polityka bezpieczenstwa

Transkrypt

Załącznik nr 1 do Zarządzenia
nr SDN.0050.20.2012
Dyrektora Zespołu Szkół
Przyrodniczo – Politechnicznych
CKU w Marszewie
z dnia 04 września 2012 r.
POLITYKA BEZPIECZEŃSTWA
OCHRONY DANYCH
OSOBOWYCH
W ZESPOLE SZKÓŁ
PRZYRODNICZO – POLITECHNICZNYCH
CENTRUM KSZTAŁCENIA USTAWICZNEGO
W MARSZEWIE
Podstawa prawna
•
•
•
•
Konstytucja RP – art. 47 oraz art. 51 ust 1.
Kodeks Pracy
Kodeks Cywilny – art. 23.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U.
z 2002 r. Nr 101, poz. 926 ze zm.).
• Akty wykonawcze do ustawy o ochronie danych osobowych:
o Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr
229, poz. 1536),
o Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października
2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony
Danych Osobowych (Dz. U. z 2011, Nr 225, poz. 1350),
o Rozporządzenie ministra spraw wewnętrznych i administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
o Rozporządzenie ministra spraw wewnętrznych i administracji z dnia
22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji
służbowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923) i Rozporządzenie ministra
spraw wewnętrznych i administracji z dnia 11 maja 2011 r. zmieniające
rozporządzenie w sprawie wzorów imiennego upoważnienia i legitymacji
służbowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz. U. z 2011 r. Nr 103, poz. 601).
Lista wybranych aktów prawnych mających zastosowanie w przypadku szkół przy
przetwarzaniu danych osobowych:
• Ustawa z dnia 7 września 1991 r. o systemie oświaty (tekst jednolity Dz. U. 2004
nr 256, poz. 2572 ze zm.)
• Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela (tekst jednolity Dz. U. 2006
nr 97 poz. 674 ze zm.)
• Ustawa z dnia 19 lutego 2004 r. o systemie informacji oświatowej (Dz. U. 2004 nr 49,
poz. 463 ze zm.)
• Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r.
w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki
dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz
rodzajów tej dokumentacji (Dz. U. 2002 nr 23, poz. 225 ze zm.)
• Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 20 lutego 2004
w sprawie warunków i trybu przyjmowania uczniów do szkół publicznych oraz
przechodzenia z jednych typów szkół do innych (Dz. U. 2004 nr 26, poz. 232 ze zm.)
Podstawowe pojęcia
•
•
•
•
•
•
•
•
•
•
•
•
•
Szkoła – w tym dokumencie jest rozumiana, jako Zespół Szkół Przyrodniczo –
Politechnicznych CKU w Marszewie;
Dane osobowe – wszelkie informacje dot. zidentyfikowanej osoby fizycznej. Osoba
możliwa do zidentyfikowania jest to osoba, której tożsamość można określić
bezpośrednio lub pośrednio w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne , fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Danymi
osobowymi mogą być także zdjęcie, głos, adres e-mail jeśli zawiera w treści imię
i nazwisko osoby, obraz z kamery przemysłowej, dane biometryczne tj. np. DNA, linie
papilarne.
Polityka - – w tym dokumencie jest rozumiana jako „Polityka bezpieczeństwa
ochrony danych osobowych” obowiązująca w Zespole Szkół Przyrodniczo –
Politechnicznych CKU w Marszewie;
Ustawa – rozumie się przez to ustawę o ochronie danych osobowych z dnia 29
sierpnia 1997 r. (Dz. U. 2002 nr 101, poz. 926 ze zm.)
Administrator Danych Osobowych (ADO) – Organ, jednostka organizacyjna lub osoba,
o których mowa w art. 3 ustawy o ochronie danych osobowych decydująca o celach
i środkach przetwarzania danych osobowych – w Zespole Szkół P-P CKU w Marszewie Dyrektor Szkoły.
Administrator Bezpieczeństwa Informacji (ABI) – osoba odpowiedzialna za
nadzorowanie przestrzegania zasad ochrony danych osobowych, oraz przygotowanie
dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych
w Zespole Szkół P-P CKU w Marszewie – Malwina Wrzeszczyńska.
Użytkownik systemu – osoba upoważniona do przetwarzania danych osobowych
w systemie. Użytkownikiem może być osoba zatrudniona w szkole, osoba wykonująca
pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba
odbywająca staż w szkole;
Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym.
Hasło – ciąg znaków literowych, cyfrowych lub innych przypisany do identyfikatora
użytkownika, znany jedynie osobie uprawnionej do pracy w systemie
informatycznym.
Administrator systemu informatycznego ASI - jest to pracownik odpowiedzialny
za sprawność, konserwację, wdrażanie zabezpieczeń, oraz stosowanie technicznych
i organizacyjnych środków ochrony systemu informatycznego w Zespole Szkół P-P
CKU w Marszewie – Jerzy Oleksy.
Sieć lokalna LAN - jest siecią przeznaczoną do transmisji danych, łączenia ze sobą
stanowisk komputerowych znajdujących się w szkole. Umożliwia: wymianę plików
oraz komunikatów pomiędzy użytkownikami, współużytkowanie zasobów
udostępnionych w sieci np. plików i drukarek. Służy do obsługi grupy budynków
zlokalizowanych na terenie Szkoły.
Sieć publiczna – sieć telekomunikacyjna, niebędąca siecią wewnętrzną służąca
do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 21 lipca 2000
r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z poźn. zm.);
Przetwarzanie danych – rozumie się to w tym dokumencie, jako jakiekolwiek
operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza
te, które wykonuje się w systemach informatycznych
•
•
•
•
•
Zabezpieczenie
danych
w
systemie
informatycznym
–
wdrożenie
i wykorzystywanie stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów.
Dane „zwykłe” i „wrażliwe - mówiąc prosto dane „wrażliwe” to takie, które
podlegają szczególnym zasadom przetwarzania i ochrony. (np. poglądy polityczne,
przekonania religijne…). Wszelkie inne dane osobowe nazywamy „zwykłymi”.
Przykładowo dane „zwykłe” to np.: imię i nazwisko, adres zamieszkania,
wykształcenie, numer PESEL, adres poczty elektronicznej.
