Instrukcja zarządzania systemem informatycznym i ręcznym
Transkrypt
Instrukcja zarządzania systemem informatycznym i ręcznym
Instrukcja zarządzania systemem informatycznym i ręcznym Strona 1 z 3 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I RĘCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH I POSTĘPOWANIA W SYTUACJI ICH NARUSZENIA Instrukcja zarządzania systemem informatycznym i ręcznym służącym do przetwarzania danych osobowych i postępowania w sytuacji ich naruszenia w Zespole Szkół Usługowo- Gospodarczych w Pleszewie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 2002/101/926 tekst jednolity z późn. zm.), 2. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 2005/196/1631 tekst jednolity z późn. zm.). 1. Dyrektor Zespołu Szkół Usługowo- Gospodarczych w Pleszewie jest obowiązany pełnić rolę Administratora Danych Osobowych w ww. zakładzie w skrócie ADO. 2. ADO określa sposób zabezpieczania hasła użytkowania komputerów dla przetwarzania danych osobowych i określa zasady dotyczące zmiany ich w razie potrzeby. 3. ADO jest odpowiedzialny za właściwy nadzór nad funkcjonowaniem ochrony danych osobowych. 4. Dyrektor Zespołu Szkół Usługowo- Gospodarczych w Pleszewie prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych. 5. Obszarami do przetwarzania danych osobowych z użyciem sprzętu komputerowego oraz sposobem ręcznym są: • w budynku A ( wydzielona część sekretariatu Szkoły obszar za ladą ze wszystkimi urządzeniami oraz szafy , wydzielona część gabinetu Dyrektora obszar za biurkiem ze wszystkimi urządzeniami oraz szafy i sejf , wydzielona część gabinetu Wicedyrektora obszar za biurkiem ze wszystkimi urządzeniami oraz szafy, wydzielona część gabinetu Głównego Księgowego Szkoły obszar za biurkiem ze wszystkimi urządzeniami oraz szafy, wydzielona część Pokoju Nauczycielskiego- szafy, Składnica Akt i Dokumentów, wydzielona część Instrukcja zarządzania systemem informatycznym i ręcznym Strona 2 z 3 gabinetu wyznaczonych pracowników d.s. kadrowych i uczniowskich obszar za biurkiem ze wszystkimi urządzeniami oraz szafy, wydzielona część gabinetu pedagoga szkolnego obszar za biurkiem ze wszystkimi urządzeniami oraz szafy) • w budynku B ( wydzielona część gabinetu pielęgniarki szkolnej obszar za biurkiem ze wszystkimi urządzeniami oraz szafy, wydzielona część biblioteki szkolnej, zaplecze oraz obszar za biurkiem nauczyciela bibliotekarza ze wszystkimi urządzeniami) • w budynku C ( wydzielona część pomieszczenia do wyłącznej dyspozycji nauczycieli wychowania fizycznego) • w budynku D ( wydzielona część gabinetu Wicedyrektora obszar za biurkiem ze wszystkimi urządzeniami oraz szafy, wydzielona część pomieszczenia do wyłącznej dyspozycji nauczycieli j. obcych i przedmiotów informatycznych, Serwerownia) • we wszystkich salach lekcyjnych biurko nauczycielskie wraz z urzadzeniami 6. Przebywanie osób nieuprawnionych wewnątrz obszaru, o którym mowa w pkt. 6, jest dopuszczalne tylko w obecności osób zatrudnionych przy przetwarzaniu tych danych lub za zgodą ADO. 7. Przetwarzanie danych osobowych to wykonywanie na nich operacji takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie zarówno w systemie informatycznym jak i ręcznym. 8. Procedura rozpoczęcia i zakończenia pracy: a) na stanowiskach, na których przetwarzane są dane osobowe ekrany monitorów powinny być tak ustawione, aby osoby nieupoważnione nie miały dostępu do informacji na nich wyświetlanych, b) uruchomienie komputera odpowiednim hasłem, c) upewnienie się, że osoby nie upoważnione nie mają możliwości wglądu do danych, d) w razie przerwania pracy zastosowanie wygaszacza ekranu, e) upewnienie się czy dane zostały zarejestrowane, aby uniknąć utraty danych z powodu awarii, f) podczas nieobecności osób zatrudnionych przy informatycznym przetwarzaniu danych osobowych pomieszczenia, w których przetwarzane są dane, nie mogą być udostępniane osobom postronnym, g) zakończenie pracy związanej z przetwarzaniem danych powinno odpowiadać wszystkim regułom bezpieczeństwa informacji. Kopie informatyczne, wydruki wykonuje się w miarę potrzeb i przechowuje w sposób określony przepisami. Kopie awaryjne przechowuje się zgodnie z prawem i okresowo sprawdza pod kątem ich przydatności. Brudnopisy oraz zbędne kopie dokumentów należy niszczyć niszczarką. Instrukcja zarządzania systemem informatycznym i ręcznym Strona 3 z 3 Nośniki danych oraz wydruki, które nie są przeznaczone do udostępnienia, przechowuje się w specjalnie zamykanych szafach, do których dostęp mają tylko osoby uprawnione. W przypadku, gdy pracownik stwierdzi naruszenie zabezpieczenia systemu informatycznego lub gdy stan urządzenia, zawartość danych osobowych, ujawnione metody pracy, sposób działania programu albo jakość komunikacji w sieci telekomunikacyjnej wskazują na możliwość naruszenia zabezpieczeń danych osobowych powinien: natychmiast zakończyć pracę w programie (aplikacji), zakończyć pracę w sieci (wylogować się) i wyłączyć komputer, niezwłocznie powiadomić o tym ADO lub inną upoważnioną przez niego osobę, po zgłoszeniu sporządzić notatkę służbową z opisem sytuacji wskazującej na naruszenie lub możliwość naruszenia zabezpieczeń systemu informatycznego i przekazać ją administratorowi bezpieczeństwa informacji. ADO sprawdza stan urządzeń, zawartość zbiorów danych osobowych i wielkość ich naruszenia. Kto przetwarza dane osobowe lub umożliwia dostęp do nich osobom nieupoważnionym podlega przepisom karnym na podstawie art. 49 – art. 54 ustawy o ochronie danych osobowych. Zbiory danych osobowych: Zbiór nr 1 – dane osobowe pracowników i ich rodzin związane z zatrudnieniem i płacami, Zbiór nr 2 – dane osobowe pracowników i ich rodzin związane ze świadczeniami z ZFŚS Zbiór nr 3 – składnica akt (akta osobowe pracowników, listy płac, kartoteki zarobkowe, dokumentacja związana z przebiegiem nauczania – księgi arkuszy ocen, dzienniki lekcyjne, protokoły), Zbiór nr 4 – dane osobowe uczniów i ich rodzin w zakresie bezpieczeństwa i zdrowia oraz dydaktyczno- wychowawczo- opiekuńczej działalności szkoły. Pleszew, dnia 11 grudnia 2009