POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZESPOLE SZKÓŁ

POLITYKA BEZPIECZEŃSTWA INFORMACJI
W ZESPOLE SZKÓŁ NR 1
IM. STANISŁAWA STASZICA W KUTNIE
KUTNO 2013r.
SPIS TREŚCI
I. PODSTAWA PRAWNA............................................................................................................ 2
II. POSTANOWIENIA OGÓLNE ................................................................................................. 2
III. DEFINICJA BEZPIECZEŃSTWA INFORMACJI .................................................................... 3
IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI ..................... 3
V. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM ............................... 3
PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH .......................... 3
VI. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA .................................................... 4
VII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH
W FORMIE TRADYCYJNEJ ....................................................................................................... 5
VIII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W SYSTEMACH
INFORMATYCZNYCH ............................................................................................................... 6
IX. DOSTĘP DO INFORMACJI ................................................................................................... 6
X. POMIESZCZENIA LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, ....................... 6
W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE .............................................................. 6
XI. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI .............. 6
XII. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH
NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI
PRZETWARZANYCH DANYCH ................................................................................................. 7
XIII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE......................... 7
XIV. SPIS ZAŁĄCZNIKÓW ......................................................................................................... 8
1
I. PODSTAWA PRAWNA


Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2002r. Nr 101
poz. 926 z późn. zm.)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024)
II. POSTANOWIENIA OGÓLNE
1.
2.
§1
Regulamin niniejszy określa tryb i zasady ochrony danych osobowych przetwarzanych
w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie, zwanym dalej Szkołą.
Ilekroć w regulaminie jest mowa o:
a) Szkole – rozumie się przez to Zespół Szkół Nr 1 im. Stanisława Staszica w Kutnie
b) zbiorze danych osobowych - rozumie się przez to każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów,
niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
c) danych osobowych - rozumie się przez to wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
d) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych;
e) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą
urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych osobowych;
f) systemie tradycyjnym - rozumie się przez to zespół procedur organizacyjnych,
związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków
trwałych w celu przetwarzania danych osobowych na papierze;
g) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem;
h) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
i) administratorze danych osobowych - w świetle art. 3 i 7 pkt 4 ustawy o ochronie
danych osobowych rozumie się przez to Dyrektora Szkoły, który decyduje o celach
i środkach przetwarzania danych osobowych;
j) administratorze bezpieczeństwa informacji - rozumie się przez to osobę wyznaczoną
przez Dyrektora Szkoły, nadzorującą przestrzeganie zasad ochrony danych
osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem oraz
upoważnioną do realizacji zadań związanych z zarządzaniem systemem
informatycznym;
k) użytkowniku systemu informatycznego - rozumie się przez to upoważnionego przez
Dyrektora Szkoły, wyznaczonego do przetwarzania danych osobowych w systemie
informatycznym pracownika, który odbył stosowne szkolenie w zakresie ochrony
tych danych;
l) zgodzie osoby, której te dane dotyczą - rozumie się przez to oświadczenie woli,
którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie - zgoda nie może być domniemana lub dorozumiana z oświadczenia
woli o innej treści.
2
III. DEFINICJA BEZPIECZEŃSTWA INFORMACJI
§2
1. Utrzymanie bezpieczeństwa przetwarzanych przez Szkołę informacji rozumiane jest jako
zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie
2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji
i aplikacji:
1) Poufność informacji – rozumiana jako zapewnienie, że tylko uprawnieni pracownicy
mają dostęp do informacji,
2) Integralność informacji – rozumiana jako zapewnienie dokładności i kompletności
informacji oraz metod jej przetwarzania,
3) Dostępność informacji – rozumiane jako zapewnienie, że osoby upoważnione mają
dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,
4) Zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania
i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może
dotyczyć systemów informacyjnych.
3. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem:
1) Niezaprzeczalności odbioru – rozumianej jako zdolność systemu do udowodnienia,
że adresat informacji otrzymał ją w określonym miejscu i czasie,
2) Niezaprzeczalności nadania – rozumianej jako zdolność systemu do udowodnienia,
że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym
miejscu i czasie,
3) Rozliczalności działań – rozumianej, jako zapewnienie, że wszystkie działania istotne
dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest
zidentyfikowanie użytkownika, który działania dokonał.
IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI
§3
1. Dokumenty Polityki Bezpieczeństwa Informacji ustanawiają metody zarządzania oraz
wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych
informacji.
