POLITYKA BEZPIECZEŃSTWA INFORMACJI ZESPOŁU SZKÓŁ SAMORZĄDOWYCH W LIPSKU

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA INFORMACJI ZESPOŁU SZKÓŁ SAMORZĄDOWYCH W LIPSKU Lipsk

2 Podstawa prawna... 4 Podstawowe pojęcia... 5 I POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH... 6 I.1. Wykaz miejsc, w których przetwarzane są dane osobowe... 6 I.2. Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych... 7 I.3. Zbiory danych przetwarzanych tradycyjnie I.4. System przetwarzania danych osobowych W skład systemu wchodzą: I.5. Środki techniczne i organizacyjne stosowane w przetwarzaniu danych I.5.1. Cele i zasady funkcjonowania polityki bezpieczeństwa I.5.2. Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych I.5.3. Zasady udzielania dostępu do danych osobowych I.5.4. Udostępnianie i powierzanie danych osobowych I.5.5. Bezpieczeństwo w przetwarzaniu danych osobowych w formie tradycyjnej I.5.6. Bezpieczeństwo w przetwarzaniu danych osobowych w systemach informatycznych 18 I.6. Analiza ryzyka związanego z przetwarzaniem danych osobowych I.6.1. Identyfikacja zagrożeń I.6.2. Sposób zabezpieczenia danych I.6.3. Określenie wielkości ryzyka I.6.4. Identyfikacja obszarów wymagających szczególnych zabezpieczeń II INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM II.1. Postanowienia ogólne II.2. Przeznaczenie II.3. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności II.4. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem II.5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych osobowych II.6. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania II.7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych II.8. Sposób zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych II.9. Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia

3 II.10. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych II.11. Pozostałe zasady ochrony systemu informatycznego służącego do przetwarzania danych osobowych III INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA DANYCH III.1. Istota naruszenia danych osobowych III.2. Postępowanie w przypadku naruszenia danych osobowych III.3. Sankcje karne Załączniki:

4 Podstawa prawna 1. Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.) - art. 47 i51; 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz i 1662). 3. Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662) art. 9; 4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923); 5. Rozporządzenie Prezydenta Rzeczypospolitej z dnia 10 października 2011 r. w sprawie nadania statutu Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011 r. Nr 225, poz. 1350); 6. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934); 7. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024); 8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536); 9. Konwencja nr 108 Rady Europy dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych; 10. Dyrektywa PE i RE z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych; 11. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U nr 24 poz. 141 z późn. zm.). 4

5 Podstawowe pojęcia Szkoła w tym dokumencie jest rozumiana jako Zespół Szkół Samorządowych w Lipsku, zlokalizowany przy ulicy Szkolnej 1; Polityka w tym dokumencie jest rozumiana jako Polityka Bezpieczeństwa obowiązująca w Zespole Szkół Samorządowych w Lipsku; Instrukcja w tym dokumencie rozumiana jest jako Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Zespole Szkół Samorządowych w Lipsku ; Administrator Systemu Informatycznego (ASI) pracownik odpowiedzialny za funkcjonowanie systemu teleinformatycznego oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie; Użytkownik systemu osoba upoważniona do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona w szkole, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż w szkole; Identyfikator użytkownika jest to ciąg znaków jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; Przetwarzanie danych rozumie się to w tym dokumencie jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie; Zabezpieczenie danych w systemie informatycznym wdrożenie i wykorzystywanie stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; Wysoki poziom bezpieczeństwa musi występować wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego służące do przetwarzania danych osobowych połączone jest z siecią publiczną, Sieć lokalna połączenie komputerów pracujących w szkole w celu wymiany danych (informacji) dla własnych potrzeb przy wykorzystaniu urządzeń telekomunikacyjnych; Sieć publiczna sieć telekomunikacyjna niebędąca siecią wewnętrzną służąca do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z poźn. zm.); Sieć telekomunikacyjna urządzenia telekomunikacyjne zestawione i połączone w sposób umożliwiający przekaz sygnałów pomiędzy określonymi zakończeniami sieci za pomocą przewodów, fal radiowych bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną w rozumieniu ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz.852 z późn. zm.). 5

