Instrukcja ochrony danych osobowych w

Załącznik nr 4
Polityki Bezpieczeństwa Danych
XXXIV Liceum Ogólnokształcącego im. Miguela de Cervantesa w Warszawie
Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych
Podstawa prawna:
•
Ustawa z dn. 29 sierpnia 1997 r. o ochronie danych osobowych (tekst
jednolity: Dz. U. 2002 r. nr 101 poz. 926 z późniejszymi zmianami), zwana dalej
Ustawą,
•
rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn. 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. 2004 nr 100 poz. 1024), zwane dalej Rozporządzeniem.
„Dane osobowe” są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba,
której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez
powołanie się na numer identyfikacyjny (np. PESEL, NIP) albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe,
ekonomiczne, kulturowe lub społeczne (zgodnie z art. 6 ust. 1 i ust. 2 Ustawy).
§ I.
Gromadzenie, przetwarzanie oraz udostępnianie danych osobowych
1. Cele, dla których XXXIV LO im. Miguela de Cervantesa zbiera dane osobowe, to:
a) rejestrowanie przebiegu zatrudnienia i wynagradzania pracowników oraz inne
związane z zatrudnieniem i rekrutacją;
b) realizacja
zadań
dydaktycznych
i wychowawczo-opiekuńczych,
w tym
przygotowanie dokumentów takich jak świadectwa ukończenia klasy lub szkoły.
2. Dane osobowe uczniów mogą być pozyskiwane na podstawie informacji udostępnionych
przez uczniów i ich prawnych opiekunów, zarówno poprzez eletroniczny systemy
rekrutacji, jak i na podstawie dostarczonych dokumentów.
3. Dane osobowe pracowników mogą być pozyskiwane na podstawie dostarczonych
dokumentów oraz podpisanych oświadczeń. W procesie rekrutacji mogą być to
dokumenty wysłane pocztą lub drogą elektroniczną.
4. Za dane zweryfikowane uważa się wyłącznie te potwierdzone wiarygodnym
dokumentem, takim jak dowód osobisty, paszport, świadectwo pracy, świadectwo
uzyskania stopnia zawodowego, świadectwo ukończenia szkoły, lub innym wystawionym
przez odpowiednią instytucję lub organ państwowy.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie / Załącznik nr 4
str. 1 / 5
5. Gromadzone dane osobowe udostępniane są pracownikom oraz instytucjom wyłącznie
w zakresie niezbędnym do ich pracy i wynikającym z przepisów prawa.
6. Jeśli jest to możliwe i celowe, dane osobowe udostępnia się w formie wydruku lub
kserokopii, nie zaś w formie elektronicznej.
7. Każda z osób, której dane są gromadzone posiada możliwość wglądu do swoich danych
osobowych, osobiście lub przez opiekuna prawnego, ich aktualizacji, poprawienia.
Prawo to realizowane jest za pośrednictwem sekretariatu Szkoły. Zmiana danych
niezbędnych do realizacji obowiązków wynikających ze stosunku pracy oraz nauki
szkolnej musi zostać potwierdzona dokumentem opisanym w pkt. 4.
§ II. Przekazanie informacji osobom, których dane będą zbierane
1. Obowiązek informowania, a także uzyskania oświadczeń woli traktowany jest łącznie
w stosunku do grup, których dane szkoła zbiera i przetwarza.
2. W wypadku pracowników obowiązek, o którym mowa w pkt 1 uważa się za spełniony po
podpisaniu druku oświadczenia woli (ochrona danych osobowych) lub umowy o pracę
z XXXIV LO, zgodnie z art. 24 ust. 2 pkt 2 Ustawy.
3. W wypadku uczniów i ich prawnych opiekunów obowiązek, o którym mowa w pkt 1
uważa się za spełniony po przyjęciu ucznia, zgodnie z art. 43 ust. 1 pkt. 4 oraz art. 24
ust. 2 pkt 2 Ustawy.
§ III. Obowiązki pracowników w zakresie ochrony danych osobowych
1. Wybrani pracownicy zatrudnieni w szkole otrzymują upoważnienie do obsługi systemu
ręcznego i informatycznego używanego do gromadzenia i przetwarzania danych
osobowych w określonych zbiorach. Każdy z pracowników przed dopuszczeniem do
gromadzenia oraz przetwarzania danych osobowych zobowiązany jest do zapoznania się
oraz stosowania przepisów Ustawy oraz rozporządzeń będących jej uzupełnieniem,
a także Polityki wraz z załącznikami.
