Załącznik nr 4 - Superszkolna.pl
Transkrypt
Załącznik nr 4 - Superszkolna.pl
Załącznik nr 4 do Zarządzenia nr 26/2011 Dyrektora Publicznego Gimnazjum w Nowem INSTRUKCJA OKREŚLAJĄCA SPOSÓB ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I RĘCZNYM W ZAKRESIE OCHRONY DANYCH OSOBOWYCH I ICH ZBIORÓW przyjęta do stosowania w Publicznym Gimnazjum w Nowem na podstawie: ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002r. Nr 101 poz.926 ze zm.) ustalam procedurę systemu ochrony danych osobowych i ich zbiorów oraz zobowiązuję pracowników Publicznego Gimnazjum w Nowem do jej stosowania: I CEL PROWADZENIA I GROMADZENIA DANYCH OSOBOWYCH Cele, dla których Publiczne Gimnazjum w Nowem zbiera dane osobowe to: 1. Przebieg zatrudnienia i wynagradzania w odniesieniu do pracowników i ich rodzin. 2. Realizacja zadań dydaktyczno – wychowawczo - opiekuńczych w stosunku do uczniów i ich rodzin. 3. Gromadzenie ofert pracy. II ZBIORY DANYCH OSOBOWYCH W PLACÓWCE 1. W Gimnazjum tworzy się następujące zbiory danych osobowych: Numer zbioru Zbiór 1 Zbiór 2 Zbiór 3 Zbiór 4 Zbiór 5 Zbiór 6 Zbiór 7 Zbiór 8 Zbiór 9 Zbiór 10 Zbiór 11 Zbiór 12 Zbiór 13 Zbiór 14 Zbiór 15 Nazwa zbioru Księga druków ścisłego zarachowania. Akta osobowe pracowników Ewidencja zwolnień lekarskich pracowników. Księga zastępstw nauczycieli. Protokoły Rady Pedagogicznej Ewidencja urlopów pracowników niepedagogicznych. Ewidencja osób korzystających z księgozbioru bibliotecznego. Ewidencja legitymacji pracowniczych. Ewidencja wydawanej pracownikom odzieży ochronnej. Rejestr delegacji służbowych. Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego. Księga ewidencji uczniów. Księga dzieci. Dzienniki lekcyjne i pozalekcyjne. Arkusze ocen wszystkich uczniów 1 Zbiór 16 Zbiór 17 Zbiór 18 Zbiór 19 Zbiór 20 Zbiór 21 Zbiór 22 Zbiór 23 Zbiór 24 Zbiór 25 Zbiór 26 Zbiór 27 Zbiór 28 Zbiór 29 Zbiór 30 Zbiór 31 Zbiór 32 Zbiór 33 2. 3. III Protokoły egzaminów klasyfikacyjnych i poprawkowych. Ewidencja wydanych legitymacji szkolnych Ewidencja wydanych świadectw ukończenia szkoły. Ewidencja wydawanych świadectw. Ewidencja duplikatów świadectw ukończenia szkoły. Rejestr wypadków uczniów. Zbiór upoważnień. Archiwum ( akta osobowe pracowników, księgi arkuszy ocen, dzienniki lekcyjne). Arkusz organizacji roku szkolnego. Dziennik pedagoga szkolnego Dziennik psychologa szkolnego Rejestr zwolnień z obowiązkowych zajęć Ewidencja zasobów szkoły -SIO Ewidencja osób przystępujących do egzaminów zewnętrznych - HERMES Orzeczenia, opinie i zaświadczenia z PPP Ewidencja decyzji administracyjnych dyrektora szkoły – skreślenie z listy Deklaracje nie uczęszczania na religię, sprzeciw od zajęć wychowania do życia w rodzinie Rejestr zaświadczeń wydawanych pracownikom szkoły i uczniom Kontrola wewnętrzna – protokoły, notatki i itp. Dane są gromadzone i przechowywane w systemie ręcznym oraz są przetwarzane także za pomocą systemu komputerowego. Wszystkich pracowników, którzy będą gromadzić i przetwarzać dane osobowe zobowiązuje się do bezwzględnego przestrzegania przepisów ustawy przywołanej we wstępie oraz niniejszej instrukcji. PRZEKAZANIE INFORMACJI OSOBOM, KTÓRYCH DANE BĘDĄ ZBIERANE 1. Obowiązek informowania, a także uzyskania oświadczeń woli traktowany jest łącznie w stosunku do grup, których dane Gimnazjum zbiera i przetwarza. 2. W przypadku pracowników obowiązek, o którym mowa w pkt.1 uważa się za spełniony po podpisaniu druku stanowiącego załącznik nr 1. 3. Zgodnie z porozumieniem z dnia 01.2004 r. obsługę finansowo-księgową szkoły prowadzi Samorządowa Administracja Placówek Oświatowych w Nowem. 4. W przypadku uczniów i rodziców obowiązek, o którym mowa w pkt. 1 uważa się za spełniony po przyjęciu dziecka do szkoły i wpisaniu go do Księgi Uczniów. 