6 I POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH I.1. Wykaz miejsc, w których przetwarzane są dane osobowe L.P. ADRES BUDYNEK POMIESZCZENIA ZABEZPIECZENIE Lipsk, gabinet dyrektora kluczami dysponuje dyrektor i sekretarz ul. Szkolna 1 gabinet wicedyrektora kluczami dysponuje wicedyrektor kluczami dysponuje dyrektor i sekretarz gabinet pedagoga kluczami dysponuje pedagog, klucze dostępne w pokoju nauczycielskim gabinet pielęgniarki kluczami dysponuje pielęgniarka biblioteka kluczami dysponuje bibliotekarz, klucze dostępne w pokoju nauczycielskim pokój nauczycielski podstawowej kluczami dysponują nauczyciele, klucze dostępne Lipsk ul. Miejska 4 pokój nauczycielski gimnazjum sale lekcyjne pokój kierownika gospodarczego pokój logopedy świetlica pokój informatyka pokój intendenta pokój logopedy sale zajęć w sekretariacie kluczami dysponują nauczyciele, klucze dostępne w sekretariacie klucze dostępne w pokojach nauczycielskich SP i Gimn. kluczami dysponuje kierownik gospodarczy kluczami dysponuje logopeda klucze dostępne w pokoju nauczycielskim SP kluczami dysponuje informatyk kluczami dysponuje intendent kluczami dysponuje logopeda kluczami dysponują nauczycielki 6

7 I.2. Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych ZBIÓR DANYCH OSOBOWYCH PROGRAM INFORMATYCZNY SŁUŻĄCY DO PRZETWARZANIA ZBIORU DANYCH MIEJSCE PRZETWARZANIA ODPOWIEDZIALNY STRUKTURA DANYCH Pracownicy SIO sekretarz PESEL/płeć/wykształcenie/nazwa i rok ukończenia/ warunki zatrudnienia/staż pracy/ historiapracy, kary, nagrody/tytuł zawodowy/ zawód wyuczony iwykonywany/uzyskane kwalifikacje/nieobecności w pracy OFFICE (Word, Excell) gabinet dyrektora dyrektor PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /dowód osobisty (seria, numer i rodzaj, wydany przez, data wydania) gabinet wicedyrektora wicedyrektor PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /dowód osobisty (seria, numer i rodzaj, wydany przez, data wydania) sekretarz PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /dowód osobisty (seria, numer i rodzaj, wydany przez, data wydania) Uczniowie SIO sekretarz PESEL/imię i nazwisko/data i miejsce urodzenia/ HERMES sekretarz PESEL/imię i nazwisko/data i miejsce urodzenia/ gabinet dyrektora dyrektor PESEL/imię i nazwisko/data i miejsce urodzenia/ Sekretariat sekretarz PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres stały/numer telefonu/ /dowód osobisty (seria, numer i rodzaj, wydany przez, data wydania)/imiona, nazwiska i adresy rodziców (opiekunów prawnych)/stan cywilny/numer 7

8 legitymacji szkolnej/ Świadectwa sekretarz PESEL/imię i nazwisko/data i miejsce urodzenia/ informacje o wynikach w nauce sale lekcyjne wychowawca PESEL/imię i nazwisko/data i miejsce urodzenia/ informacje o wynikach w nauce OFFICE (Word, Excell) gabinet dyrektora dyrektor PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /imiona, nazwiska, adresy rodziców (opiekunów prawnych) gabinet wicedyrektora wicedyrektor sekretarz, nauczyciele PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /imiona, nazwiska, adresy rodziców (opiekunów prawnych) PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /imiona, nazwiska, adresy rodziców (opiekunów prawnych) pokój logopedy logopeda PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /imiona, nazwiska, adresy rodziców (opiekunów prawnych) gabinet pedagoga pedagog szkolny PESEL/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/numer telefonu/ /imiona, nazwiska, adresy rodziców (opiekunów prawnych) e-dziennik gabinet dyrektora dyrektor PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres zamieszkania/numer telefonu/ /imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) gabinet wicedyrektora wicedyrektor PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres zamieszkania/numer telefonu/ /imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ rodziców 8

9 (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) sale lekcyjne nauczyciele PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres zamieszkania/numer telefonu/ /imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) pokój nauczycielski podstawowej pokój nauczycielski gimnazjum nauczyciele nauczyciele PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres zamieszkania/numer telefonu/ /imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres zamieszkania/numer telefonu/ /imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) pokój informatyka informatyk PESEL/imię i nazwisko/data i miejsce urodzenia/ płeć/adres zamieszkania/numer telefonu/ /imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) 9

