawie. Obowiązkiem Pana / Pani jest: naprawa, konserwacja oraz likwidacja urządzeń komputerowych zawierających dane osobowe; aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te wykonywane są automatycznie; regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych; wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe; współdziałanie z ABI w ochronie szkolnych systemów informatycznych; konsultacje, udzielanie wsparcia ABI w podejmowaniu decyzji i instalacji aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania haseł zabezpieczających informację; odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego, jego sprawność techniczną i używanie zgodnie z przeznaczeniem. Jednocześnie upoważniam Pana / Panią do dostępu do zbiorów danych osobowych prowadzonych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach, a także do ich przetwarzania w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn. ............................ (miejscowość) (data) ........................................................ (podpis Administratora Danych Osobowych) Załącznik Nr 3a ................................................... do POLITYKI BEZPIECZEŃSTWA /imię i nazwisko pracownika/ ZAKRES CZYNNOŚCI PRACOWNIKA ZATRUDNIONEGO PRZY PRZETWARZANIU DANYCH OSOBOWYCH I. Obowiązki pracownika Pracownik dopuszczony do przetwarzania danych osobowych zobowiązany jest do: 1. Zapoznania się i wypełniania obowiązków wynikających z: przepisów ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) oraz przepisów wykonawczych wydanych na jej podstawie, przepisów Konwencji oraz Dyrektyw dotyczących ochrony danych osobowych, w tym Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. 2. Kontrolowania dostępu do danych osobowych. 3. Zachowania w tajemnicy danych oraz sposobu ich zabezpieczania do których uzyskał dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia. 4. Zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. II. Odpowiedzialność pracownika Za niedopełnienie obowiązków wynikających z niniejszego aneksu pracownik ponosi odpowiedzialność na podstawie przepisów Regulaminu pracy, Kodeksu pracy oraz ustawy o ochronie danych osobowych. Oświadczam, że treść niniejszego zakresu jest mi znana i zobowiązuję się do jego przestrzegania. ……………………………… /podpis pracownika/ …………………………… /podpis pracodawcy/ Załącznik Nr 4 do POLITYKI BEZPIECZEŃSTWA Ewidencja osób upoważnionych do przetwarzania danych osobowych, zgodnie z art. 39, pkt. 1 ustawy z dnia 29 sierpnia 2002 roku o ochronie danych osobowych Dz. U. Nr 101, poz. 926 z późn. zm. Lp. 1. 2. 3. 4. 5. 6. 7. Imię i nazwisko osoby upoważnionej Stanowisko Data nadania Data ustania Zakres upoważnienia do przetwarzania danych osobowych Nazwa programu oraz identyfikator w systemie informatycznym Załącznik Nr 5 do POLITYKI BEZPIECZEŃSTWA WYKAZ POMIESZCZEŃ, w których przetwarzane są dane osobowe Lp. Pomieszczenie, w którym są przetwarzane dane osobowe Nazwa zbioru przetwarzanych danych 1. Sekretariat Archiwum Ewidencja uczniów Wykaz uczniów do matury i egzaminów potwierdzających kwalifikacje zawodowe Ewidencja zasobów szkoły 2. Księgowość i Kadry Płace Finansowo – Księgowy Przelewy Pracownicy Kandydaci do pracy Ewidencja zasobów szkoły 3. Administracja Ewidencja sprzętu komputerowego i oprogramowania Płatnik Zamówienia publiczne Badania BHP i PPOŻ Ewidencja zasobów szkoły 4. Gabinet Wicedyrektorów Arkusz organizacyjny Plan lekcji Arkusze ocen Ewidencja wyników maturalnych i gimnazjalnych uczniów 5. Gabinet Dyrektora Rejestr upoważnień 6. Doradca zawodowy Losy absolwentów 7. Kierownik szkolenia praktycznego Ewidencja wyników egzaminów zawodowych absolwentów Pracodawcy 8. Pedagog szkolny Informacje o uczniach i ich sytuacji rodzinnej, wychowawczej, profilaktycznej i opiekuńczej 9. Czytelnia i biblioteka Ewidencja księgozbioru i uczniów Załącznik Nr 6 do POLITYKI