Dane „wrażliwe” to np. dane rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, stan zdrowia, przynależność partyjna, związkowa lub
wyznaniowa, kod genetyczny, nałogi, życie seksualne, skazania i orzeczenia
dotyczące mandatów i kar.
System informatyczny – zespół współpracujący ze sobą urządzeń, programów,
procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych.
UONET – Zintegrowany system informatyczny Uczniowie Optivum Net.
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH
§1
Pojęcie oraz zakres polityki bezpieczeństwa
1. Polityka bezpieczeństwa jest to dokument opisujący zestaw praw, reguł i praktycznych
doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych
osobowych w organizacji Administratora Danych.
2. Zakres informacji objętych polityką bezpieczeństwa obejmuje:
1) wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do
przetwarzania danych,
2) opis struktury zbiorów danych,
3) sposób przepływu danych pomiędzy systemami,
4) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w których przetwarzane są dane osobowe,
5) środki techniczne oraz organizacyjne niezbędne dla zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych.
§2
Wykaz budynków, w których przetwarzane są dane osobowe
Lp.
Adres budynku
Budynek A
Marszew 22, 63-300 Pleszew
1
Budynek B
2
3
4
5
Pomieszczenia
gabinet dyrektora
gabinet wicedyrektora
sekretariat dyrektora
sekretariat uczniowski
księgowość
kadry
kasa
biblioteka szkolna
sale lekcyjne
sala sportowa
Archiwum
sale lekcyjne
gabinet kierownika internatu
gabinet specjalisty ds. produkcji
roślinnej
gabinet pielęgniarki szkolnej
kuchnia i stołówka szkolna
schronisko młodzieżowe
internat szkolny
Budynek C
Budynek D
sale lekcyjne
gospodarstwo szkolne
gabinet pedagoga szkolnego
sale lekcyjne
aula szkolna
§3
Zbiory danych przetwarzanych w systemach informatycznych i opis struktury
przetwarzanych danych osobowych
Zbiór danych osobowych
Pracownicy
Program informatyczny
służący do przetwarzania
zbioru danych
SIO
Uczniowie Optivum NET
Struktura danych
numer PESEL, płeć, rok
urodzenia, forma i wymiar
zatrudnienia, stopień awansu
zawodowego, wykształcenie,
przygotowanie pedagogiczne,
formy kształcenia i
doskonalenia, sprawowana
funkcja i zajmowane
stanowisko, rodzaj
prowadzonych zajęć albo
przyczyny nieprowadzenia
zajęć, staż pracy, wysokość
wynagrodzenia z
wyszczególnieniem jego
składników, wysokość
dodatków, o których mowa w
art. 54 ust. 3,5 KN.
imię, nazwisko oraz e-mail
pracowników, zajęcia
edukacyjne, plan lekcji, tematy
lekcji.
imię i nazwisko, dane adresowe
Mol Optivum
Płace Optivum
ZUS Płatnik
Imię i nazwisko
dane adresowe
pesel, płeć, rok urodzenia,
miejsce urodzenia, forma i
wymiar zatrudnienia, stopień
awansu zawodowego ,
wykształcenie, przygotowanie
pedagogiczne, sprawowana
funkcja i zajmowane
stanowisko, staż pracy,
wysokość wynagrodzenia
z wyszczególnieniem jego
dodatków,
nr konta bankowego
imię i nazwisko
dane adresowe
pesel, płeć, rok urodzenia,
miejsce urodzenia, forma
i wymiar zatrudnienia
imię i nazwisko
dane adresowe , nr konta
Księgowość Optivum
Kasa Optivum
bankowego, wysokość
wynagrodzenia
składników,
dane kontrahentów,
adres, nr konta bankowego,
dokumentacja księgowa
imię i nazwisko, dane dotyczące
wypłaconych kwot, dane
Kontrahentów
Rozrachunki Optivum
wypłaconych kwot, dane
Kontrahentów
Program do rozliczania
delegacji
wyjazdów, dotyczące
wypłaconych kwot,
dane samochodu
IPKO BIZNES
EXCEL
PZU –ERU
Arkusz Organizacyjny Optivum
Inwentarz Optivum
Kadry Optivum
imię i nazwisko
dane adresowe, wysokość
wynagrodzenia z
wyszczególnieniem jego
składników
imię i nazwiska, wysokość
wynagrodzenia
dodatków
imię i nazwisko
dane adresowe, wysokość opłat,
dane osób uposażonych (imię
i nazwisko, dane adresowe,
wartość uposażenia), wysokość
wypłaconych odszkodowań,
data przystąpienia i rezygnacji,
imię i nazwisko, pesel,
stanowisko, forma zatrudnienia,
pensum, wymiar etatu,
wykształcenie, stopień awansu
zawodowego, wynagrodzenie,
dodatki, staż pracy
imię i nazwisko
dane osobowe (PESEL, NIP,
imię i nazwisko, nazwisko
rodowe, data i miejsce
urodzenia, dane
teleadresowe, seria i nr
dowodu osobistego, imię
ojca, matki, stan cywilny
i rodzinny, staż pracy,
Uczniowie
Uczniowie Optivum NET
Serwisy egzaminacyjne OKE
Rozrachunki Optivum
SIO
warunki wynagrodzenia
i zatrudnienia,
umowy o pracę i zmiany ich
warunków;
umowy zlecenia;
nieobecności w pracy,
wykorzystane urlopy;
czas pracy;
stopnie awansu
zawodowego, wykształcenie
i doskonalenie zawodowe;
oceny pracy, nagrody i kary;
informacje o rodzinie;
inne dane istotne ze względu
na zatrudnienie, np. kategorię
sprawności, datę następnego
badania lekarskiego, datę
ostatniego szkolenia BHP,
informacje o stanie zdrowia
i niepełnosprawności, własne
kategorie danych,
zależne od potrzeb danej
jednostki organizacyjnej
imię i nazwisko ucznia,
nazwisko rodowe, Pesel,
miejsce urodzenia, data
urodzenia , płeć, obywatelstwo,
adres zamieszkania, telefon,
dane rodziców/prawnych
opiekunów, e-mail, fotografia
ucznia, ukończona szkoła, data
przyjęcia do szkoły, oddział,
data odejścia, nr KU, nr
dziennika, przepływy
wewnętrzne , oceny ucznia,
uwagi o uczniu, frekwencja,
orzeczenia poradni,
imię, nazwisko, pesel, data
urodzenia, miejsce urodzenia,
informacje o dysfunkcjach
wypłaconych kwot, informacja
dotycząca treści opłat
liczba uczniów, słuchaczy,
wychowanków i absolwentów
wg płci, roku urodzenia, typów
szkół, klas, profili kształcenia
zawodów, specjalnych potrzeb
edukacyjnych wynikających z
opinii i orzeczeń, rodzajów
zajęć w których uczestniczą,
wyników klasyfikowania i
promowania oraz ukończenia
nauki w szkole, pozytywnych
i negatywnych wyników
egzaminu maturalnego i
egzaminu potwierdzającego
kwalifikacje zawodowe, rodzaju
miejscowości, w której
uczniowie zamieszkują,
odległości od miejsca
zamieszkania od szkoły,
informacje dot. wypadków
ucznia, korzystania z
poszczególnych form pomocy
materialnej, psychologiczno –
pedagogicznej, dane dot.