2. Zestaw dokumentów Polityki Bezpieczeństwa Informacji składa się z:
1) Niniejszego dokumentu Polityki Bezpieczeństwa Informacji,
2) Instrukcji zarządzania
systemami informatycznymi w zakresie wymogów
bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania
systemami przetwarzania danych osobowych w Szkole,
3) Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, opisującej
tryb postępowania w sytuacjach naruszenia zabezpieczenia zasobów danych
osobowych, zaobserwowanych prób naruszenia tego zabezpieczenia, a także
uzasadnionego podejrzenia o przygotowywanej próbie naruszenia.
V. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM
PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH
§4
1. Dane osobowe w Szkole są gromadzone, przechowywane, edytowane, archiwizowane
w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych zestawach
i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych Szkoły na
dokumentach papierowych, jak również w systemach informatycznych na elektronicznych
nośnikach informacji.
2. Powyższy dokument wprowadza regulacje w zakresie zasad organizacji procesu
przetwarzania i odnosi się swoją treścią do informacji:
a) w formie papierowej - przetwarzanej w ramach SYSTEMU TRADYCYJNEGO;
3
b) w
formie
elektronicznej
przetwarzanej
w
ramach
SYSTEMU
INFORMATYCZNEGO;
3. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator
Danych Osobowych.
4. Z zapisanymi w polityce bezpieczeństwa obowiązkowo są zapoznawani wszyscy
użytkownicy systemów informatycznych i tradycyjnych.
5. Do informacji przechowywanych w systemach informatycznych jak i dokumentów
tradycyjnych mają dostęp jedynie upoważnieni pracownicy Szkoły oraz osoby mające
imienne zarejestrowane upoważnienie.
6. Wszyscy pracownicy zobowiązani są do zachowania tych danych w tajemnicy.
7. Dopuszczalny sposób i zakres przetwarzania danych osobowych regulują zapisy ustaw
kompetencyjnych, szczegółowych właściwych dla komórek organizacyjnych Szkoły.
8. Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami obowiązującymi
w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności przetwarzanych
danych.
9. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe, są chronione
odpowiednimi środkami technicznymi.
10. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać swoją nazwę
użytkownika oraz hasło i nie udostępniać go innym osobom.
11. Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu
korzystania z usług systemów informatycznych.
12. Do przetwarzania zbiorów danych osobowych w systemie informatycznym Szkoły
stosowane są pakiety biurowe lub specjalizowane aplikacje (programy):
13. Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania
danych stanowi załącznik nr 1 i 2 do niniejszego regulaminu
VI. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA
§5
1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych
osobowych odpowiada Administrator Danych Osobowych.
2. Administrator Danych Osobowych obowiązany jest zastosować środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do
zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinni zabezpieczyć
dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem
lub zniszczeniem.
3. Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji,
nadzorującego przestrzeganie zasad ochrony. Imienne upoważnienie udzielane jest
w formie pisemnej i stanowi załącznik nr 3 do niniejszego regulaminu.
4. Administrator Danych Osobowych prowadzi dokumentację opisującą sposób przetwarzania
danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych. Prowadzi również ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać:
a) imię, nazwisko i stanowisko osoby upoważnionej
b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych/nazwę użytkowanego programu (aplikacji).
5. Upoważnienie do przetwarzania danych osobowych wydawane przez Administratora
Danych Osobowych pracownikom Szkoły stanowi załącznik nr 4.
6. Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi załącznik
nr 5 do niniejszego regulaminu.
7. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować
w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
8. Oświadczenie o zapewnieniu ochrony danych osobowych stanowi załącznik nr 6
do niniejszego regulaminu.
4
§6
1. Administrator Bezpieczeństwa Informacji wykonuje wszystkie prace niezbędne
do efektywnego oraz bezpiecznego zarządzania systemami informatycznymi i tradycyjnymi.
2. Administrator Bezpieczeństwa Informacji jest zobowiązany do zapewnienia, poprzez
zastosowanie odpowiednich środków i metod kontroli dostępu, iż wyłącznie autoryzowany
personel ma dostęp do systemów informatycznych i tradycyjnych. Ponadto, w uzgodnieniu
z Administratorem Danych Osobowych, przydziela użytkownikom systemu informatycznego
konta i hasła oraz określa warunki i sposób ich przydzielania.
3. Administrator Bezpieczeństwa Informacji posiada bieżącą listę osób upoważnionych
do przetwarzania danych osobowych.