10 I.3. Zbiory danych przetwarzanych tradycyjnie ZBIÓR DANYCH OSOBOWYCH DOKUMENTACJA SŁUZĄCA DO PRZETWARZANIA ZBIORU DANYCH MIEJSCE PRZETWARZ ANIA /ODPOWIEDZ IALNY Pracownicy Akta osobowe /sekretarz Orzeczenia lekarskie do celów sanitarnoepidemiologicznych Oświadczenia i wnioski do funduszu socjalnego Zaświadczenia i rejestr zaświadczeń Protokoły powypadkowe Arkusz organizacyjny Dokumentacja nadzoru pedagogicznego Dokumentacja awansów /sekretarz /sekretarz /sekretarz /sekretarz gabinet dyrektora /dyrektor gabinet dyrektora /dyrektor gabinet dyrektora MIEJSCE PRZECHOWYW ANIA Pokój kierownika gospodarczego gabinet dyrektora gabinet dyrektora gabinet dyrektora ZABEZPIECZENIE szafa pancerna, klucz u sekretarza szafa pancerna, klucz u sekretarza szafa pancerna, klucz u sekretarza szafa na klucz, klucz u kierownika gospodarczego szafa pancerna, klucz u sekretarza szafka na klucz szafka na klucz szafa stalowa, klucz u dyrektora STRUKTURA DANYCH PESEL, imię, nazwisko, adres zamieszkania, wykształcenie, data i miejsce urodzenia, nr i seria dowodu osobistego PESEL, imię, nazwisko Imię i nazwisko, średni dochód PESEL, imię i nazwisko, data urodzenia Imię i nazwisko Imię i nazwisko, wykształcenie PESEL, imię i nazwisko PESEL, imię i nazwisko, wykształcenie, data i miejsce urodzenia 10

11 Uczniowie zawodowych nauczycieli Podania; życiorysy/cv Dokumentacja ubezpieczeniowa Notatki służbowe Dokumentacja dotycząca polityki kadrowej opiniowanie awansów, wyróżnień, odznaczeń, nagród, wnioski o odznaczenia, itp. Dokumentacja uczniów;karty zapisu dziecka/ucznia Księga uczniów /dyrektor gabinet dyrektora /dyrektor szafa stalowa, klucz u sekretarza szafa pancerna, klucz u sekretarza gabinet gabinet dyrektora szafka na klucz dyrektora /dyrektor gabinet dyrektora /dyrektor /sekretarz /sekretarz gabinet dyrektora szafa stalowa, klucz u dyrektora szafa pancerna, klucz u sekretarza szafa pancerna, klucz u sekretarza PESEL, imię i nazwisko, wykształcenie, data i miejsce urodzenia, adres zamieszkania, nr telefonu, adres PESEL, imię i nazwisko, adres zamieszkania Imię i nazwisko, data i miejsce urodzenia PESEL, imię i nazwisko, data i miejsce urodzenia, wykształcenie PESEL, imię i nazwisko, data i miejsce urodzenia, adres zamieszkania, imiona i nazwiska rodziców (opiekunów prawnych), adresy zamieszkania rodziców (opiekunów prawnych), nr telefonu, adres PESEL, imię i nazwisko, data i miejsce urodzenia, adres zamieszkania, imiona i nazwiska rodziców (opiekunów prawnych), adresy zamieszkania rodziców (opiekunów prawnych) Księga dzieci szafa pancerna, klucz PESEL, imię i nazwisko, data i miejsce 11