korzystania z wypoczynku
w okresie ferii, informacje dot.
obywatelstwa, rok ukończenia
szkoły niższego szczebla.
Mol Optivum
Szkoła
SIO
Kontrahenci
Księgowość Optivum
powierzchnia nieruchomości
gruntowej, w tym terenów
sportowych, zielonych oraz
obiektów budowlanych
pozostających w dyspozycji
szkoły, liczba, rodzaj
i powierzchnia pomieszczeń
szkoły, wyposażenie szkoły,
koszty prowadzenia szkoły
z wyszczególnieniem
wydatków majątkowych,
wydatków na wynagrodzenia
wraz z pochodnymi, wydatków
na remonty oraz zobowiązania.
wypłaconych kwot, Dane
kontrahentów
§4
Zbiory danych przetwarzanych w sposób tradycyjny
Zbiór danych osobowych
Pracownicy
Dokumentacja służąca do
przetwarzania zbioru danych
Akta osobowe
Struktura danych
dane osobowe (PESEL, NIP,
imię i nazwisko, nazwisko
rodowe, data i miejsce
urodzenia, dane
teleadresowe, seria i nr
dowodu osobistego, imię
ojca, matki, stan cywilny
i rodzinny), staż pracy,
warunki wynagrodzenia
i zatrudnienia,
umowy o pracę i zmiany ich
warunków;
Oświadczenia i wnioski do
funduszu socjalnego
Dokumenty związane z
wyjazdami służbowymi
Dokumenty związane ze
stypendiami uczniowskimi
Dokumentacja egzaminacyjna
(matura, egzamin zawodowy)
Korespondencja
Dokumentacja awansów
zawodowych
Dokumenty związane z
urlopami i zwolnieniami
lekarskimi
umowy cywilnoprawne;
nieobecności w pracy,
wykorzystane urlopy;
i niepełnosprawności
(kod choroby),
czas pracy;
stopnie awansu
zawodowego, wykształcenie
i doskonalenie zawodowe;
oceny pracy, nagrody i kary;
informacje o rodzinie;
inne dane istotne ze względu
na zatrudnienie, np. kategorię
sprawności, datę następnego
badania lekarskiego, datę
ostatniego szkolenia BHP,
informacja o karalności
itp.; własne kategorie danych,
zależne od potrzeb danej
jednostki organizacyjnej
imię, nazwisko, adres,
informacje o rodzinie, dochód
w przeliczeniu na jednego
członka rodziny
nazwisko, imię, stanowisko, nr
rejestracyjny pojazdu
deklaracje uczniów, nazwisko,
imię, dochód rodziny w
przeliczeniu na osobę, dane
osobowe rodziny
imię, nazwisko, nr
egzaminatora, miejsce pracy,
pesel, seria i nr dowodu
osobistego
dane teleadresowe, nazwisko i
imię, nazwa firmy/instytucji,
NIP, REGON,
imię i nazwisko, data i miejsce
urodzenia, wykształcenie,
przydział czynności
nauczyciela, kserokopie
dokumentów potwierdzających
posiadane wykształcenie.
nazwisko, imię, stanowisko,
informacje o chorym (zgodnie z
obowiązującym wzorem
zwolnienia lekarskiego)
Karty czytelników
Informacje o zarobkach,
PIT2, zwolnienia lekarskie ,
imię i nazwisko, wymiar
zatrudnienia, dane zatrudnienia,
pesel, NIP, data nawiązania i
Uczniowie
Zaświadczenia o zarobkach,
Delegacje służbowe,
Dokumentacja księgowa,
umowy cywilno - prawne
zakończenia umowy
Dzienniki zajęć pozalekcyjnych
imię, nazwisko, PESEL, adres
zamieszkania, data urodzenia
oraz miejsce urodzenia
imię, nazwisko, nr legitymacji,
data wystawienia, podpis
odbiorcy
imię, nazwisko, nr indeksu, data
wystawienia, podpis odbiorcy
imię, nazwisko, PESEL, data i
miejsce urodzenia, numer
dokumentu, data odbioru,
podpis odbiorcy
imię nazwisko ucznia, imię i
nazwisko rodziców (prawnych
opiekunów), adres
zamieszkania ucznia, adres
zamieszkania
rodziców(prawnych
opiekunów),nr telefonu, data
oraz miejsce urodzenia, PESEL,
dane dot. ukończonej szkoły
gimnazjalnej, posiadane
orzeczenia oraz opinie
specjalistyczne, obywatelstwo,
stan cywilny, przyznane
nagrody oraz kary.
imię, nazwisko, miejsce
urodzenia, adres ucznia, imię i
nazwisko, adres rodziców
(prawnych opiekunów), data
przyjęcia do szkoły, data
wyjścia ze szkoły, nr
świadectwa ukończenia szkoły,
PESEL
Imię, nazwisko, data i miejsce
(prawnych opiekunów), rok
przyjęcia do szkoły oraz data i
przyczyna wyjścia ze szkoły,
data ukończenia szkoły,
PESEL, oceny ucznia, nr KU
Imię, nazwisko, miejsce
Rejestr legitymacji
Rejestr wydanych indeksów
Rejestr wydanych dyplomów i
świadectw
Akta uczniowskie
Księga uczniów i słuchaczy
Arkusze ocen
Karta zdrowia ucznia
(prawnych opiekunów),PESEL,
ucznia
Karty czytelników
Dokumentacja związane
z egzaminem maturalnym oraz
egzaminem potwierdzającym
kwalifikacje zawodowe
Decyzje dot. zwolnienia
z obowiązku nauki
Zaświadczenia
Szkoła
Uczniowie- wychowankowie
internatu
Pomoc psychologicznopedagogiczna (opinie,
orzeczenia, plan działań
wspierających, IPET, karta
indywidualnych potrzeb ucznia.