4. Szczegółowy zakres odpowiedzialności i obowiązków Administratora Bezpieczeństwa
Informacji jest następujący:
a) nadzoruje bezpieczeństwo systemów informatycznych i tradycyjnych;
b) zapewnia aktualizację oprogramowania i dokumentacji technicznej systemu w tym opis
struktur zbiorów i ich zależności
c) nadzoruje przestrzeganie przez wszystkich użytkowników stosowanie obowiązujących
procedur;
d) weryfikuje listę autoryzowanych użytkowników systemów informatycznych;
e) doradza użytkownikom w zakresie bezpieczeństwa;
f) zapewnia, aby cały personel posiadający dostęp do systemu posiadał stosowne
zezwolenia oraz był przeszkolony w zakresie obowiązujących regulacji bezpieczeństwa;
g) przygotowuje i prowadzi „EwidencjĘ osób biorących udział w przetwarzaniu danych
osobowych";
h) prowadzi kontrole w zakresie bezpieczeństwa.
§7
Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej
pracy na stanowisku pracy również z wykorzystaniem stacji roboczej. Jest odpowiedzialny
przed Administratorem Bezpieczeństwa Informacji za nadzór i utrzymanie niezbędnych
warunków bezpieczeństwa w szczególności do przestrzegania procedur dostępu do systemu
i ochrony danych osobowych.
VII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH
W FORMIE TRADYCYJNEJ
§8
1. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają
zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika.
2. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być
poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca.
3. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na
klucz.
4. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy
upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych.
5. Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Szkole powinno
odbywać się po uzyskaniu upoważnienia lub skonsultowane z ABI w przypadku osób
upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących
przepisów.
5
VIII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH
W SYSTEMACH INFORMATYCZNYCH
§9
Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w „Instrukcji
Zarządzania Systemem Informatycznym”, obligatoryjnej do zapoznania się i stosowania przez
wszystkich użytkowników systemu informatycznego Szkoły.
IX. DOSTĘP DO INFORMACJI
§10
Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych
osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie
obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz
obowiązujących w Szkole zasad ochrony danych osobowych.
§11
Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien
określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu
odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.
§12
Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie
przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur
postępowania.
X. POMIESZCZENIA LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR,
W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE
§13
Obszarem do przetwarzania danych osobowych z użyciem sprzętu komputerowego są:
1. sekretariat,
2. gabinet dyrektora,
3. gabinety wicedyrektorów,
4. gabinet pedagoga
5. gabinet psychologa szkolnego,
6. biblioteka szkolna,
7. pokój nauczycielski,
8. pokój księgowości,
9. wszystkie sale lekcyjne wyposażone na stanowiskach nauczycielskich w komputery
Pomieszczenia te zabezpieczone są w następujący sposób: portier, firma ochroniarska,
zamki, szkolny monitoring.
XI. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI
§15
1. Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi
Szkoły, winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem
zawartych w tych dokumentach danych.
2. Przekazywanie informacji w systemie informatycznym poza sieć lokalną Szkoły, w miarę
możliwości, powinno odbywać się w sposób szyfrowany.
6
XII. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH
NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI
I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
§16
1. Dostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają
jedynie Administrator Danych Osobowych, upoważnieni pracownicy oraz Administrator
Bezpieczeństwa Informacji zapewniający jego prawidłową eksploatację.
2. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do zachowania tych
danych w tajemnicy.
3. Ochronie podlegają dane osobowe gromadzone i przetwarzane w kartotekach,
skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w urządzeniach
i systemie informatycznym Szkoły;
4. Pomieszczenia, w których przetwarza się dane osobowe powinny być fizycznie
zabezpieczone przed dostępem osób nieuprawnionych, to znaczy posiadać odpowiednie
zamki do drzwi, zabezpieczenia w oknach (w szczególności na parterze) oraz być
wyposażone w środki ochrony ppoż. (gaśnice);
5. Dokumenty i nośniki informacji, zawierające dane osobowe powinny być zabezpieczone
przed dostępem osób nieupoważnionych do przetwarzania danych. Jeśli nie są aktualnie
używane powinny być przechowywane w szafach lub w innych przeznaczonych do tego
celu urządzeniach biurowych, posiadających odpowiednie zabezpieczenia.
§17
XIII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE
§18
Zasady archiwizacji i brakowania dokumentów reguluje Rozporządzenie Ministra Kultury z dnia
16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikacji
i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów
państwowych (Dz. U. Nr 167, poz. 1375).