2 IV OBOWIĄZKI PRACOWNIKÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH 1. Pracownicy zatrudnieni w szkole (nauczyciele, dyrektor, v-ce dyrektor ,sekretarz szkoły, intendent, bibliotekarz, pedagog, psycholog, wychowawcy świetlicy,) otrzymują w zakresie czynności, upoważnienie do obsługi systemu ręcznego i informatycznego w zakresie gromadzenia i przetwarzania danych osobowych w określonych zbiorach 2. Pracownicy wymienieni w pkt. 1 zbierają i przetwarzają dane osobowe wyłącznie do realizacji celów wymienionych w rozdziale I. 3. Osoby mające upoważnienie do ręcznego i informatycznego przetwarzania danych osobowych zobowiązane są do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. 4. Osoby, o których mowa w pkt.1 mające upoważnienie do przetwarzania danych w systemie informatycznym zobowiązani są do bezwzględnego przestrzegania rozdziału V instrukcji. 5. Udostępnienie danych osobowych przez pracowników może nastąpić wyłącznie na podstawie pisemnej dyspozycji wydanej przez Dyrektora Gimnazjum. 6. Osoby, o których mowa w pkt. 1 mające dostęp do danych osobowych, obowiązane są do zachowania ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia. V INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Powołuje się Administratora Bezpieczeństwa Informatycznego - zwanego w dalszej części instrukcji - ABI. 2. ABI określa hasła użytkowania komputerów dla przetwarzania danych osobowych 3. ABI jest odpowiedzialni za właściwy nadzór nad funkcjonowaniem ochrony danych osobowych. 4. Obszarem do przetwarzania danych osobowych z użyciem sprzętu komputerowego są: - sekretariat – część pomieszczeń za biurkami pracowników , - gabinet dyrektora, - gabinet wicedyrektora - gabinet pedagoga i psychologa szkolnego, - biblioteka szkolna, 5. Przebywanie osób nieuprawnionych wewnątrz obszaru, o którym mowa w pkt.4 jest dopuszczalna tylko w obecności osób zatrudnionych przy przetwarzaniu tych danych. 6. Procedura rozpoczęcia i zakończenia pracy: a) na stanowiskach, na których przetwarzane są dane osobowe ekrany monitorów powinny być tak ustawione, aby osoby nieupoważnione nie miały dostępu do informacji na nich wyświetlanych, b) uruchomienie komputera odpowiednim hasłem, c) upewnienie się, że osoby nieupoważnione nie mają możliwości wglądu do danych, d) w razie przerwania pracy zastosowanie nieaktywności użytkownika ( wygaszacz ekranu), e) upewnienie się czy dane zostały zarejestrowane, aby uniknąć utraty danych z powodu awarii, 3 f) podczas nieobecności osób zatrudnionych przy informatycznym przetwarzaniu danych osobowych pomieszczenia, w których są przetwarzane dane, nie mogą być udostępniane osobom postronnym, g) zakończenie pracy związanej z przetwarzaniem danych osobowych powinno odpowiadać wszystkim regułom bezpieczeństwa informacji. 7. Kopie informatyczne i wydruki wykonuje się w miarę potrzeb i przechowuje w sposób określony przepisami. 8. Nośniki danych oraz wydruki, które nie są przeznaczone do udostępniania, przechowuje się w specjalnie zamykanej szafie, do której dostęp mają tylko osoby uprawnione. 