12 Arkusze ocen Notatki służbowe Dzienniki lekcyjne Dzienniki nauczania indywidualnego Dzienniki zajęć specjalistycznych Dzienniki zajęć pozalekcyjnych Rejestr zajęć z art.42 KN /sekretarz pokój nauczycielski /wychowawca; /sekretarz gabinet dyrektora /dyrektor pokój nauczycielski, sale lekcyjne/ wychowawca, nauczyciele pokój nauczycielski, sale lekcyjne/ wychowawca, nauczyciele pokój nauczycielski, sale lekcyjne/ nauczyciele prowadzący gabinet dyrektora pokój nauczycielski podstawowej, pokój nauczycielski gimnazjum pokój nauczycielski podstawowej, pokój nauczycielski gimnazjum pokój nauczycielski podstawowej, pokój nauczycielski u sekretarza szafa pancerna, klucz u sekretarza szafka na klucz szafka na klucz szafka na klucz szafka na klucz urodzenia, adres zamieszkania, imiona i nazwiska rodziców (opiekunów prawnych), adresy zamieszkania rodziców (opiekunów prawnych) PESEL, imię i nazwisko, data i miejsce urodzenia, adres zamieszkania, imiona i nazwiska rodziców (opiekunów prawnych), adresy zamieszkania rodziców (opiekunów prawnych) Imię i nazwisko, klasa, data i miejsce urodzenia PESEL, imię i nazwisko, data i miejsce urodzenia, adres zamieszkania, numer telefonu, , imiona, nazwiska i adresy rodziców (opiekunów prawnych), rodziców (opiekunów prawnych), adresy zamieszkania rodziców (opiekunów prawnych) PESEL, imię i nazwisko, data i miejsce urodzenia, płeć, adres zamieszkania, numer telefonu, , imiona, nazwiska i adresy rodziców (opiekunów prawnych), rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) PESEL, imię i nazwisko, data i miejsce urodzenia, płeć, adres zamieszkania, numer telefonu, , imiona, nazwiska i adresy rodziców (opiekunów prawnych), rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) 12

13 Dziennik wychowawcy świetlicy Dziennik pedagoga Zaświadczenia i rejestr zaświadczeń Pomoc społeczna, stypendia, wyprawki, obiady Księga wydanych legitymacji i legitymacje Księga absolwentów Świadectwa i duplikaty Dokumentacja ubezpieczeniowa Karta zdrowia ucznia i karty szczepień świetlica/ wychowawcy świetlicy gabinet pedagoga/ pedagog /sekretarz /sekretarz /sekretarz /sekretarz /sekretarz /sekretarz gabinet pedagoga/ pielęgniarki szkolnej; pielęgniarka gimnazjum, szafka na klucz PESEL, imię i nazwisko, data i miejsce urodzenia, płeć, adres zamieszkania, numer telefonu, , imiona, nazwiska i adresy rodziców (opiekunów prawnych), rodziców (opiekunów prawnych), adres zamieszkania rodziców (opiekunów prawnych) gabinet pedagoga szafka na klucz Imię i nazwisko, adres zamieszkania, imiona, nazwiska i adresy zamieszkania rodziców (opiekunów prawnych) szafka na klucz PESEL, imię i nazwisko, data urodzenia, klasa szafka na klucz PESEL, imię, nazwisko i adres zamieszkania dziecka i rodziców (opiekunów prawnych) gabinet pielęgniarki szkolnej szafa pancerna, klucz u sekretarza szafa pancerna, klucz u sekretarza szafa pancerna, klucz u sekretarza szafa pancerna, klucz u sekretarza szafka na klucz Imię i nazwisko, klasa Imię i nazwisko, klasa, data urodzenia PESEL, imię i nazwisko, data i miejsce urodzenia PESEL, imię i nazwisko, adres zamieszkania, klasa PESEL, imię i nazwisko, adres zamieszkania, data urodzenia Karty biblioteczne bibliotekarz biblioteka szafka na klucz imię i nazwisko Dokumentacja gabinet, szafka na klucz PESEL, imię i nazwisko, adres zamieszkania, 13

14 pomocy psychologiczno - pedagogicznej (opinie, orzeczenia) Ewidencja uczniów przystępujących do egzaminów zewnętrznych Dokumenty zarchiwizowane Protokoły rad pedagogicznych, księga uchwał Ewidencja decyzji zwolnienia z obowiązkowych zajęć, odroczenia obowiązku szkolnego Deklaracje uczęszczania na religię, sprzeciw od zajęć z wychowania do życia w rodzinie pedagoga szkolnego, pokój nauczycielski gabinet dyrektora /dyrektor / sekretarz gabinet dyrektora /dyrektor gabinet dyrektora /dyrektor gabinet dyrektora /dyrektor gabinet pedagoga szkolnego składnica akt szafa stalowa, klucz u dyrektora klucze dostępne w sekretariacie szafa stalowa, klucz u sekretarza szafa stalowa, klucz u sekretarza szafa stalowa, klucz u sekretarza klasa, data urodzenia, imiona i nazwiska rodziców PESEL, imię i nazwisko, klasa, data urodzenia PESEL, imię i nazwisko, data i miejsce urodzenia, płeć, klasa, adres zamieszkania, numer telefonu, , imiona, nazwiska i adresy zamieszkania rodziców (opiekunów prawnych), rodziców (opiekunów prawnych), nr telefonów rodziców (opiekunów prawnych);pesel, imię i nazwisko, data i miejsce urodzenia, wykształcenie, dochód, adres zamieszkania, nr telefonu, adres pracowników; Imię, nazwisko, klasa uczniów; imię, nazwisko nauczycieli Imię, nazwisko, klasa, data i miejsce urodzenia, imiona, nazwiska i adresy rodziców (opiekunów prawnych) Imię, nazwisko, klasa 14