7
XIV. SPIS ZAŁĄCZNIKÓW
Załącznik Nr 1 
wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych
Załącznik Nr 2 
opis struktury zbiorów danych osobowych
Załącznik Nr 3 
upoważnienie Administratora Bezpieczeństwa Informacji
Załącznik Nr 4 
upoważnienie do przetwarzania danych osobowych
Załącznik Nr 5 
ewidencja osób upoważnionych do przetwarzania danych osobowych
Załącznik Nr 6 
oświadczenia osób upoważnionych o zaznajomieniu się z zasadami
zachowania bezpieczeństwa danych
8
Załącznik Nr 1
do „Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie”
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych
ZBIÓR DANYCH
OSOBOWYCH
PROGRAM SŁUZĄCY DO PRZETWARZANIA
ZBIORU DANYCH
Płatnik (ZUS)
Płace (QWARK)
Pracownicy
Organizacja roku szkolnego (VULCAN)
SIO (MEN)
HERMES (OKE)
Uczniowie
SIO (MEN)
9
Załącznik Nr 2
do „Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie”
Opis struktury zbiorów danych osobowych
1. Zbiory danych przetwarzanych w systemach informatycznych
ZBIÓR DANYCH
OSOBOWYCH
PROGRAM
INFORMATYCZNY
SŁUZĄCY
DO PRZETWARZANIA
ZBIORU DANYCH
Płatnik
Płace
Pracownicy
SIO
HERMES
Uczniowie
SIO
STRUKTURA DANYCH
PESEL/ NIP/ imię/nazwisko/ adres/ data
i miejsce urodzenia
PESEL/ imię i nazwisko/nazwisko rodowe/ data
i miejsce urodzenia/ płeć/adres/ numer telefonu/
e-mail/ dowód osobisty (seria i nr, wydany
przez, data wydania)/ imię ojca/ imię matki/ stan
cywilny i rodzinny/ numer legitymacji służbowej/
posiada gospodarstwo rolne/ emeryt/ rencista/
obywatelstwo
obce/
osoba
kontaktowa/
wykształcenie/ nazwa szkoły i rok ukończenia/
warunki zatrudnienia/ staż pracy/ staż pracy/
tytuł zawodowy/ nieobecności w pracy/ numer
konta bankowego
PESEL/ płeć/ wykształcenie/ nazwa szkoły i rok
ukończenia/ warunki zatrudnienia/ staż pracy/
historia pracy, kary, nagrody/ tytuł zawodowy/
zawód wyuczony i wykonywany/ uzyskane
kwalifikacje/ nieobecności w pracy
PESEL/ imię i nazwisko/ data i miejsce
urodzenia/ płeć/adres /numer telefonu
PESEL/ imię i nazwisko/ data i miejsce
urodzenia/ adres
10
2. Zbiory danych przetwarzanych tradycyjnie
ZBIÓR
DANYCH
OSOBOWYCH
Pracownicy
DOKUMENTACJA
SŁUŻĄCA
DO PRZETWARZANIA
ZBIORU DANYCH
STRUKTURA DANYCH
PESEL/ imię i nazwisko/ nazwisko rodowe/
data i miejsce urodzenia/ płeć/ adres/ numer
telefonu/ e-mail/ dowód osobisty (seria i nr,
wydany przez, data wydania)/ imię ojca/ imię
matki/ stan cywilny i rodzinny/ stosunek do
służby wojskowej (dokument wojskowy,
Akta osobowe
seria i numer, stopień wojskowy)/ numer
legitymacji służbowej/ wykształcenie/ nazwa
szkoły
i
rok
ukończenia/
warunki
zatrudnienia/ staż pracy/ historia pracy, kary,
nagrody/ tytuł zawodowy/ zawód wyuczony
i wykonywany/ uzyskane kwalifikacje/
nieobecności w pracy
imię i nazwisko/ data i miejsce urodzenia/
Ewidencja akt osobowych adres
Orzeczenia lekarskie do PESEL/ imię i nazwisko/ adres/ informacje o
celów sanitarnostanie zdrowia
epidemiologicznych
Oświadczenia i wnioski do imię i nazwisko/ adres/ wysokość zarobków
funduszu socjalnego
PESEL/ imię i nazwisko/ stanowisko/ numer
Listy płac
konta bankowego
PESEL/ NIP/ imię i nazwisko/ nazwisko
Karty zasiłkowe
rodowe/
data
i
miejsce
urodzenia/
adres/okresy niezdolności do pracy
PESEL/ NIP/ imię i nazwisko/ nazwisko
rodowe/ data i miejsce urodzenia/ adres/