BEZPIECZEŃSTWA WYKAZ ZBIORÓW DANYCH OSOBOWYCH wraz ze wskazaniem programów zastosowanych do przetwarzania danych Sposób przetwarzania Lp. Nazwa zbioru danych osobowych Tradycyjny W systemie informatycznym (nazwa programu) 1. Archiwum X 2. Ewidencja uczniów X Sekretariat Optivum, 3. Wykaz uczniów do matury i egzaminów potwierdzających kwalifikacje zawodowe X Program Hermes 4. Ewidencja zasobów szkoły X SIO 5. Płace 6. Finansowo – Księgowy 7. Przelewy 8. Pracownicy X 9. Kandydaci do pracy X 10. Ewidencja sprzętu komputerowego i oprogramowania X 11. Płatnik 12. Zamówienia Publiczne X 13. Badania BHP i PPOŻ X 14. Arkusz organizacyjny 15. Plan lekcji X 16. Arkusze ocen X 17. Ewidencja wyników i gimnazjalnych uczniów Płace Optivum Faktury Optivum Księgowość Optivum Przelewy iPKO Kadry Optivum, Płatnik Arkusz Optivum maturalnych X LIBRUS Analizator matur PROGMAN 18. Dziennik elektroniczny LIBRUS (on-line) 19. Rejestr upoważnień X 20. Losy absolwentów X 21. Ewidencja wyników egzaminów zawodowych absolwentów X 22. Pracodawcy X 23. Informacje o uczniach i ich sytuacji rodzinnej, wychowawczej, profilaktycznej i opiekuńczej X 24. Ewidencja księgozbioru i uczniów MOL Optivum Załącznik Nr 7 do POLITYKI BEZPIECZEŃSTWA OPIS STRUKTURY ZBIORÓW DANYCH wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Lp. Nazwa zbioru danych osobowych Struktura zbioru 1. Archiwum Nazwisko i imię, imiona rodziców, data urodzenia, miejsce zamieszkania, data przyjęcia do pracy, stanowisko, wykształcenie, sposób nawiązania stosunku pracy, sposób rozwiązania stosunku pracy, data zwolnienia 2. Ewidencja uczniów Nazwisko i imię, imiona rodziców, data i miejsce urodzenia, miejsce zamieszkania, wykształcenie 3. Wykaz uczniów do matury i egzaminów potwierdzających kwalifikacje zawodowe Imiona i nazwisko, PESEL 4. Ewidencja zasobów szkoły Informacje o uczniach: imiona i nazwisko, PESEL, data i miejsce urodzenia, adres zamieszkania, wykształcenie; informacje o nauczycielach: imiona i nazwisko, PESEL, data i miejsce urodzenia, adres zamieszkania, miejsce zatrudnienia, wykształcenie, zawód, wynagrodzenie 5. Płace Nazwiska i imiona, data i miejsce urodzenia, adres zamieszkania, PESEL, NIP, miejsce pracy, zawód, kwota składników wynagrodzenia i składek 6. Finansowo – Księgowy Nazwiska i imiona, adres zamieszkania, NIP 7. Przelewy Nazwiska, imiona, adresy Powiązania między polami informacyjnymi zamieszkania, nazwa, nr konta bankowego kontrahentów, NIP, REGON, nr telefonu 8. Pracownicy Nazwisko i imię, imiona rodziców, data urodzenia, miejsce zamieszkania, numer i seria dowodu osobistego, data urodzenia dzieci pracownika, imię i nazwisko, adres i telefon osoby, którą należy powiadomić o wypadku pracownika, data przyjęcia do pracy, wykształcenie, dotychczasowe zatrudnienie, stanowisko, sposób nawiązania stosunku pracy, sposób rozwiązania stosunku pracy, data zwolnienia 9. Kandydaci do pracy Imię i nazwisko, imiona rodziców, data i miejsce urodzenia, adres zamieszkania, miejsce pracy, zawód, wykształcenie, znajomość języków, posiadane prawo jazdy, zainteresowania 10. Ewidencja sprzętu komputerowego i oprogramowania Imię i nazwisko, numery seryjne i ewidencyjne urządzeń, nazwy urządzeń i oprogramowania 11. Płatnik Nazwiska i imiona, data urodzenia, adres zamieszkania, PESEL, NIP, miejsce pracy, kwota składników wynagrodzenia i składek 12. Zamówienia publiczne Nazwisko i imię, nazwa firmy, adres firmy, nr telefonu 13. Badania BHP i POPŻ Nazwisko i imię, nazwa firmy, adres firmy, nr telefonu 14. Arkusz organizacyjny Imię i nazwisko, płeć, PESEL, data rodzenia, dane płacowe, stanowisko, wykształcenie, forma zatrudnienia Powiązanie danych użytkownika konkretnymi urządzeniami oraz oprogramowaniem oraz ich numerami seryjnymi i ewidencyjnymi. 