Dokumentacja dot. prawa jazdy.
Książka ewidencji, karty
przepracowanych godzin,
wnioski.
Umowy o praktyczną naukę
zawodu
Umowy cywilno-prawne
zawodu
Dzienniki internatu
Rejestr- ewidencja wyjść
z internatu
Podania do internatu
Książka meldunkowa
imię, nazwisko, data i miejsce
urodzenia, adres oraz nr
telefonu ucznia, PESEL,
telefonu ucznia, zaświadczenie
lekarskie o stanie zdrowia
ucznia, kserokopia prawa jazdy
imię i nazwisko ucznia, data i
miejsce urodzenia, okres
uczęszczania do szkoły
urodzenia, pesel, adres ucznia,
imię nazwisko adres
rodziców/prawnych opiekunów,
występująca dysfunkcja
imię i nazwisko ucznia, PESEL,
nr instruktora, data i miejsce
urodzenia
imię i nazwisko, adres ucznia,
dane szkoły, adres, NIP,
REGON
imię, nazwisko,
adres zamieszkania, data
urodzenia, imię
i nazwisko rodziców
(prawnych opiekunów),
imię, nazwisko, klasa
imię, nazwisko, PESEL,
adres zamieszkania, data
urodzenia oraz miejsce
urodzenia, imię i
nazwisko rodziców
(prawnych opiekunów), nr
telefonu, uwagi i opinie o stanie
zdrowia i zachowaniu
wychowanka
imię, nazwisko, PESEL,
adres zamieszkania- stałego
zameldowania, data
urodzenia oraz miejsce
urodzenia, imię i
nazwisko rodziców
(prawnych opiekunów)
Zeszyt uwag
Zestawienia opłat za wyżywienie
Interesanci
(firmy i osoby współpracujące,
byli pracownicy, emeryci,
absolwenci, petenci)
Dokumentacja związana z
kształceniem ustawicznym
(kursy). Dziennik zajęć,
ewidencja kursantów, rejestr
wydanych zaświadczeń (dot.
absolwentów)
Umowy cywilno-prawne
Dokumentacja związane
z egzaminem maturalnym oraz
egzaminem potwierdzającym
kwalifikacje zawodowe
zawodu
Np. wnioski o wydanie
zaświadczeń, Rp7, duplikatu
świadectwa pracy, duplikatu
świadectw szkolnych
Umowy najmu, dzierżawy
Stacja Kontroli Opryskiwaczy
Ewidencja znaków kontrolnych
potwierdzających sprawność
techniczną sprzętu do
stosowania środków ochrony
roślin
Protokół kontroli
Zaświadczeni potwierdzające
sprawność techniczną sprzętu do
roślin
Rejestr przebadanego sprzętu do
roślin
seria i nr dowodu osobistego
lub oznaczenie dokumentu
stwierdzającego tożsamość
imię, nazwisko, uwagi
imię, nazwisko, kwota
imię i nazwisko kursanta,
PESEL, data i miejsce
urodzenia , adres, nr prawa
jazdy
imię i nazwisko, data i miejsce
urodzenia, NIP, kwota
wynagrodzenia.
telefonu ucznia, PESEL,
nazwisko i imię, adres
właściciela gospodarstwa lub
firmy
urodzenia, PESEL, NIP, adres
zamieszkania, imiona rodziców,
nazwisko rodowe, seria i nr
dowodu osobistego, okres
zatrudnienia, okres nauki.
imię, nazwisko, nazwa firmy,
regon, adres, NIP, PESEL
nr znaku kontrolnego ,
data wydania ,
właściciel opryskiwacza
( imię, nazwisko lub firma) ,
nr protokołu kontroli ,
nr zaświadczenia .
imię, nazwisko, adres
właściciela lub użytkownika
opryskiwacza , NIP , opis
badania opryskiwacza, wynik
badania.
imię, nazwisko, adres
posiadacza sprzętu ,
typ sprzętu , producent ,
rok produkcji , nr protokołu
kontroli , nr zaświadczenia ,
data badania , wynik badania.
imię, nazwisko, NIP,
adres posiadacza sprzętu,
typ sprzętu, producent,
rok produkcji, nr protokołu
kontroli, nr zaświadczenia, data
badania, wynik badania.
§5
System przetwarzania danych osobowych
1. W skład systemu wchodzą:
1) dokumentacja prowadzona w sposób tradycyjny (papierowy) tj. dokumenty
pracowników, uczniów, interesantów, kandydatów do pracy, korespondencja,
2) wydruki komputerowe,
3) urządzenia oraz oprogramowania komputerowe wykorzystywane do przetwarzania
danych,
4) procedury przetwarzania danych.
§6
Sposób przepływu danych pomiędzy systemami
1. KADRY – PŁACE
Z aplikacji Kadry Optivum wykorzystywane są dane do programu Płace Optivum
i odwrotnie dotyczące pracowników.
Sposób przekazywania danych : sieć publiczna (szyfrowanie transmisji danych- SSL)
2. PŁACE – PŁATNIK
Sposób przekazywania danych : manualny
3. PŁATNIK – SUS
Sposób przekazywania danych: za pomocą przekazu elektronicznego
4. SEKRETARIAT – DZIENNIK LEKCYJNY
Z aplikacji Sekretariat Optivum NET wykorzystywane są dane do programu Dziennik
lekcyjny Optivum NET dotyczące uczniów oraz nauczycieli.