15 I.4. System przetwarzania danych osobowych W skład systemu wchodzą: dokumentacja papierowa (korespondencja, dokumenty pracowników i uczniów); wydruki komputerowe; urządzenia i oprogramowanie komputerowe służące do przetwarzania informacji; procedury przetwarzania danych w tym systemie, w tym procedury awaryjne. Sposób przepływu danych pomiędzy poszczególnymi systemami: OFFICE HERMES, OFFICE SIO, OFFICE Sekretariat. Sposób przekazywania danych: manualny Przetwarzanie danych osobowych w systemie informatycznym odbywa się przy zachowaniu wysokiego poziom bezpieczeństwa. I.5. Środki techniczne i organizacyjne stosowane w przetwarzaniu danych I.5.1. Cele i zasady funkcjonowania polityki bezpieczeństwa Realizujący Politykę Bezpieczeństwa informacji zapewnia ich: poufność informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom, integralność dane nie zostają zmienione lub zniszczone w sposób nieautoryzowany, dostępność istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot, rozliczalność możliwość jednoznacznego przypisania działań poszczególnym osobom, autentyczność zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana, niezaprzeczalność uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne, niezawodność zamierzone zachowania i skutki są spójne. Polityka bezpieczeństwa informacji w Szkole ma na celu zredukowanie możliwości wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj.: naruszeń danych osobowych rozumianych jako prywatne dobro powierzone Szkole, naruszeń przepisów prawa oraz innych regulacji, utraty lub obniżenia reputacji Szkoły, strat finansowych ponoszonych w wyniku nałożonych kar, zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemów. Realizując Politykę Bezpieczeństwa w zakresie ochrony danych osobowych Szkoła dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: 15

16 przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem, celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celu, w jakim są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. I.5.2. Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych Za przetwarzanie danych osobowych niezgodnie z prawem, celami przetwarzania lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą, grozi odpowiedzialność karna wynikająca z przepisów ustawy o ochronie danych osobowych lub pracownicza na zasadach określonych w kodeksie pracy. Administrator Danych Osobowych (ADO) Dyrektor Szkoły: formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych, wydaje/odwołuje upoważnienie do przetwarzania danych osobowych określając w nich zakres i termin ważności wzór upoważnienia określa Załącznik Nr 1 do Polityki Bezpieczeństwa Informacji, odpowiada za zgodne z prawem przetwarzanie danych osobowych w Szkole egzekwuje zgodnie z prawem przetwarzanie danych osobowych w Szkole prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych wzór ewidencji określa Załącznik Nr 2 do Polityki Bezpieczeństwa Informacji, ewidencjonuje oświadczenia osób upoważnionych o zaznajomieniu się z zasadami zachowania bezpieczeństwa danych wzór oświadczenia określa Załącznik Nr 3 do Polityki Bezpieczeństwa Informacji, wzór ewidencji oświadczeń określa Załącznik Nr 4 do Polityki Bezpieczeństwa Informacji, ewidencjonuje oświadczenia o odwołaniu upoważnienia do przetwarzania danych osobowych wzór odwołania określa Załącznik Nr 5 do Polityki Bezpieczeństwa Informacji, udziela wyjaśnień i interpretuje zgodność stosowanych rozwiązań w zakresie ochrony danych osobowych z przepisami prawa, bierze udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe w Szkole i zapewnia odpowiedni poziom przeszkolenia w tym zakresie. Administrator Systemu Informatycznego (ASI) pracownik Szkoły wyznaczony przez Dyrektora: zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa i wskazówkami ADO doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi z ich przetwarzaniem, przydziela identyfikatory użytkownikom systemu informatycznego oraz zaznajamia ich z procedurami ustalania i zmiany haseł dostępu, nadzoruje prace związane z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu, zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci i zabezpieczenie łączy zewnętrznych, 16