15. Plan lekcji Imię i nazwisko 16. Arkusze ocen Imiona i nazwisko, data i miejsce urodzenia, PESEL, imiona i nazwiska rodziców oraz ich adresy zamieszkania, data opuszczenia szkoły, przyczyna opuszczenia, oceny, osiągnięcia. frekwencja 17. Ewidencja wyników maturalnych i gimnazjalnych uczniów Imiona i nazwisko, PESEL, wyniki egzaminu maturalnego i gimnazjalnego 18. Dziennik elektroniczny Imiona i nazwisko, imiona i nazwiska rodziców / opiekunów, data i miejsce urodzenia, miejsce zamieszkania, PESEL, płeć, tel. kontaktowy, osiągnięcia edukacyjne, frekwencja 19. Rejestr upoważnień Imię i nazwisko, stanowisko 20. Losy absolwentów Imię i nazwisko absolwenta, nazwa uczelni i kierunek studiów, informacje o zatrudnieniu (zakład pracy, branża, rodzaj stosunku pracy) 21. Ewidencja wyników egzaminów zawodowych absolwentów Imiona i nazwisko, PESEL, data i miejsce urodzenia, wyniki egzaminu zawodowego 22. Pracodawcy Nazwa, adres siedziby, NIP 23. Informacje o uczniach i ich sytuacji rodzinnej, wychowawczej, profilaktycznej i opiekuńczej Imiona i nazwisko, data i miejsce urodzenia uczniów, adresy zamieszkania, informacje o dysfunkcjach uczniów i ich niepełnosprawności, choroby, struktura rodziny, dane nt. zatrudnienia rodziców uczniów, nazwy i adresy instytucji 24. Ewidencja księgozbioru i uczniów Imię i nazwisko Załącznik Nr 8 do POLITYKI BEZPIECZEŃSTWA SPOSÓB PRZEPŁYWU DANYCH OSOBOWYCH pomiędzy poszczególnymi systemami Lp. Nazwa zbioru Sposób przepływu danych pomiędzy poszczególnymi systemami 1. System Kadry – System Płace Baza systemu Płace jest otwierana w trybie tylko do odczytu w systemie Płace 2. System Płace – Płatnik Eksport danych z systemu Płace w postaci pliku zapisanego w formie KDU do programu Płatnik 3. System Hermes – OKE Program szyfruje i pakuje dane tworząc plik z rozszerzeniem XML, CSV, po czym plik przesyłany jest do OKE 4. System SIO – Starostwo Powiatowe System wykorzystuje wygenerowane dane z dostępnych systemów, szyfruje i pakuje dane tworząc plik z rozszerzeniem .exp – plik przesyłany jest do Starostwa Powiatowego w Kartuzach Załącznik Nr 9 do POLITYKI BEZPIECZEŃSTWA RAPORT z naruszenia bezpieczeństwa systemu informatycznego w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach 1. Data…………………………………. Godzina………………………………… /dd.mm.rr./ 2. Osoba powiadamiająca o zaistniałym zdarzeniu: …………………………………………………………………………………………………... /imię, nazwisko, stanowisko służbowe, nazwa użytkownika – jeśli występuje/ 3. Lokalizacja zdarzenia: …………………………………………………………………………………………………... /np. nr pokoju, nazwa pomieszczenia/ 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: …………………………………………………………………………………………………... …………………………………………………………………………………………………... 5. Podjęte działania: …………………………………………………………………………………………………... …………………………………………………………………………………………………... 6. Przyczyny wystąpienia zdarzenia: …………………………………………………………………………………………………... …………………………………………………………………………………………………... 7. Postępowanie wyjaśniające: …………………………………………………………………………………………………... …………………………………………………………………………………………………... ……..……..……………………………………………… /data, podpis Administratora Bezpieczeństwa Informacji/ Załącznik nr 2 do zarządzenia nr 8a/10/11 Dyrektora ZSZiO w Kartuzach z dnia 01.12.2010r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach zwana dalej ,,Instrukcja zarządzania” określa i zawiera: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce oraz okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, 7) zasady i sposób odnotowania w systemie informacji: komu, kiedy i w jakim zakresie dane osobowe ze zbiorów zostały udostępnione, 8) procedury wykonania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. §1 Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym, wskazanie osoby odpowiedzialnej za te czynności. A. Procedura nadawania uprawnień do przetwarzania danych 1. Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych, może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, stanowiące Załącznik Nr 1 do ,, Instrukcji zarządzania systemem informatycznym”. 2. Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem przechowywane są w teczkach akt osobowych pracowników. 3. Upoważnienie powinno mieć charakter imienny i określać dozwolony okres i zakres przetwarzania danych. Upoważnienia mogą być wydawane bezterminowo lub na czas określony. 4. Upoważnienie do przetwarzania danych osobowych każdemu użytkownikowi nadaje dyrektor. 5. Każdy użytkownik systemu informatycznego, który przetwarza dane osobowe, posiada niepowtarzalny identyfikator. Identyfikator, a także hasło początkowe ustala Administrator Bezpieczeństwa Informacji. 6. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie. 7. W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych w systemie informatycznym identyfikator takiej osoby należy niezwłocznie wyrejestrować z systemu, unieważnić jej hasło oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych. Za realizację procedury rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym odpowiedzialny jest Administrator Systemu Informatycznego. 8. Wydane upoważnienie dyrektor przekazuje Administratorowi Bezpieczeństwa Informacji. 9. Administrator Bezpieczeństwa Informacji na podstawie otrzymanych upoważnień prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Wzór ewidencji stanowi Załącznik Nr 2 do ,,Instrukcji zarządzania systemem informatycznym”. 10. Administrator Bezpieczeństwa Informacji bada poprawność przekazanych dokumentów oraz: a) w przypadku braku uwag przekazuje je Administratorowi Systemu Informatycznego, w celu nadania uprawnień użytkownikowi w systemie informatycznym, b) w przypadku uwag przekazuje dokumenty z odpowiednią adnotacją dyrektorowi od którego je otrzymał. Czynności te powtarza się do czasu uzyskania akceptacji. B. Rejestrowanie uprawnień do przetwarzania danych 1. Administrator Systemu Informatycznego odpowiednio, zgodnie z przekazanymi dokumentami rejestruje użytkownika w systemie i nadaje mu określone uprawnienia. 2. Administrator Bezpieczeństwa Informacji aktualizuje ewidencję osób upoważnionych do przetwarzania danych osobowych i przekazuje informację o zarejestrowaniu użytkownika w systemie informatycznym dyrektorowi. 3. Użytkownik systemu informatycznego w obecności Administratora Systemu uwierzytelnia się w systemie informatycznym. 4. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po: a) podaniu właściwego hasła dostępu do stanowiska komputerowego, b) podaniu identyfikatora użytkownika i właściwego hasła w aplikacji. §2 Metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem. C. Metody i środki uwierzytelnienia 1. W systemie informatycznym stosuje się uwierzytelnienia dwustopniowe, na poziomie: a) dostępu do stanowiska komputerowego, b) dostępu do aplikacji, 2. Do uwierzytelnienia użytkownika w systemie informatycznym stosuje się hasła. 3. Wskazane jest, aby hasło dostępu składało się co najmniej z 8 znaków, zawierało małe i duże litery oraz cyfry i znaki specjalne. 4. Hasła nie powinny być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów. 5. Hasło nie może być ujawnione. Należy utrzymywać je w tajemnicy, również po upływie jego ważności. 6. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła. D. Procedury zarządzania środkami uwierzytelnienia 1. Administrator Systemu Informatycznego nadaje hasło dostępu do aplikacji dla nowego użytkownika albo dla użytkownika, który zapomniał swojego hasła. 2. Administrator Systemu Informatycznego zapisuje swój identyfikator i hasło dostępu do serwera i przekazuje je w kopercie Administratorowi Bezpieczeństwa Informacji. Koperta zostaje zabezpieczona w sposób uniemożliwiający jej nieuważne otwarcie. Administrator Bezpieczeństwa Informacji przechowuje kopertę w sejfie znajdującym się w sekretariacie. §3 Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym. E. Procedura rozpoczęcia pracy 1. Uruchomić komputer wchodzący w skład systemu informatycznego i zalogować się podając swój identyfikator i hasło dostępu. 