Sposób przekazywania danych : sieć publiczna ( szyfrowanie transmisji danych- SSL)
4.
MOL OPTIVUM – UONET / KADRY
Sposób przekazywania danych : manualny
5. DZIENNIK LEKCYJNY – MODUŁ LEKCYJNY, MODUŁ ANALIZ,
ŚWIADECTWA OPTIVUM, WITRYNA DLA RODZICÓW/UCZNIA
Sposób przekazywania danych : sieć publiczna (szyfrowanie transmisji danych- SSL)
Pozostałe programy są niezależne i posiadają samodzielne bazy danych. Przetwarzanie
danych osobowych w systemie informatycznym odbywa się przy zachowaniu wysokiego
poziomu bezpieczeństwa.
§7
Środki techniczne i organizacyjne stosowane w przetwarzaniu danych
1. Cele i zasady funkcjonowania polityki bezpieczeństwa
Realizując Politykę bezpieczeństwa informacji zapewnia się ich:
1) poufność – informacja nie jest udostępniana lub ujawniana nieupoważnionym
osobom, podmiotom i procesom,
2) integralność – dane nie zostają zmienione lub zniszczone w sposób nie autoryzowany,
3) dostępność – istnieje możliwość wykorzystania ich na żądanie, w założonym czasie,
przez autoryzowany podmiot,
4) rozliczalność – możliwość jednoznacznego przypisania działań poszczególnym
osobom,
5) autentyczność – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak
deklarowana,
6) niezaprzeczalność – uczestnictwo w całości lub części wymiany danych przez jeden
z podmiotów uczestniczących w tej wymianie jest niepodważalne,
7) niezawodność – zamierzone zachowania i skutki są spójne.
§8
1. Polityka bezpieczeństwa informacji w Szkole ma na celu zredukowanie możliwości
wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj.:
1) naruszeń danych osobowych rozumianych jako prywatne dobro powierzone Szkole,
2) naruszeń przepisów prawa oraz innych regulacji,
3) utraty lub obniżenia reputacji Szkoły,
4) strat finansowych ponoszonych w wyniku nałożonych kar,
5) zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemów.
§9
1. Realizując Politykę bezpieczeństwa w zakresie ochrony danych osobowych Szkoła
dokłada szczególnej staranności w celu ochrony interesów osób, których dane
dotyczą, a w szczególności zapewnia, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami,
3) merytorycznie poprawne i adekwatne w stosunku do celu, w jakim są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
§ 10
Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych
1. Administrator Danych Osobowych (ADO) – Organ, jednostka organizacyjna lub osoba,
o których mowa w art. 3 ustawy o ochronie danych osobowych decydująca o celach
i środkach przetwarzania danych osobowych – w Zespole Szkół P-P CKU w Marszewie Dyrektor Szkoły:
1) formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych
osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez
nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem
lub zniszczeniem,
2) wydaje upoważnienie do przetwarzania danych osobowych określając w nich zakres
i termin ważności – wzór upoważnienia określa załącznik nr 1,
3) decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych,
4)
5)
6)
7)
odpowiada za zgodne z prawem przetwarzanie danych osobowych w Szkole,
pozyskuje dane w oparciu o jedną z przesłanek dopuszczalności przetwarzania danych,
ma obowiązek informacyjny w przypadku zbierania danych osobowych,
uzupełnia, uaktualnia, prostuje, czasowo lub na stałe wstrzymuje przetwarzanie
kwestionowanych danych osobowych lub usuwa je ze zbioru danych,
8) sprawuje kontrolę nad przekazywaniem danych osobowych,
9) odpowiada za prowadzenie dokumentacji (Polityka bezpieczeństwa danych osobowych
oraz Instrukcja zarządzania systemem przetwarzania danych osobowych przy użyciu
systemu informatycznego),
10) czuwa nad stosowaniem środków technicznych i organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych,
11) dopuszcza do przetwarzania danych osobowych wyłącznie osoby posiadające
upoważnienie nadane przez ADO,
12) wydawanie upoważnień do przetwarzania danych osobowych,
13) wyznacza Administratora Bezpieczeństwa Informacji (ABI),
14) wyznacza Administratora Systemu Informatycznego (ASI).
2. Administrator Bezpieczeństwa Informacji (ABI) – osoba nadzorująca przestrzeganie
zasad ochrony w Zespole Szkół P-P CKU w Marszewie, która egzekwuje zgodnie z prawem
przetwarzanie danych osobowych w Szkole w imieniu ADO,
1) przygotowywanie upoważnień oraz prowadzenie ewidencji osób upoważnionych do
przetwarzania danych osobowych – wzór rejestru określa załącznik nr 2,
2) ewidencjonuje oświadczenia osób upoważnionych o zaznajomieniu się z zasadami
zachowania bezpieczeństwa danych – wzór oświadczenia określa załącznik nr 3,
3) określa potrzeby w zakresie stosowanych w Szkole zabezpieczeń, wnioskuje do ADO
o zatwierdzenie proponowanych rozwiązań i nadzoruje prawidłowość ich wdrożenia,
4) bierze udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane
osobowe w Szkole i zapewnia odpowiedni poziom przeszkolenia w tym zakresie.
3. Administrator Systemu Informatycznego (ASI) – pracownik Szkoły wyznaczony przez
Dyrektora Szkoły:
1) zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym
zgodnie z wymogami prawa,
2) doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi z ich
przetwarzaniem,
3) przydziela identyfikatory użytkownikom systemu informatycznego oraz zaznajamia ich
z procedurami ustalania i zmiany haseł dostępu. Przeprowadza szkolenia z tego zakresu.
4) nadzoruje i przeprowadza prace związane z rozwojem, modyfikacją, serwisowaniem
i konserwacją sieci LAN oraz systemu informatycznego,
5) nadzoruje prace serwerów, dodaje i kasuje konta użytkowników, konfiguruje
komputery, instaluje oprogramowania,
6) asystuje i współpracuje z zewnętrznymi specjalistami przy pracach instalacyjnych,
konfiguracyjnych i naprawczych,
7) zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci
i zabezpieczenie łączy zewnętrznych.
4.