9. W razie stwierdzenia naruszenia systemów informatycznych należy bezzwłocznie poinformować ABI. 10. ABI sprawdza stan urządzeń, zawartość zbiorów danych osobowych i wielkość ich naruszenia. VI SPOSÓB ZABEZPIECZANIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁANIEM OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO 1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych. 2. Wirusy komputerowe mogą pojawić się w systemach szkoły poprzez: Internet, nośniki informacyjne takie jak, płyty CD, dyski przenośne itp. 3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest następująco: a) komputer z dostępem do Internetu musi być zabezpieczony za pomocą oprogramowania antywirusowego, b) zainstalowany program antywirusowy powinien być tak skonfigurowany, by co najmniej raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych. c) Elektroniczne nośniki informacji takie jak dyskietki, dyskietki, dyski przenośne, należy każdorazowo sprawdzić programem antywirusowym przed użyciem, po zainstalowaniu ich w systemie. Czynność powyższą realizuje użytkownik systemu. W przypadku problemów ze sprawdzeniem zewnętrznego nośnika danych użytkownik jest zobowiązany zwrócić się z tym do Administratora Bezpieczeństwa Informacji. d) Komputery i systemy pracujące muszą mieć zainstalowany program antywirusowy a w przypadku komputerów z dostępem do Internetu, również posiadać oprogramowanie i mechanizmy zabezpieczające przed nieautoryzownym dostępem z sieci e) W przypadku gdy użytkownik stanowiska komputerowego zauważy komunikat oprogramowania zabezpieczającego system wskazujący na zaistnienie zagrożenia lub rozpozna tego typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i niezwłocznie skontaktować się z Dyrektorem Szkoły. 4 f) Przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączone do treści wiadomości. Zabrania się otwierania załączników i wiadomości poczty elektronicznej od „niezaufanych” nadawców. VII UDOSTĘPNIANIE DANYCH OSOBOWYCH I SPOSÓB ODNOTOWANIA INFORMACJI O UDOSTĘPNIONYCH DANYCH 1. Udostępnienie danych instytucjom może odbywać się wyłącznie na pisemny uzasadniony wniosek lub zgodnie z przepisami prawa. VIII WYKONYWANIE PRZEGLĄDÓW I KONSERWACJI SYSTEMU ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO P[RZETWARZANIA DANYCH 1. Przeglądy i konserwacje systemu wykonuje ABI 2. Przeglądy zbiorów danych wykonuje użytkownik na bieżąco. 3. Naprawy sprzętu należy zlecać podmiotom, których kompetencje nie budzą wątpliwości, co do wykonania usługi. Naprawa sprzętu, na którym mogą znajdować się dane osobowe powinna odbywać się pod nadzorem osób użytkujących sprzęt w miejscu jego użytkowania. 4. W przypadku konieczności naprawy poza miejscem użytkowania, sprzęt komputerowy, przed oddaniem do serwisu, powinien być odpowiednio przygotowany. Dane należy zarchiwizować na nośniki informacji, a dyski twarde, bezwzględnie, wymontować na czas naprawy. 5.Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe lub zmiana jego lokalizacji, może być dokonana tylko za wiedzą i zgodą Dyrektora Szkoły IX USTALENIA KOŃCOWE 1. Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe w szkole zabrania się: ujawniania loginu i hasła współpracownikom i osobom z zewnątrz, 2. Pozostawiania haseł w miejscach widocznych dla innych osób, 3. Udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym, 4. Udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych w systemie, 5. Używania oprogramowania w innym zakresie niż pozwala na to umowa licencyjna, 6. Przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne, 7. Kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza szkołę, 5 8. Samowolnego instalowania i używania jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego; 9. Używania nośników danych udostępnionych przez osoby postronne, 10. Przesyłania dokumentów i danych z wykorzystaniem konta pocztowego prywatnego (niesłużbowego), 11. Otwierania załączników i wiadomości poczty elektronicznej od nieznanych i „niezaufanych” nadawców, 12. Używania nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą; w przypadku konieczności użycia niesprawdzonych przenośnych nośników danych, należy zgłosić te nośniki, w celu sprawdzenia przeskanowania programem