Polityka Ochrony Danych Osobowych. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Transkrypt

1 z dnia r w Publicznym Przedszkolu Nr 7 Sporządziła: Beata Lewandowska Zatwierdziła: Lidia Wójciak Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 1

2 z dnia r Spis treści I Preambuła 3 II Podstawowe pojęcia i skróty 3 III Generalny Inspektor Ochrony Danych Osobowych 3 IV Przetwarzanie danych osobowych 5 V Charakterystyka instytucji 5 VI Wykaz miejsc przetwarzania danych osobowych 6 VII Opis struktury zbiorów danych 7 VIII Sposób przepływu danych pomiędzy systemami 7 IX Ewidencja osób upoważnionych do przetwarzania danych osobowych 7 X Środki organizacyjne ochrony danych osobowych 8 XI Środki techniczne ochrony danych osobowych 9 XII Sankcje karne 10 XIII Podstawy prawne 11 XIV Postanowienia końcowe 11 XV Dokumenty powiązane 11 XVI Załączniki 11 Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 2

3 z dnia r I Preambuła Celem niniejszego dokumentu jest opisanie zasad ochrony danych osobowych oraz dostarczenie podstawowej wiedzy z zakresu ich przetwarzania w Publicznym Przedszkolu Nr 7 Dokument szczegółowo opisuje podstawowe zasady organizacji pracy przy zbiorach osobowych przetwarzanych metodami tradycyjnymi oraz w systemie informatycznym Wszelkie zestawienia uzupełniające treść dokumentu zebrano w postaci załączników Do najważniejszych należy ewidencja zbiorów osobowych oraz miejsc ich przetwarzania II Podstawowe pojęcia i skróty Słownik podstawowych pojęć oraz skrótów występujących w niniejszej instrukcji znajduje się w dokumencie Polityki Bezpieczeństwa Informacji w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile III Generalny Inspektor Ochrony Danych Osobowych Zadania GIODO 1) Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) Zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydanych decyzji przez zastosowanie środków egzekucyjnych przewidzianych w ustawie z 17 czerwca 1966 r o postępowaniu egzekucyjnym w administracji, 4) Prowadzenie rejestru zbiorów danych i Administratorów Bezpieczeństwa Informacji oraz udzielanie informacji o zarejestrowanych zbiorach, 5) Opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6) Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 3

4 z dnia r 7) Uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych Kontrole GIODO W celu wykonania w/w zadań Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej inspektorami, mają prawo: 1) Wstępu, w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2) Żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 3) Wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4) Przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, 5) Zlecać sporządzanie ekspertyz i opinii Działania GIODO w przypadku naruszenie przepisów W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) Usunięcie uchybień; 2) Uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; 3) Zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; 4) Wstrzymanie przekazywania danych osobowych do państwa trzeciego; 5) Zabezpieczenie danych lub przekazanie ich innym podmiotom; 6) Usunięcie danych osobowych Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 4

5 z dnia r W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie IV Przetwarzanie danych osobowych Administrator Danych mając świadomość, iż przetwarza dane wrażliwe podopiecznych deklaruje dołożyć wszelkich starań, aby przetwarzanie odbywało się w zgodności z przepisami prawa Na podstawie 4 pkt 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz zbiorów osobowych wraz ze wskazaniem programów komputerowych służących do ich przetwarzania zgodnie z załącznikiem Nr 1 do niniejszej PODO Z uwagi na połączenie komputerów z siecią Internet, dla zbiorów przetwarzanych elektronicznie stosuje się, zgodnie z 6 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r środki bezpieczeństwa na poziomie WYSOKIM Wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych V Charakterystyka instytucji Placówka realizuje zadania głównie na mocy przepisów prawa zawartych w ustawie o systemie oświaty, o Systemie Informacji Oświatowej, Karcie Nauczyciela, a także innych aktach wykonawczych uprawniających Dyrektora Przedszkola do podejmowania stosownych działań, w tym do przetwarzania danych osobowych Podstawowe zadania związane są z zabezpieczeniem działalności Publicznego Przedszkola, które: 1) Zapewnia dzieciom opiekę oraz bezpieczeństwo fizyczne i psychiczne Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 5