17 prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe. Pracownik przetwarzający dane (PPD) pracownik upoważniony przez ADO chroni prawo do prywatności osób fizycznych powierzających Szkole swoje dane osobowe poprzez przetwarzanie ich zgodnie z przepisami prawa oraz zasadami określonymi w Polityce Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym Szkoły, zapoznaje się zasadami określonymi w Polityce Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym Szkoły i składa oświadczenie o znajomości tych przepisów. I.5.3. Zasady udzielania dostępu do danych osobowych Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami ustawy o ochronie danych osobowych oraz zasadami zawartymi w obowiązującej w Szkole Polityce Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Osoba zaznajomiona z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu. Dostęp do danych osobowych może mieć wyłącznie osoba posiadająca pisemne oraz imienne upoważnienie wydane przez ADO. ADO może wyznaczyć upoważnionych do przetwarzania danych osobowych pracowników Szkoły do nadzoru nad upoważnionymi pracownikami podmiotów zewnętrznych lub innymi upoważnionymi osobami przetwarzającymi dane osobowe w Szkole. I.5.4. Udostępnianie i powierzanie danych osobowych Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa lub jeżeli w sposób wiarygodny uzasadnią one potrzebę ich posiadania, a ich udostępnienie nie naruszy praw i wolności osób, których one dotyczą. Udostępnienie danych może nastąpić na pisemny wniosek zawierający następujące elementy: adresat wniosku (administrator danych), wnioskodawca, podstawa prawna (wskazanie potrzeby), wskazanie przeznaczenia, zakres informacji. Administrator odmawia udostępnienia danych, jeżeli spowodowałoby to naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób. Powierzenie danych może nastąpić wyłącznie w drodze pisemnej umowy, w której osoba przyjmująca dane zobowiązuje się do przestrzegania obowiązujących przepisów ustawy o ochronie danych osobowych. Umowa powinna zawierać informacje o podstawie prawnej powierzenia danych, celu i sposobie ich przetwarzania. Każda osoba fizyczna, której dane przetwarzane są w Szkole, ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych, ma prawo do kontroli i poprawiania swoich danych osobowych, a także w przypadkach określonych w art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych ma prawo wniesienia umotywowanego żądania 17

18 zaprzestania przetwarzania danych oraz wniesienia sprzeciwu wobec przekazywania ich innym podmiotom. Sprawy związane z udzielaniem informacji w tym zakresie prowadzi ADO, udzielając informacji o zawartości zbioru danych na piśmie zgodnie ze wzorem w załączniku nr 5 do Polityki Bezpieczeństwa Informacji. I.5.5. Bezpieczeństwo w przetwarzaniu danych osobowych w formie tradycyjnej Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Dostęp do pokoi poza godzinami pracy jest kontrolowany za pomocą systemu monitoringu. Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Szkole powinno odbywać się po uzyskaniu upoważnienia lub skonsultowane z ADO w przypadku osób upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących przepisów. I.5.6. Bezpieczeństwo w przetwarzaniu danych osobowych w systemach informatycznych Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji Zarządzania Systemem Informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemu informatycznego. I.6. Analiza ryzyka związanego z przetwarzaniem danych osobowych I.6.1. Identyfikacja zagrożeń FORMA PRZETWARZANIA DANYCH dane przetwarzane w sposób tradycyjny ZAGROŻENIA oszustwo, kradzież, sabotaż; zdarzenia losowe (powódź, pożar); zaniedbania pracowników (niedyskrecja, udostępnienie danych osobie nieupoważnionej); niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania; pokonanie zabezpieczeń fizycznych; podsłuchy, podglądy; ataki terrorystyczne; brak rejestrowania udostępniania danych; niewłaściwe miejsce i sposób przechowywania dokumentacji; dane przetwarzane w systemach informatycznych nieprzydzielenie użytkownikom systemu informatycznego identyfikatorów; niewłaściwa administracja systemem; 18