2. Pracownicy wymienieni w pkt 1 zbierają i przetwarzają dane osobowe wyłącznie do
realizacji celów wymienionych w § I pkt. 1.
3. Osoby, o których mowa w pkt 1, mające upoważnienie do przetwarzania danych
w systemie informatycznym, ściśle przestrzegają instrukcji zawartej w § IV.
4. Tworzenie nowego zbioru danych osobowych dopuszczalne jest tylko w porozumieniu
z ABI, po uzyskaniu od niego pozytywnej opinii na temat zasadności i bezpieczeństwa.
5. Osoby mające upoważnienie do ręcznego i informatycznego przetwarzania danych
osobowych zobowiązane są do zabezpieczenia danych przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem.
6. Nieinformatyczne zbiory danych osobowych (kartoteki, rejestry, etc.) powinny być
przechowywane w miejscach niedostępnych dla osób niepowołanych, takich jak sejf,
szafa pancerna, szafa zamykana na klucz.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie / Załącznik nr 4
str. 2 / 5
7. Zdezaktualizowane zbiory opisane w pkt. 6, oraz wydruki z systemów informatycznych:
błędne, robocze lub zdezaktualizowane, zawierające dane osobowe powinny być
niezwłocznie niszczone przy pomocy niszczarki do papieru.
8. Udostępnienie danych osobowych poza Szkołę przez pracowników może nastąpić
wyłącznie na podstawie pisemnej zgody wydanej przez Dyrektora Szkoły.
9. Niedopuszczalne jest udzielenie informacji o danych osobowych na żądanie przekazane
poprzez media elektroniczne, w szczególności telefon, SMS, e-mail, komunikator
internetowy, fax.
10.Osoby mające dostęp do danych osobowych, obowiązane są do zachowania ich
w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia.
11.Uzasadnione, uzgodnione z Dyrektorem Szkoły przeniesienie zbiorów danych osobowych
wewnątrz Szkoły odbywa się wyłącznie na nośniku optycznym lub magnetycznym, który
następnie jest niszczony.
12.Niedopuszczalne jest wysyłanie pocztą elektroniczną plików zawierających zbiory
danych osobowych, poza uzasadnionymi przypadkami w procesie rekrutacji
pracowników oraz uczniów, oraz realizacją obowiązku nałożonego przez ustawodawcę
lub organ nadrzędny. W takim wypadku przesyłany w załączniku zbiór musi zostać
zabezpieczony metodą kryptograficzną o kluczu minimum 56 znaków, przekazanym
drogą inną niż e-mail, zapewniającą jego dotarcie do właściwego adresata (np. listem
poleconym). W szczególności, dozwolone jest przesyłanie zaszyfrowanych danych dla
Systemu Informacji Oświatowej, systemu Hermes, oraz arkusza organizacji roku
szkolnego, do organów uprawnionych do ich dalszego przetwarzania.
13.Kategorycznie zabronione jest kopiowanie zbiorów danych osobowych na nośniki
będące własnością pracownika lub osób niepowołanych.
14.Administrator sieci jest jedyną osobą uprawnioną do wykonywania kopii zapasowych
zbiorów danych osobowych, za wyjątkiem sytuacji regulowanych decyzją Dyrektora
Szkoły.
15.Kopie zapasowe danych osobowych powinny być przechowywane w sposób opisany
w pkt. 6.
§ IV. Proceura rozpoczęcia i zakończenia pracy z systemami
komputerowymi służącymi do przetwarzania danych osobowych
Użytkownik systemu:
1. Uruchamia komputer, logując się odpowiednią nazwą użytkownika oraz hasłem,
certyfikatem elektronicznym lub przy pomocy technik biometrycznych.
2. Ustawia ekrany monitorów na stanowiskach, na których przetwarzane są dane osobowe
tak, aby osoby nieupoważnione nie mogły podejrzeć informacji na nich wyświetlanych.
3. W razie konieczności opuszczenia stanowiska pracy blokuje dostęp do komputera,
w sposób wymagający ponownego podania informacji opisanych w pkt. 1.