6 z dnia r 2) Tworzy warunki do nabywania przez dziecko umiejętności zgodnych z jego możliwościami rozwojowymi 3) Promuje zdrowie fizyczne i psychiczne 4) Organizuje sprawne zarządzanie placówką opartą na zasadach wzajemnego szacunku i demokracji 5) Wspiera rodzinę w ukierunkowaniu rozwoju dziecka zgodnie z jego potencjałem i możliwościami rozwojowymi w korelacji ze środowiskiem społeczno-kulturowym i przyrodniczym 6) Analizuje i ocenia efekty swojej pracy, a uzyskane wyniki wykorzystuje do permanentnego doskonalenia 7) Kształtuje postawy społeczno- moralne, patriotyczne i proekologiczne 8) Oferuje ciekawie zaaranżowane sale zajęć, smaczne zdrowe posiłki, fachową kadrę pedagogiczną, partnerskie relacje, realizację procesu edukacyjnego na wysokim poziomie 9) Kieruje się zasadami wynikającymi z Konwencji Praw Dziecka oraz powszechnie przyjętymi wartościami uniwersalnymi takimi jak: bezpieczeństwo, prawda, dobro, piękno, przyjaźń, tolerancja, podmiotowość, równość szans, odpowiedzialność, zaufanie 10) Współpracuje z rodzicami, z lokalnymi placówkami oświatowymi, organizacjami i instytucjami działającymi na terenie miasta 11) Dokonuje rzetelnej obserwacji i diagnozy dzieci w celu planowania pracy wychowawczo dydaktycznej i indywidualnego wspomagania 12) Organizuje pomoc psychologiczno-pedagogiczną dla dzieci z różnymi dysfunkcjami rozwojowymi Szczegółowe zasady ochrony bezpieczeństwa wychowanków przedszkola reguluje Polityka Ochrony Dzieci VI Wykaz miejsc przetwarzania danych osobowych Obszarem przetwarzania danych są wszystkie pomieszczenia Przedszkola, korytarze oraz obszar Przedszkola Wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowi załącznik Nr 2 do niniejszej PODO Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 6

7 z dnia r Dla pomieszczeń, w których dane są gromadzone na czas nieobecności w nich osób upoważnionych, zwłaszcza w nocy oraz w czasie kiedy Placówka jest nieczynna, opisano zastosowane środki ochrony technicznej VII Opis struktury zbiorów danych Na podstawie 4 pkt 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza się do załącznika Nr 1 opis struktury poszczególnych zbiorów osobowych VIII Sposób przepływu danych pomiędzy systemami Na podstawie 4 pkt 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, z uwagi na fakt, iż pomiędzy systemami wykorzystywanymi do przetwarzania zbiorów danych osobowych, przypisanymi do tych zbiorów zgodnie z załącznikiem Nr 1 nie występują żadne powiązania automatycznego przekazywania danych, nie wprowadzono opisu danych pomiędzy systemami IX Ewidencja osób upoważnionych do przetwarzania danych osobowych Zgodnie z art 39 ust 1 ustawy o ochronie danych osobowych wprowadza się ewidencję osób upoważnionych do przetwarzania danych, która stanowi załącznik Nr 5 do PBI Ewidencja zawiera: imię i nazwisko osoby upoważnionej, datę nadania i ustania uprawnień oraz zakres, a w przypadku kiedy dane są przetwarzane za pomocą programu komputerowego również identyfikator dostępowy do tego programu Ewidencja stanowi podstawę wydania Upoważnienia do przetwarzania danych osobowych na mocy art 37 ustawy o ochronie danych osobowych, którego wzór stanowi załącznik Nr 3 do PBI Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 7

8 z dnia r X Środki organizacyjne ochrony danych osobowych W celu stworzenia właściwych zabezpieczeń, które powinny bezpośrednio oddziaływać na procesy przetwarzania danych, Administrator danych wprowadza określone poniżej środki organizacyjne 1) Przetwarzanie danych osobowych w Przedszkolu może odbywać się wyłącznie w ramach wykonywania zadań służbowych Zakres uprawnień wynika z zakresu tych zadań 2) Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych 3) Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie Wzór upoważnienia stanowi załącznik Nr 3 do PBI 4) Unieważnienie upoważnienia następuje na piśmie, wg wzoru stanowiącego załącznik Nr 4 do PBI 5) Zabrania się przetwarzania danych poza obszarem określonym w załączniku Nr 2 do niniejszej PODO 6) Pracownik upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa Wzór oświadczenia o poufności stanowi załącznik Nr 2 do PBI Podpisany dokument jest dołączany do akt osobowych 7) Obszar przetwarzania danych osobowych określony w załączniku Nr 2 do niniejszej PODO, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych 8) Przebywanie osób, nieuprawnionych w w/w obszarze jest dopuszczalne za zgodą Administratora Danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych 9) Wzory zgody na przebywanie w pomieszczeniach dla osób nie posiadających upoważnienia, a także odwołania tej zgody, stanowią odpowiednio załącznik Nr 7 oraz załącznik Nr 8 do PBI 10) Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz 11) Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna, usunąć z biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 8