Pracownik przetwarzający dane (PPD) – pracownik upoważniony przez ADO:
1) chroni prawo do prywatności osób fizycznych powierzających Szkole swoje dane
osobowe poprzez przetwarzanie ich zgodnie z przepisami prawa oraz zasadami
określonymi w Polityce bezpieczeństwa i Instrukcji zarządzania systemem przetwarzania
danych osobowych przy użyciu systemu informatycznego,
2) zapoznaje się zasadami określonymi w Polityce bezpieczeństwa i Instrukcji zarządzania
systemem przetwarzania danych osobowych przy użyciu sytemu informatycznego
i składa oświadczenie o znajomości.
§ 11
Zasady udzielenia dostępu do danych osobowych
1.
2.
3.
Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami
ustawy o ochronie danych osobowych oraz zasadami zawartymi w obowiązującej
w Szkole Polityce bezpieczeństwa i Instrukcji zarządzania systemem przetwarzania
danych osobowych przy użyciu systemu informatycznego. Osoba zaznajomiona
z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu.
Dostęp do danych osobowych może mieć wyłącznie osoba posiadająca pisemne oraz
imienne upoważnienie wydane przez ADO.
ADO może wyznaczyć upoważnionych do przetwarzania danych osobowych
pracowników Szkoły do nadzoru nad upoważnionymi pracownikami podmiotów
zewnętrznych lub innymi upoważnionymi osobami przetwarzającymi dane osobowe
w Szkole.
§ 17
Zasady przetwarzania danych osobowych
1.
2.
3.
4.
5.
Zasada legalności – przetwarzanie danych zgodnie z obowiązującymi przepisami
prawa.
Zasada celowości – zbieranie danych dla oznaczonych , zgodnych z prawem celów
i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami.
Zasada merytorycznej poprawności – dbanie o merytoryczna poprawność danych,
Zasada adekwatności – dbanie o adekwatność danych w stosunku do celów, w jakich
są przetwarzane.
Zasada ograniczenia czasowego – przechowywanie danych w postaci
umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do
osiągnięcia celu przetwarzania.
§ 18
Udostępnianie i powierzanie danych osobowych
1.
Dane udostępniane są na pisemny i umotywowany wniosek osoby lub instytucji.
Udostępnione dane można wykorzystywać wyłącznie zgodnie z przeznaczeniem, dla
którego zostały udostępnione.
2.
Rodzaje udostępniania danych osobowych
1) Udostępnianie danych osobowych posiadanych w zbiorze danych przez administratora
danych, osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów
prawa (np. policja, prokuratura).
2) Udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom
niż uprawnione do otrzymania danych osobowych na podstawie przepisów prawa
(np. osobom prywatnym).
3.
1)
2)
3)
4)
5)
6)
7)
4.
1)
2)
3)
4)
5)
6)
7)
5.
1)
2)
3)
4)
5)
6.
7.
Udostępnianie danych osobowych podmiotom uprawnionym na podstawie przepisów
prawa – wymagania względem wniosku o udostępnianie danych zwykłych
i wrażliwych:
forma pisemna,
podstawa prawna uprawniająca do otrzymania danych osobowych,
zakres i przeznaczenie danych osobowych,
informacje umożliwiające odszukanie danych osobowych w zbiorze,
nie naruszać wskutek udostępniania danych praw i wolności osób, których dane
dotyczą,
dotyczyć udostępniania danych w celu innym niż włączenie do zbioru
gwarantować wykorzystanie udostępnionych danych osobowych tylko i wyłącznie
w celu , w jakim zostały udostępnione.
Udostępnianie danych osobowych podmiotom innym niż uprawnione na podstawie
przepisów prawa – wymagania względem wniosku o udostępnianie danych zwykłych:
forma pisemna,
zakres i przeznaczenie danych osobowych
informacje umożliwiające odszukanie danych osobowych w zbiorze,
wiarygodne uzasadnienie i umotywowanie potrzeby posiadania danych osobowych,
nie naruszać wskutek udostępniania danych praw i wolności osób, których dane
dotyczą,
dotyczyć udostępniania danych w celu innym niż włączenie do zbioru
gwarantować wykorzystanie udostępnionych danych osobowych tylko i wyłącznie
w celu , w jakim zostały udostępnione.
Udostępnienie danych może nastąpić na pisemny wniosek zawierający następujące
elementy:
adresat wniosku (administrator danych),
wnioskodawca,
podstawa prawna (wskazanie potrzeby),
wskazanie przeznaczenia,
zakres informacji.
Administrator odmawia udostępnienia danych jeżeli spowodowałoby to naruszenie
dóbr osobistych osób, których dane dotyczą lub innych osób.
Każda osoba fizyczna, której dane przetwarzane są w Szkole, ma prawo zwrócić się
z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych,
prawo do kontroli i poprawiania swoich danych osobowych, a także w przypadkach
określonych w art. 32 ust 1 pkt 7 i 8 ustawy o ochronie danych osobowych prawo
wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz
sprzeciwu wobec przekazywania ich innym podmiotom.
8.
Sprawy związane z udzielaniem informacji w tym zakresie prowadzi ABI, udzielając
informacji o zawartości zbioru danych na piśmie zgodnie ze wzorem w załączniku
nr 4.
§ 19
Bezpieczeństwo w przetwarzaniu danych osobowych w formie tradycyjnej
(dokumentacja papierowa)
1.
Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych
pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania
pracownika. Opuszczenie pomieszczenia, w których znajdują się zbiory danych
osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio
zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika
pomieszczenie winno być zamknięte na klucz.
2.
Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy
upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią
danych.
3.
Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Szkole
powinno odbywać się po uzyskaniu upoważnienia lub skonsultowane z ADO
w przypadku osób upoważnionych do przetwarzania tych danych na podstawie
ogólnie obowiązujących przepisów.
§ 20
Bezpieczeństwo w
informatycznych
1.
przetwarzaniu
danych
osobowych
w
systemach
Zasady bezpiecznego użytkowania systemu informatycznego zawarte są Instrukcji
zarządzania systemem przetwarzania danych osobowych przy użyciu systemu
informatycznego, obligatoryjnej do zapoznania się i stosowania przez wszystkich
użytkowników systemu informatycznego szkoły.