19 niewłaściwa konfiguracja systemu; zniszczenie (sfałszowanie) kont użytkowników; kradzież danych kont; pokonanie zabezpieczeń programowych; zaniedbania pracowników (niedyskrecja, udostępnienie danych osobie nieupoważnionej); niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania; zdarzenia losowe (powódź, pożar); niekontrolowane wytwarzanie i wypływ danych poza obszar przetwarzania z pomocą nośników informacji i komputerów przenośnych; naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione; przypadkowe bądź celowe uszkodzenie systemów i aplikacji informatycznych lub sieci; przypadkowe bądź celowe modyfikowanie systemów i aplikacji informatycznych lub sieci; przypadkowe bądź celowe wprowadzenie zmian do chronionych danych osobowych brak rejestrowania zdarzeń tworzenia lub modyfikowania danych; I.6.2. Sposób zabezpieczenia danych FORMA PRZETWARZANIA DANYCH dane przetwarzane w sposób tradycyjny STOSOWANE ŚRODKI OCHRONY przechowywanie danych w pomieszczeniach zamykanych na zamki patentowe; przechowywanie danych osobowych w szafach zamykanych na klucz; przetwarzanie danych wyłącznie przez osoby posiadające upoważnienie nadane przez ADO; zapoznanie pracowników z zasadami przetwarzania danych osobowych oraz obsługą systemu służącego do ich przetwarzania; dane przetwarzane w systemach informatycznych kontrola dostępu do systemów; zastosowanie programów antywirusowych i innych regularnie aktualizowanych narzędzi ochrony; systematyczne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych; składowanie nośników wymiennych i nośników kopii zapasowych w odpowiednio zabezpieczonych szafach; przydzielenie pracownikom indywidualnych kont użytkowników i haseł; stosowanie indywidualnych haseł logowania do 19

20 poszczególnych programów; właściwa budowa hasła; I.6.3. Określenie wielkości ryzyka Poziom ryzyka naruszenia bezpieczeństwa danych jest niski. Zastosowane techniczne i organizacyjne środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych osobowych. I.6.4. Identyfikacja obszarów wymagających szczególnych zabezpieczeń Uwzględniając kategorie przetwarzanych danych oraz zagrożenia zidentyfikowane w wyniku przeprowadzonej analizy ryzyka dla systemów informatycznych, stosuje się wysoki poziom bezpieczeństwa. Administrator Danych Osobowych i Administrator Systemów Informatycznych przeprowadzają okresową analizę ryzyka dla poszczególnych systemów i na tej podstawie podejmują decyzje dotyczące zastosowania środków technicznych i organizacyjnych celem zapewnienia właściwej ochrony przetwarzanym danym. 20

21 II INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM II.1. Postanowienia ogólne Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. Nr 101, poz. 926, z późn. zm.) oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) nakłada na administratora danych osobowych następujące obowiązki: - zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed ujawnieniem, - zabezpieczenie danych przed nieuprawnionym dostępem, - zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym (nieuprawnionym) pozyskaniem, - zabezpieczenie przed utratą danych, - zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich nielegalną modyfikacją. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania. Instrukcja określa ramowe zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i system informatyczny, odpowiednie do zagrożeń i kategorii danych objętych ochroną. II.2. Przeznaczenie Instrukcja Zarządzania Systemie Informatycznym, służącym do przetwarzania danych osobowych w Zespole Szkół Samorządowych w Lipsku, zwana dalej instrukcją, określa sposób zarządzania oraz zasady administrowania systemem informatycznym służącym do przetwarzania danych osobowych. Niniejsza Instrukcja Zarządzania Systemem Informatycznym określa: Opisanie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym; Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym; Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem; Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby odpowiedzialne za te czynności; Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; Metody i częstotliwość tworzenia kopii awaryjnych. Metody i częstotliwość sprawdzania obecności wirusów komputerowych oraz metody ich usuwania; 21