9 z dnia r 12) Nie należy gromadzić w podręcznej dokumentacji danych osobowych Wszystkie dane niezbędne do prawidłowej pracy powinny znajdować się w zbiorach, zgodnie z załącznikiem Nr 1 do dokumentacji Jeżeli posiadane druki lub zestawienia są niezbędne należy je zanonimizować (usunąć dane osobowe) 13) Dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach 14) Każdorazowe zbieranie danych zgodnie z art 24 oraz 25 ustawy o ochronie danych osobowych rodzi obowiązek informacyjny Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi Wzór realizacji obowiązku informacyjnego określa załącznik Nr 3 do niniejszej PODO 15) Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane 16) Dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza Przedszkole lub przesyłane pocztą elektroniczną, należy zabezpieczyć poprzez nadanie im haseł odczytu 17) Zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa, zapisywanych na zewnętrznych nośnikach i przechowywanych pod zamknięciem 18) Komputery, które przetwarzają zbiory osobowe wyszczególnione w załączniku Nr 1 do dokumentacji, za wyjątkiem komputerów służących jedynie do edycji tekstu, należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek braku zasilania 19) Pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów, z których pochodzą przetwarzane w nich dane i odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji Zarządzania Systemem Informatycznym będącej częścią niniejszej dokumentacji XI Środki techniczne ochrony danych osobowych 1) Potencjalne środki ochrony technicznej danych osobowych 2) Ogólna ochrona budynku gaśnice, systemy p-poż, system alarmowy, monitoring 3) Zabezpieczenie drzwi drzwi tradycyjne zamykane na klucz Dostęp do kluczy posiadają upoważnione osoby 4) Zabezpieczenia zbiorów tradycyjnych (papierowych) szafy tradycyjne zamykane na klucz, szafy metalowe lub sejfy (dla danych szczególnie ważnych) Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 9

10 z dnia r 5) Dane przeznaczone do zniszczenia niszczone są w specjalistycznych niszczarkach 6) Zabezpieczenia zbiorów elektronicznych w systemy antywirusowe XII Sankcje karne 1) Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 Jeżeli czyn ten dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3 2) Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku 3) Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku 4) Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku 5) Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku 6) Wobec osoby, która w przypadku naruszenia zasad bezpieczeństwa lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonych w niniejszej dokumentacji, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 10

11 z dnia r 7) Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych 8) Orzeczona kara dyscyplinarna nie wyklucza odpowiedzialności karnej osoby winnej zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz U z 2014 r poz 1182 ze zm) oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat XIII Podstawy prawne Podstawy prawne niniejszej PODO znajdują się w dokumencie Polityki Bezpieczeństwa Informacji w Publicznym Przedszkolu Nr 7 XIV Postanowienia końcowe 1) W sprawach nieuregulowanych niniejszą PODO odpowiednie zastosowanie mają reguły i procedury zawarte w dokumentach powiązanych 2) wchodzi w życie z dniem podpisania XV Dokumenty powiązane 1) Polityka Bezpieczeństwa Informacji w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile 2) Instrukcja Postępowania w Sytuacji Naruszeń 3) Instrukcja Zarządzania Systemem Informatycznym 4) Polityka Ochrony Dzieci w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile XVI Załączniki 1) Wykaz zbiorów danych osobowych 2) Wykaz miejsc przetwarzania danych osobowych Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 11

12 z dnia r 3) Wzór spełnienia obowiązku informacyjnego (data, podpis Administrator Danych) Niniejszy dokument jest własnością Publicznego Przedszkola Nr 7 12