Karty zarobkowe
wysokość zarobków/ warunki pracy (wymiar
etatu, okres umowy)
PESEL/ NIP/ imię i nazwisko/ nazwisko
Informacje o zarobkach
rodowe/
data
i
miejsce
urodzenia/
(PIT-y)
adres/wysokość zarobków
PESEL/ NIP/ imię i nazwisko/ nazwisko
Zaświadczenia
rodowe/ data i miejsce urodzenia/ adres/
wysokość zarobków/ warunki pracy
PESEL/ imię i nazwisko/ nazwisko rodowe/
Dokumentacja
data i miejsce urodzenia/ adres/ informacje o
ubezpieczeniowa
stanie zdrowia
imię i nazwisko/ nazwisko rodowe/ data i
Protokoły powypadkowe miejsce urodzenia/ adres/ informacje o
stanie zdrowia
PESEL/ imię i nazwisko/ staż pracy/ historia
pracy (kary, nagrody)/ tytuł zawodowy/
Arkusz organizacyjny
ukończone kursy/ uzyskane kwalifikacje/
zawód wyuczony i zawód wykonywany/
warunki zatrudnienia/ nieobecności w pracy
imię i nazwisko/ data i miejsce urodzenia/
Dokumentacja awansu
adres/
wykształcenie/
historia
pracy/
zawodowego nauczycieli
uzyskane kwalifikacje
11
Dokumentacja uczniów
 zaświadczenia
 dokumentacja
egzaminu
maturalnego i
zawodowego
 dokumentacja
kandydatów
Księga uczniów
Arkusze ocen
Uczniowie
Dzienniki lekcyjne
Księga wydanych
legitymacji i legitymacje
Rejestr zaświadczeń
i zaświadczenia
Księga absolwentów
Świadectwa i duplikaty
Dokumentacja
ubezpieczeniowa
Protokoły powypadkowe
Karta zdrowia ucznia
Karty szczepień
Karty biblioteczne
12
PESEL/ imię i nazwisko/ nazwisko rodowe/
data i miejsce urodzenia/ płeć/ adres/ numer
telefonu/ e-mail/ dowód osobisty (seria, nr
i rodzaj, wydany przez, data wydania)/ imię
i nazwiska rodziców(opiekunów prawnych),
adresy rodziców (opiekunów prawnych)/ stan
cywilny/
numer
legitymacji
szkolnej/
obywatelstwo obce/ osoba kontaktowa/
wykształcenie/ historia nauki/ nazwa szkoły i rok
ukończenia
PESEL/ imię i nazwisko/ nazwisko
rodowe/data i miejsce urodzenia/ płeć/ adres
imię, nazwiska i adresy rodziców (opiekunów
prawnych)
PESEL/ imię i nazwisko/ nazwisko
rodowe/data i miejsce urodzenia/ płeć/ adres
(miejscowość, ulica, numer domu, numer
mieszkania)/
numer
telefonu/
imiona
i nazwiska rodziców (opiekunów prawnych),
adresy i numer telefonu rodziców (opiekunów
prawnych)/
PESEL/ imię i nazwisko/ nazwisko
rodowe/data i miejsce urodzenia/ płeć/ adres
(miejscowość, ulica, numer domu, numer
mieszkania)/
numer
telefonu/
imiona
i nazwiska rodziców (opiekunów prawnych),
adresy i numer telefonu rodziców (opiekunów
prawnych)/ nieobecności w szkole
imię i nazwisko/data urodzenia/ adres/ klasa/
numer legitymacji
imię i nazwisko/ data i miejsce urodzenia/
adres/ klasa
imię i nazwisko/ numer w księdze uczniów/ numer
świadectwa/ data ukończenia szkoły
PESEL/ imię i nazwisko/ data i miejsce
urodzenia/ data wydania/ uzyskane oceny
PESEL/ imię i nazwisko/ nazwisko rodowe/
data i miejsce urodzenia/ adres
imię i nazwisko/ nazwisko rodowe/ data
i miejsce urodzenia/ adres/ informacje
o stanie zdrowia
PESEL/ imię i nazwisko/ data i miejsce
urodzenia/
adres/
imiona
rodziców/
informacje o stanie zdrowia
PESEL/ imię i nazwisko/ data i miejsce
urodzenia/
adres/
imiona
rodziców/
informacje o stanie zdrowia
imię i nazwisko/ data i miejsce urodzenia/
adres
Załącznik Nr 3
do „Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie”
Kutno, dnia ……………………………….20…. r.