§ 21
1.
Ryzyko związane z przetwarzaniem danych osobowych – analiza zagrożeń
FORMA PRZETWARZANIA DANYCH
ZAGROŻENIA
•
•
•
dane przetwarzane w sposób tradycyjny
•
oszustwo, kradzież, sabotaż;
zdarzenia losowe (powódź, pożar);
zaniedbania pracowników szkoły
(niedyskrecja, udostępnienie danych osobie
nieupoważnionej, nienależyte,
przechowywanie dokumentacji);
niezabezpieczone szafki oraz szuflady;
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
dane przetwarzane w systemach
informatycznych
•
•
•
•
•
•
•
niedoskonałe biurko użytkownika
(nadużycie obsługi z zakresu sprzątania oraz
innych interesantów)
niekontrolowana obecność nieuprawnionych
osób w obszarze przetwarzania;
pokonanie zabezpieczeń fizycznych;
podsłuchy, podglądy;
ataki terrorystyczne;
jakość urządzeń i zabezpieczeń
przechowywania dokumentacji w archiwum.
brak rejestrowania udostępniania danych;
niewłaściwe miejsce i sposób
przechowywania dokumentacji;
nie przydzielenie użytkownikom systemu
informatycznego identyfikatorów;
niewłaściwa administracja systemem;
niewłaściwa konfiguracja systemu;
zniszczenie (sfałszowanie) kont
użytkowników;
kradzież danych kont;
pokonanie zabezpieczeń programowych;
zaniedbania pracowników szkoły
(niedyskrecja, udostępnienie danych osobie
nieupoważnionej);
niekontrolowana obecność nieuprawnionych
osób w obszarze przetwarzania;
zdarzenia losowe (powódź, pożar);
niekontrolowane wytwarzanie i wypływ
danych poza obszar przetwarzania z pomocą
nośników informacji i komputerów
przenośnych;
naprawy i konserwacje systemu lub sieci
teleinformatycznej wykonywane przez osoby
nieuprawnione;
przypadkowe bądź celowe uszkodzenie
systemów i aplikacji informatycznych lub
sieci;
przypadkowe bądź celowe modyfikowanie
systemów i aplikacji informatycznych lub
sieci;
przypadkowe bądź celowe wprowadzenie
zmian do chronionych danych osobowych
brak rejestrowania zdarzeń tworzenia lub
modyfikowania danych;
2. Ryzyko związane z przetwarzaniem danych osobowych – sposoby zabezpieczenia
danych
STOSOWANE ŚRODKI OCHRONY
FORMA PRZETWARZANIA DANYCH
•
•
•
•
•
•
•
dane przetwarzane w sposób tradycyjny
•
•
•
•
•
•
•
dane przetwarzane w systemach
informatycznych
•
•
przechowywanie danych osobowych
w szafach zamykanych na klucz, sejfach,
szafach pancernych;
zastosowanie czujników ruchu
informujących firmę ochroniarską
o nieautoryzowanym wejściu do budynku;
przetwarzanie danych wyłącznie przez
osoby posiadających upoważnienie nadane
przez ADO;
monitoring szkoły (kamery zewnątrz i
wewnątrz budynków, nadzór Agencji
Ochrony Osób i Mienia)
staranny wybór dokumentacji
przeznaczonej do zniszczenia
zabezpieczanie pomieszczeń podczas
nieobecności pracownika (niepozostawianie
petenta w biurze)
zapoznanie pracowników z zasadami
przetwarzania danych osobowych oraz
obsługą systemu służącego do ich
przetwarzania;
zobowiązanie osób zatrudnionych do
zachowania tajemnicy danych osobowych,
organizowanie stanowiska pracy tak, aby
w dokumenty z danymi osobowymi nie
miały osoby postronne.
zapoznanie pracowników z polityką
bezpieczeństwa oraz instrukcją zarządzania
systemem informatycznym.
klucze do klas wydawane nauczycielom
są w sekretariacie uczniowskim, zgodnie z
przydziałem sal w planie zajęć lekcyjnych.
Prawidłowe gospodarowanie drukami
ścisłego zarachowania w sposób
zapewniający bezpieczne przechowywanie
oraz prawidłowe ich rozliczanie (ewidencja
druków w specjalnie do tego celu założonej
księdze druków ścisłego zarachowania,
całość dokumentów przechowywana
w metalowej szafie)
kontrola dostępu do systemów;
zastosowanie zapór systemowych,
programów ochrony komputera przed
szpiegującym i złośliwym
oprogramowaniem, stosowanie
programów antywirusowych.
stosowanie ochrony zasilania (UPS);
składowanie danych sensytywnych oraz
nośników wymiennych i nośników kopii
zapasowych w odpowiednio
•
•
•
•
•
•
•
zabezpieczonych szafach;
zabezpieczenie pomieszczenia serwerowni;
(monitoring, czujniki ruchu)
przydzielenie pracownikom indywidualnych
kont użytkowników i haseł;
stosowanie indywidualnych haseł
logowania do poszczególnych programów;
właściwa budowa hasła;
zapoznanie pracowników z polityką
bezpieczeństwa oraz instrukcją zarządzania
systemem informatycznym.
sprzętowe i programowe środki ochrony
poufności danych przesyłanych drogą
elektroniczną (środki ochrony transmisji)
przeszkolono osoby zatrudnione przy
przetwarzaniu danych osobowych w
zakresie zabezpieczenia systemu
informatycznego.
3.
Określenie wielkości ryzyka
Poziom ryzyka naruszenia bezpieczeństwa danych jest niski. Zastosowane techniczne
i organizacyjne środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla
poszczególnych systemów , rodzajów zbiorów oraz kategorii danych osobowych.
4.
Identyfikacja obszarów wymagających szczególnych zabezpieczeń
Uwzględniając kategorię przetwarzanych danych oraz zagrożenia zidentyfikowane
w wyniku przeprowadzonej analizy, stosuje się wystarczający poziom bezpieczeństwa.
Administrator Bezpieczeństwa Informacji gromadzi zgłoszenia pracowników dotyczące
zastosowania środków technicznych i organizacyjnych, i przekazuje je ADO celem
zapewnienia właściwej ochrony przetwarzania danych osobowych.