4. W razie modyfikacji zbioru upewnia się, czy dane zostały zarejestrowane, aby uniknąć
ich utraty z powodu ewentualnej awarii.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie / Załącznik nr 4
str. 3 / 5
5. Nie udostępnia pomieszczeń, w których są przetwarzane dane osobom postronnym
podczas nieobecności osób zatrudnionych przy informatycznym przetwarzaniu danych
osobowych.
6. Kończąć pracę upewnia się, że został wylogowany z systemu lub system operacyjny
został zamknięty.
§ V. Instrukcja zarządzania systememów informatycznych służących do
przetwarzania danych osobowych
1. Dyrektor Szkoły jest obowiązany pełnić rolę Administratora Danych Osobowych (ADO)
i wyznacza Administratora Bezpieczeństwa Informatycznego (ABI) w placówce.
2. Obowiązki ABI w zakresie ochrony danych osobowych:
a) prowadzi nadzór nad funkcjonowaniem systemu ochrony danych osobowych, w tym
analiza czy zakres przetwarzanych danych osobowych w jednostce jest adekwatny
do potrzeb i czy jest zgodny z ustawą o ochronie danych osobowych;
b) opiniuje zasadność tworzenia nowych zbiorów danych osobowych oraz ich zgodność
z Polityką i regulacjami prawnymi;
c) prowadzi szkolenia oraz doradza osobom zatrudnionym przy gromadzeniu
i przetwarzaniu danych osobowych w zakresie objętym Polityką oraz Ustawą i jej
aktami wykonawczymi;
d) opracowuje wzór druku upoważnienia dopuszczającego do obsługi systemów
informatycznych służących do przetwarzania danych osobowych;
e) prowadzi ewidencje osób zatrudnionych przy przetwarzaniu danych osobowych;
f) sprawdza stan urządzeń, zawartość zbiorów danych osobowych, fakt oraz stopień
ich ewentualnego naruszenia, w przypadku wykrycia naruszenia informuje o nim
ADO;
g) prowadzi ewidencję naruszeń systemów chroniących dane osobowe; ewidencja taka
musi zawierać następujące informacje: data i godzina powiadomienia o naruszeniu,
data i godzina rozpoczęcia inspekcji, opis sytuacji, podjęte działania, stan systemu
przed oraz po usunięciu skutków naruszenia;
h) zgłasza do Generalnego Inspektora Ochrony Danych Osobowych nowe zbiory
podlegające temu obowiązkowi;
i) zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do
zbioru wprowadzone oraz komu są przekazywane;
j) opracowuje i przechowuje oryginał Polityki wraz z załącznikami.
3. Zgodnie z Rozporządzeniem, w stosunku do danych osobowych przetwarzanych
w Szkole stosuje się wysoki poziom bezpieczeństwa.
4. Uzyskanie przez pracownika uprawnień w systemie służącym do przetwarzania danych
osobowych musi być poprzedzone uzyskaniem formalnego upoważnienia o którym mowa
w § III pkt. 1.
5. Dyrektor Szkoły niezwłocznie powiadamia ABI o zmianach wymagających uwzględnienia
w jednym z rejestrów opisanych w § V Polityki, w szczególności cofnięciu upoważnienia
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie / Załącznik nr 4
str. 4 / 5
lub rozwiązaniu umowy o pracę z pracownikiem posiadającym upoważnienie o którym
mowa w § III pkt. 1.
6. Przebywanie osób nieuprawnionych w miejscach, o których mowa w § IV pkt 5 jest
dopuszczalne tylko w obecności osób zatrudnionych przy przetwarzaniu danych i za
zgodą ABI.
7. Każdy komputer, przy pomocy którego gromadzi się lub przetwarza dane osobowe,
musi spełniać kryteria opisane w Polityce, w rozdziale dotyczącym poufności,
integralności i rozliczalności danych.
8. W razie stwierdzenia naruszenia systemów informatycznych należy bezzwłocznie
poinformować ABI.
9. Dane osobowe uzupełnia się wyłącznie na podstawie oficjalnych kopii zapasowych,
których tworzenie omawia Polityka.
10.Nosniki magnetyczne, w szczególności dyski twarde, służące do przechowywania
danych osobowych, należy przed wyrzuceniem lub przeznaczeniem do innych celów
zniszczyć lub zamazać w sposób uniemożliwiający odczyt tych danych.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie / Załącznik nr 4
str. 5 / 5