(pieczęć Szkoły)
UPOWAŻNIENIE
Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024)
upoważniam Pana/Panią: ………………………………………………………………….………….....
do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie wynikających z przepisów ustawy z 29.08.1997 r. o ochronie
danych osobowych (Dz. U. nr 101, poz. 926, z 2002 r.) oraz aktów wykonawczych wydanych na
jej podstawie.
Jednocześnie upoważniam Pana/Panią do dostępu do zbiorów danych osobowych
prowadzonych w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie, ich przetwarzania
i kontrolowania pracowników zatrudnionych przy jego przetwarzaniu, a także do ich
przetwarzania w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych.
Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Nr 1 im. Stanisława
Staszica w Kutnie.
Podstawa prawna:
art. 39 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (D. U. z 2002r.
nr 101, poz. 926 ze zm.)
………………………….………………..
(podpis dyrektora szkoły)
13
Załącznik Nr 4
do „Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie”
(pieczęć Szkoły)
UPOWAŻNIENIE nr ……/20……
do przetwarzania danych osobowych
Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 10 poz. 926 z późn. zm.) upoważniam Panią/Pana zatrudnioną (ego)
w
Zespole
Szkół
Nr
1
im.
Stanisława
Staszica
w
Kutnie
na
stanowisku
……………………………………………………….………..… do przetwarzania danych osobowych
zgromadzonych w formie tradycyjnej oraz w systemach informatycznych w okresie od dnia
……………….…..….… 20…..r. do dnia ………….….…………… 20…..r. w zakresie określonym
w obowiązkach służbowych.
Wyżej wymieniona osoba została wpisana do ewidencji osób zatrudnionych przy
przetwarzaniu danych osobowych w Szkole.
……………………………………………………………
(podpis dyrektora szkoły)
14
Załącznik Nr 5
do „Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie”
(pieczęć Szkoły )
REJESTR OSÓB UPOWAŻNIONYCH
DO PRZETWARZANIA DANYCHOSOBOWYCH
Lp.
Nazwisko i imię
użytkownika
Identyfikator
użytkownika*
Zakres
upoważnienia
do
przetwarzania
danych
osobowych
Data
nadania
uprawnień
i podpis ABI
Data
odebrania
uprawnień
i podpis
ABI
Uwagi
Dane aktualne na dzień:..................................................
Sporządził:..................................................
* Wypełnia się tylko dla osób upoważnionych do przetwarzania danych osobowych, które zostały
dopuszczone do przetwarzania danych osobowych w systemie informatycznym
15
Załącznik Nr 6
do „Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1
im. Stanisława Staszica w Kutnie”
Kutno, dnia ……………………………….20…. r.
……………………………………..……………………….
(imię i nazwisko)
……………………………………..……………………….
(stanowisko)
OŚWIADCZENIE
o zachowaniu poufności
i zapoznaniu się z przepisami
Ja niżej podpisany/a oświadczam, iż zobowiązuję się do zachowania w tajemnicy
danych osobowych oraz sposobów ich zabezpieczenia, do których mam lub będę miał/a dostęp
w związku z wykonywaniem zadań i obowiązków służbowych wynikających ze stosunku pracy,
zarówno w czasie trwania umowy, jak i po jej ustaniu.
Oświadczam, że zostałem/am poinformowany/a o obowiązujących w Szkole zasadach
dotyczących przetwarzania danych osobowych, określonych w „Polityce bezpieczeństwa
informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie” i zobowiązuję się ich
przestrzegać. W szczególności oświadczam, że bez upoważnienia nie będę wykorzystywał/a
danych osobowych ze zbiorów znajdujących się w Szkole.
Zostałem/am zapoznany/a z przepisami Ustawy o ochronie danych osobowych
(Dz. U. 2002 r. Nr 101 poz. 926 z późn. zm.) oraz Rozporządzenia MSWiA w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024).
Poinformowano mnie również o grożącej, stosownie do przepisów rozdziału 8 Ustawy
o ochronie danych osobowych odpowiedzialności karnej. Niezależnie od odpowiedzialności
przewidzianej w wymienionych przepisach, mam świadomość, ze złamanie zasad ochrony
danych osobowych, obowiązujących w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie
może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych
i skutkować odpowiedzialnością dyscyplinarną.
……………………………………………………………..
(podpis pracownika
16