Załączniki:
1. Upoważnienie do przetwarzania danych osobowych.
2. Rejestr - ewidencja osób upoważnionych do przetwarzania danych osobowych.
3. Oświadczenie pracownika o zaznajomieniu się z zasadami zachowania
bezpieczeństwa danych osobowych.
4. Informacji o zawartości zbioru.
5. Instrukcja zarządzania systemem przetwarzania danych osobowych przy użyciu
systemu informatycznego.
6. Instrukcja postępowania w sytuacji naruszenia danych.
Załącznik nr 1
do Polityki bezpieczeństwa
ochrony danych osobowych
w Zespole Szkół P-P CKU
w Marszewie
................................................................
(miejscowość, data)
.....................................................................
(pieczęć Szkoły)
UPOWAŻNIENIE NR........../20....
DO PRZETWARZANIA DANYCH OSOBOWYCH
Na podstawie art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych
(tekst jedn. Dz. U. 2002 nr 101, poz. 926 ze zm.) upoważniam:
.......................................................................................................................................................
(imię i nazwisko)
zatrudnionego/zatrudnioną* na stanowisku..................................................................................
w Zespole Szkół Przyrodniczo – Politechnicznych
Centrum Kształcenia Ustawicznego w Marszewie
do przetwarzania danych w sposób tradycyjny oraz za pomocą systemu informatycznego
w zakresie zgodnym z zakresem obowiązków na obejmowanym stanowisku pracy.
...........................................................................
(podpis i pieczęć administratora danych osobowych)
*niepotrzebne skreślić
Załącznik nr 2
w Marszewie
………………………………….
(pieczęć Szkoły)
EWIDENCJA OSÓB UPOWAŻNIONYCH
DO PRZETWARZANIA DANYCH OSOBOWYCH
Lp.
Imię
i nazwisko
Data nadania
upoważnienia
Data ustania
upoważnienia
1.
2.
3.
4.
5.
* dotyczy osób przetwarzających dane w systemie informatycznym
Zakres uprawnień
(zbiory danych, których
dotyczy upoważnienie)
Identyfikator
(login)*
Załącznik nr 3
w Marszewie
.............................................................
(imię i nazwisko pracownika)
.............................................................
(stanowisko służbowe)
OŚWIADCZENIE
Oświadczam, że zapoznałam (-em) się z przepisami ustawy z 29 sierpnia 1997 r. o ochronie
danych osobowych (tekst jedn. Dz. U. 2002 nr 101, poz. 926 ze zm.),
Polityką
bezpieczeństwa ochrony danych osobowych, Instrukcją zarządzania systemem przetwarzania
danych osobowych przy użyciu systemu informatycznego oraz Instrukcją postępowania
w sytuacji naruszenia danych osobowych i zobowiązuję się do ich przestrzegania w trakcie
pracy w:
Zespole Szkół Przyrodniczo – Politechnicznych
Centrum Kształcenia Ustawicznego w Marszewie.
(nazwa szkoły)
Oświadczam, iż zapoznałam (-em) się z zakresem informacji objętych tajemnicą państwową,
służbową, zawodową określoną w obowiązujących ustawach (art. 100 § 2 pkt. 4 i 5 KP oraz
§ 3 Rozporządzenia Ministra Pracy i Polityki Socjalnej z 28.05.1996 r.) i zobowiązuję się do
jej zachowania zgodnie z zajmowanym przeze mnie stanowiskiem pracy.
Jednocześnie zobowiązuję się do zachowania w tajemnicy wszystkich danych osobowych, do
których miałam (-em) dostęp w związku z zatrudnieniem, a także po ustaniu stosunku
zatrudnienia.
...................................................................
(data i podpis pracownika)
Załącznik nr 4
w Marszewie
Marszew, dnia ……………................ r.
...........................................................
(pieczęć Szkoły)
...........................................................
(imię i nazwisko)
...........................................................
...........................................................
(adres)
INFORMACJA
O ZAWARTOŚCI ZBIORU DANYCH OSOBOWYCH
W związku z Pani/Pana* wnioskiem z dnia ………………………… r. o udzielenie
informacji związanych z przetwarzaniem danych osobowych w Zespole Szkół Przyrodniczo –
Politechnicznych CKU w Marszewie działając na podstawie art. 33 ust. 1 Ustawy o ochronie
danych osobowych informuję, że zbiór danych zawiera następujące Pani/Pana* dane
osobowe: ......................................................................................................................................
Powyższe dane przetwarzane są w Zespole Szkół Przyrodniczo – Politechnicznych CKU
w Marszewie w celu …………………………….............………………………………………
z
zachowaniem
wymaganych
zabezpieczeń
i
zostały
uzyskane
………….………………………………...........................................................................…..….
(podać sposób)
Powyższe dane nie były/ były* udostępniane …………………………………………..
(podać komu)
w celu …………………………………….......................................................................………
(podać cel przekazania danych)
Zgodnie z Rozdziałem 4 Ustawy o ochronie danych osobowych przysługuje Pani/Panu* prawo
do kontroli danych osobowych, prawo ich poprawiania, a także w przypadkach określonych w
art. 32 ust. 1 pkt 7 i 8 Ustawy, prawo wniesienia umotywowanego żądania zaprzestania
przetwarzania
danych
oraz
prawo
sprzeciwu
wobec
przetwarzania
danych
w celach marketingowych lub wobec przekazywania danych innemu administratorowi danych
osobowych.
..............................................................................
(podpis Administratora Bezpieczeństwa Informacji)
* Niepotrzebne skreślić

polityka bezpieczenstwa

Transkrypt

Podobne dokumenty

lista członków założycieli spóldzielni socjalnej

Wniosek o przekazywanie świadczeń na konto w Polsce

Upoważnienie jednorazowe do wydania dokumentacji medycznej

Na podstawie przeprowadzonej w ramach

KWESTIONARIUSZ CZŁONKÓW STOWARZYSZENIA

Odpis dotyczy

Nazwisko ……………………………………….Imiona

karta danych osobowych członka nazwisko imię data urodzenia

Nr zaświadczenia ………………. Nazwisko, pierwsze imię, data