2. Uruchomić aplikację, podając następnie swój identyfikator i hasło dostępu do aplikacji. 3. Rozpocząć pracę. F. Procedura zawieszenia pracy w systemie informatycznym 1. W trakcie pracy, przy każdorazowym opuszczeniu stanowiska komputerowego należy dopilnować, aby na ekranie nie były wyświetlone dane osobowe. 2. Przy opuszczeniu pokoju należy włączyć wygaszacz ekranu lub zablokować komputer. G. Procedura zakończenia pracy w systemie informatycznym 1. Zamknąć aplikację. 2. Zamknąć system informatyczny. 3. Wyłączyć monitor i drukarkę. §4 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 1. Kopie zapasowe zbiorów danych osobowych wykonywane są za pomocą specjalistycznego programu archiwizującego. 2. Oprócz kopii bezpieczeństwa wykonuje się kopie zapasowe na nośnikach wymiennych. 3. Administrator Systemu Informatycznego sprawuje nadzór nad wykonaniem kopii zapasowych oraz weryfikuje ich poprawność. 4. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. 5. Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych. §5 Sposób, miejsce oraz okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych. H. Elektroniczne nośniki informacji 1. Kopie zapasowe wykonywane są na płytach CD lub innych elektronicznych nośnikach informacji. Nośniki informacji zawierające kopie przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie. 2. Dane osobowe w postaci elektronicznej nie mogą być wynoszone poza siedzibę szkoły. 3. Po zakończeniu pracy przez użytkowników systemu informatycznego, wymienne nośniki informacji są zamykane w szafach biurowych. 4. Dane osobowe w postaci elektronicznej należy usunąć z nośnika informacji w sposób uniemożliwiający ich ponowne odtworzenie. 5. W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe należy fizycznie zniszczyć nośnik przez spalenie lub rozdrobnienie. 6. Dyski twarde z danymi osobowymi należy niszczyć zgodnie z obowiązującymi przepisami dotyczącymi gospodarki środkami trwałymi oraz wartościami niematerialnymi. I. Kopie zapasowe 1. Kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi programowych zastosowanych do przetwarzania danych należy przechowywać w szafie pancernej lub sejfie. 2. Dostęp do szafy pancernej i sejfu mają tylko upoważnieni pracownicy. J. Wydruki 1. Wydruki zawierające dane osobowe należy przechowywać w pokojach stanowiących obszar przetwarzania danych osobowych. 2. Wydruki, zawierające dane osobowe należy zniszczyć w niszczarce po ich wykorzystaniu, chyba że z odrębnych przepisów wynika obowiązek ich przechowywania. K. Dane wyjściowe z systemu informatycznego 1. Dane osobowe zapisane w formie papierowej innej niż wydruki są przechowywane na podobnych zasadach, co wydruki. 2. Formularze zgody z podpisami osób, których dotyczą dane przetwarzane w systemie informatycznym przechowywane są w sposób uniemożliwiający ich utratę. §6 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. L. Ochrona antywirusowa 1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych. 2. Wirusy komputerowe mogą pojawić się w systemach szkoły poprzez: Internet, nośniki informacji, takie jak: płyty CD, pendrive’y, dyski przenośne, itp. 3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest poprzez zainstalowanie oprogramowania antywirusowego. 4. Za ochronę antywirusową odpowiada Administrator Systemu Informatycznego. 5. Czynności związane z ochroną antywirusową systemu wykonuje Administrator Systemu, wykorzystując w trakcie pracy systemu moduł programu antywirusowego w aktualnej wersji, sprawdzającego na bieżąco zasoby systemu informatycznego. 6. Użytkownik systemu informatycznego na stanowisku komputerowym importujący dane osobowe do systemu jest odpowiedzialny za sprawdzenie tych danych pod kątem możliwości występowania wirusów. 