antywirusowym, 13. Tworzenia kopii zapasowych niechronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania. Ponadto zabrania się: 1. Wyrzucania dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia, 2. Pozostawiania dokumentów, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach, 3. Pozostawiania kluczy w drzwiach, szafach, biurkach, zostawiania otwartych pomieszczeń, w których przetwarza się dane osobowe, 4. Pozostawiania bez nadzoru osób trzecich przebywających w pomieszczeniach szkoły, w których przetwarzane są dane osobowe, 5. Pozostawiania dokumentów na biurku po zakończonej pracy, pozostawiania otwartych dokumentów na ekranie monitora bez blokady konsoli, 6. Ignorowania nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych, 7. Przekazywania informacji będącymi danymi osobowymi osobom nieupoważnionym, 8. Ignorowania zapisów Polityki Bezpieczeństwa szkoły. Konieczne jest: 1. Posługiwanie się własnym loginem i hasłem w celu uzyskania dostępu do systemów informatycznych, 2. Tworzenia haseł trudnych do odgadnięcia dla innych, 3. Traktowanie konta pocztowego szkoły jako narzędzia pracy i wykorzystywanie go jedynie w celach służbowych, 4. Nie przerywanie procesu skanowania przez program antywirusowy na komputerze, 5. Wykonywanie kopii zapasowych danych przetwarzanych na stanowisku komputerowym, 6. Zabezpieczenie sprzętu komputerowego przed kradzieżą lub nieuprawnionym dostępem do danych. Wszelkie przypadki naruszenia niniejszej Instrukcji należy zgłaszać bezpośredniemu przełożonemu. X ZALECENIA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH SPOSOBEM TRADYCYJNYM 1. Miejscem tworzenia, uzupełniania, przechowywania dokumentacji dotyczącej przetwarzania danych osobowych sposobem tradycyjnym są pomieszczenia w szkole: sekretariat, pokój nauczycielski, gabinet dyrektora, pomieszczenie pedagoga, biblioteka, świetlica, klasy lekcyjne. 6 2. Osoby prowadzące dokumentację zobowiązane są do zachowania tajemnicy służbowej. 3. Dokumentacji, o której mowa w punkcie 1.1. nie można wynosić poza teren szkoły. 4.Dokumentację, o której mowa w punkcie 1.1. archiwizuje się zgodnie z Instrukcją kancelaryjną. 5. Osoby prowadzące dokumentację zobowiązane są do niezwłocznego poinformowania Dyrektora szkoły, o podejrzeniu dostępu do dokumentacji przez osoby nieupoważnione. Instrukcja obowiązuje od dnia – 12.12.2011 r. Załączniki do instrukcji: a) załącznik nr 1 – upoważnienie do obsługi systemu ręcznego i informatycznego zbiorów b) załącznik nr 2 – oświadczenie dotyczące ochrony danych osobowych c) załącznik nr 3- opis systemu informatycznego, zawierający wykaz programów 7 Załącznik nr 1 UPOWAŻNIENIE NR ……………… Z DN…………….. Na podstawie: ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002r. Nr 101 poz.926 ze zm.) upoważniam Panią …………………………… zatrudnioną w Publicznym Gimnazjum w Nowem na stanowisku …………………………………… do obsługi systemu ręcznego i informatycznego następujących zbiorów Numer zbioru Zbiór 1 Zbiór 2 Zbiór 3 Zbiór 4 Zbiór 5 Zbiór 6 Zbiór 7 Zbiór 8 Zbiór 9 Zbiór 10 Zbiór 11 Zbiór 12 Zbiór 13 Zbiór 14 Zbiór 15 Zbiór 16 Zbiór 17 Zbiór 18 Zbiór 19 Zbiór 20 Zbiór 21 Zbiór 22 Zbiór 23 Zbiór 24 Zbiór 25 Zbiór 26 Zbiór 27 Zbiór 28 Zbiór 29 Zbiór 30 Zbiór 31 Zbiór 32 Zbiór 33 Nazwa zbioru Księga druków ścisłego zarachowania. Akta osobowe pracowników Ewidencja zwolnień lekarskich pracowników. Księga zastępstw nauczycieli. Protokoły Rady Pedagogicznej Ewidencja urlopów pracowników niepedagogicznych. Ewidencja osób korzystających z księgozbioru bibliotecznego. Ewidencja legitymacji pracowniczych. Ewidencja wydawanej pracownikom odzieży ochronnej. Rejestr delegacji służbowych. Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego. Księga ewidencji uczniów. Księga dzieci. Dzienniki lekcyjne i pozalekcyjne. Arkusze ocen wszystkich uczniów Protokoły egzaminów klasyfikacyjnych i poprawkowych. Ewidencja wydanych legitymacji szkolnych Ewidencja wydanych świadectw ukończenia szkoły. Ewidencja duplikatów świadectw ukończenia szkoły. Rejestr wypadków uczniów. Zbiór upoważnień. Archiwum ( akta osobowe pracowników, księgi arkuszy ocen, dzienniki lekcyjne). Arkusz organizacji roku szkolnego. Dziennik pedagoga szkolnego Dziennik psychologa szkolnego Rejestr zwolnień z obowiązkowych zajęć Ewidencja zasobów szkoły -SIO Ewidencja osób przystępujących do egzaminów zewnętrznych HERMES Orzeczenia, opinie i zaświadczenia z PPP Ewidencja decyzji administracyjnych dyrektora szkoły – skreślenie z listy Deklaracje nie uczęszczania na religię, sprzeciw od zajęć wychowania do życia w rodzinie Rejestr zaświadczeń wydawanych pracownikom szkoły i uczniom Kontrola wewnętrzna – protokoły, notatki i itp. zakres ………………………….. /podpis dyrektora szkoły/ 8 Załącznik nr 2 OŚWIADCZENIE Oświadczam, że zapoznałem się z przepisami prawa dotyczącymi ochrony danych osobowych, a w szczególności ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002r. Nr 101 poz.926 ze zm.) oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz.U. z 2004 r. Nr 100, poz.1024) i zobowiązuję się do ich przestrzegania. Oświadczam ponadto, że zapoznałem(łam) się z wewnętrzną Instrukcją określającą sposób zarządzania systemem informatycznym i ręcznym, służącym przetwarzaniu danych osobowych i instrukcją naruszania ochrony danych osobowych. Świadomy(a) odpowiedzialności porządkowej i karnej oświadczam, że znane mi dane osobowe będę przetwarzać zgodnie z prawem i nie dopuszczę do bezprawnego naruszenia tajemnicy również w sytuacji, gdy ustanie zatrudnienie w Publicznym Gimnazjum w Nowem. Otrzymałem(łam) dnia………………………. ………………………………….. /podpis pracownika/ ………………………………. / oświadczenie odebrał/ 9 Załącznik nr 3 OPIS SYSTEMU INFORMATYCZNEGO ZAWIERAJĄCY WYKAZ PROGRAMÓW Ilość licencji 1 2 3 4 5 Microsoft Office Microsoft Office Microsoft Office Microsoft Office Microsoft Office 1 11 4 10 1 Wersja oprogramowania 2010 2007 2003 2003 2000 6 CorelDraw 15 14 7 Cenzor 7 8 Opiekun 21 3.0.0.775 9 ArcaVir 100 2011 10 Spiżarnia 1 3.1 11 Wikt 1 2.0 12 SIO 1 3.11 13 e-PFRON 1 1.6.0 14 Hermes 1 2012 15 Cenzurka Lp. Nazwa programu (systemu) 2011 Opis stacja robocza (P-N) stacja robocza (P-Informatyczna) stacja robocza (Biblioteka) stacja robocza (P-Polonistyczna II) stacja robocza (Dyrektor) stacja robocza (P-Informatyczna), program graficzny Stacja robocza (biblioteka 4, świetlica 3), kontrola nad korzystaniem z zasobów Internetu. stacja robocza (P-Informatyczna, polonistyczny II) kontrola nad korzystaniem z zasobów Internetu. Stacje robocze + serwery - na potrzeby szkoły, program antywirusowy stacja robocza (Sekretariat), system magazynowy stacja robocza (Sekretariat), umożliwia Data rozpoczęcia eksploatacji Październik 2011r. Wrzesień 2008r. Grudzień 2005r. Listopad 2005r. 2003r. Microsoft Microsoft Microsoft Microsoft Microsoft Październik 2009r. Grudzień 2005r. ANCOM Wrzesień 2008r. SoftStory Czerwiec 2011r. ArcaBit Net-Komp zaplanowanie , ułożenie jadłospisu z uwzględnieniem kaloryczności stacja robocza (Sekretariat), baza danych uczniów, pracowników szkoły stacja robocza (Sekretariat), baza danych uczniów stacja robocza (Dyrektor), zgłoszenie uczniów na egzamin gimnazjalny Stacje robocze + sekretariat arkusze – na potrzeby szkoły, świadectwa, cenzurki, arkusze ocen Producent Net-Komp Marzec 2005r. QNT Systemy Informatyczne Sierpień 2007r. PFRON 2007 r. Astar 05 10 11