7. Zabrania się użytkownikom komputerów wyłączania, blokowania, odinstalowywania programów zabezpieczających komputer przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. M. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej 1. 2. Administrator Systemu Informatycznego jest odpowiedzialny za aktywowanie i poprawne konfigurowanie specjalistycznego oprogramowania monitorującego wymianę danych na styku: a) sieci lokalnej i rozległej, b) stanowiska komputerowego użytkownika systemu informatycznego i pozostałych urządzeń wchodzących w skład sieci lokalnej. Użytkownicy systemu obowiązani są do utrzymania stałej aktywności zainstalowanego na ich stanowiskach komputerowych specjalistycznego oprogramowania monitorującego wymianę danych na styku tego stanowiska i sieci lokalnej. §7 Udostępnianie danych osobowych oraz zasady i sposób odnotowywania informacji o udostępnieniu danych. 1. Udostępnianie danych osobowych instytucjom i osobom spoza szkoły może odbywać się wyłącznie za pośrednictwem Administratora Bezpieczeństwa Informacji i na pisemny uzasadniony wniosek lub zgodnie z przepisami prawa (OKE, CKE, Urząd Gminy, Powiat Kartuski, itp.). 2. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. 3. Odbiorcą danych jest każdy, komu udostępnia się dane, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby użytkownika systemu lub innej osoby upoważnionej do przetwarzania danych osobowych w szkole, c) podmiotu, któremu powierzono przetwarzanie danych. §8 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. informatycznych N. Przeglądy i konserwacja urządzeń 1. O przeprowadzonych przeglądach i konserwacjach systemu w każdym przypadku informowany jest Administrator Bezpieczeństwa Informacji. 2. Przeglądy i konserwacje urządzeń wchodzących w skład systemu informatycznego powinny być wykonane w terminach określonych przez producenta sprzętu. 3. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości należy zawiadomić Administratora Bezpieczeństwa Informacji. 4. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada Administrator Systemu Informatycznego. O. Przegląd programów i narzędzi programowych 1. Przegląd programów i narzędzi programowych przeprowadzany jest w następujących przypadkach: a) zmiany wersji oprogramowania serwera plików, b) zmiany wersji oprogramowania stanowiska komputerowego użytkownika systemu informatycznego, c) zmiany systemu operacyjnego serwera plików, d) zmiany systemu operacyjnego stanowiska komputerowego użytkownika systemu informatycznego, e) wykonania zmian w projekcie systemu informatycznego spowodowanych koniecznością naprawy, konserwacji lub modyfikacji systemu informatycznego, 2. Przed dokonaniem zmian w systemie informatycznym należy dokonać przeglądu działania systemu w zmienionej konfiguracji w warunkach testowych na testowej bazie danych. Sprawdzenie powinno obejmować: a) poprawność logowania się do systemu w zależności od posiadanych uprawnień, b) poprawność działania wszystkich elementów aplikacji, c) poprawność funkcjonalną systemu informatycznego symulując działania wszystkich grup użytkowników wykonując następujące operacje: wprowadzenie danych osobowych, edytowanie danych osobowych, wyszukiwanie danych osobowych, wydruku danych osobowych. 3. Przegląd przeprowadza Administrator Systemu Informatycznego. 4. Za prawidłowość przeprowadzania przeglądów i konserwacji systemu informatycznego odpowiada Administrator Systemu Informatycznego. P. Konserwacja oprogramowania 1. Konserwację oprogramowania przeprowadza się po zgłoszeniu przez użytkownika systemu informatycznego takiej potrzeby. 2. Konserwację oprogramowania przeprowadza się także po zgłoszeniu przez użytkownika systemu informatycznego potrzeby wprowadzenia zmian pozwalających utrzymać funkcjonalność systemu. 3. Konserwacje przeprowadza Administrator Systemu Informatycznego.