22 Sposób, miejsce i okres przechowywania : o elektronicznych nośników informacji zawierających dane osobowe; o kopii zapasowych; Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych; Sposób postępowania w zakresie komunikacji w sieci komputerowej; Procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych. II.3. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności Upoważnienia do przetwarzania danych osobowych nadawane są w związku z wykonywaniem przez upoważnioną osobę obowiązków lub zadań związanych z przetwarzaniem danych osobowych. Upoważnienie nadaje i odwołuje administrator danych. Upoważnienie i jego odwołanie sporządzane są na piśmie, w dwóch jednobrzmiących egzemplarzach jeden przeznaczony jest dla osoby, której nadano lub odebrano upoważnienie, drugi dla administratora danych. Wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik Nr 1 do Polityki Bezpieczeństwa Informacji. Wzór odwołania upoważnienia do przetwarzania danych osobowych stanowi Załącznik nr 5 do Polityki Bezpieczeństwa Informacji. Upoważnienia nie sporządza się dla administratora danych. Upoważnienia nadane przed dniem wprowadzenia Instrukcji pozostają w mocy. Upoważnienia do przetwarzania danych osobowych rejestrowane są w rejestrze osób upoważnionych do przetwarzania danych osobowych. Wzór rejestru stanowi Załącznik Nr 2 do Polityki Bezpieczeństwa Informacji. Rejestr prowadzi administrator danych. II.4. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu. Każdy identyfikator użytkownika zabezpieczony jest hasłem. W Zespole Szkół Samorządowych w Lipsku obowiązują następujące zasady tworzenia hasła: hasło nie może składać się z żadnych danych personalnych (imienia, nazwiska, adresu zamieszkania użytkownika lub najbliższych osób) lub ich fragmentów, hasło musi składać się z co najmniej 6 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne, hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury, hasło nie może być jednakowe z identyfikatorem użytkownika, hasło musi być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika. Hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności. Hasło musi być zmieniane nie rzadziej niż co 30 dni. Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie. 22

23 W przypadku złamania poufności hasła użytkownik zobowiązany jest niezwłocznie zmienić hasło i poinformować o tym fakcie administratora danych. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie powinien być przydzielany innej osobie. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło. II.5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych osobowych Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości należy powiadomić administratora danych. Przystępując do pracy w systemie informatycznym, służącym do przetwarzania danych osobowych, użytkownik jest zobowiązany wprowadzić swój identyfikator oraz hasło dostępu. Zabrania się wykonywania jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika. W przypadku czasowego opuszczenia stanowiska pracy użytkownik musi wylogować się z systemu informatycznego służącego do przetwarzania danych osobowych. Zakończenie pracy w systemie służącym do przetwarzania danych osobowych powinno być poprzedzone sporządzeniem, w miarę potrzeb, kopii zapasowej danych oraz zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych, płyty CD, pendrive i innych zawierających dane osobowe. Zakończenie pracy w systemie informatycznym służącym do przetwarzania danych osobowych następuje poprzez wylogowanie się z tego systemu. II.6. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania Za sporządzanie kopii zapasowych zbiorów danych odpowiedzialny jest użytkownik systemu informatycznego służącego do przetwarzania danych osobowych. Kopie awaryjne może tworzyć jedynie administrator danych. Kopie zapasowe powinny być kontrolowane przez administratora danych, w szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym. Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych. W przypadku likwidacji nośników informatycznych zawierających dane osobowe lub kopie zapasowe systemów informatycznych służących do przetwarzania danych osobowych należy przed ich likwidacją usunąć dane osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych. 23

24 II.7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa Danych Osobowych. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe, a także wydruki i inne dokumenty zawierające dane osobowe przechowywane są w zamykanych szafach w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa Informacji, w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem i zniszczeniem. W przypadku uszkodzenia lub zużycia nośnika informacji, zwierających dane osobowe, należy go fizycznie zniszczyć tak, aby nie było możliwe odczytanie danych osobowych. II.8. Sposób zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych Do ochrony przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych stosowane jest oprogramowanie antywirusowe. Każdy zbiór wczytywany do komputera, w tym także wiadomość , musi być przetestowany programem antywirusowym. Na każdym stanowisku wyposażonym w dostęp do sieci Internet musi być zainstalowanie oprogramowanie antywirusowe. Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania. II.9. Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia W systemie informatycznym, służącym do przetwarzania danych osobowych, odnotowywane są informacje o odbiorcach danych, a w szczególności imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. W przypadku, gdy w systemie informatycznym służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, administrator danych odnotowuje je w rejestrze odbiorców danych osobowych. W rejestrze odnotowywane są imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. Wzór rejestru stanowi Załącznik Nr 4 do Polityki Bezpieczeństwa Informacji. 24

25 II.10. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych Przeglądy i konserwacje sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, przeprowadzane są w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa Informacji przez ASI. W przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności administratora danych. Przeglądy techniczne wykonywane muszą być nie rzadziej niż raz w roku. Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego, na którym zainstalowano system informatyczny służący do przetwarzania danych osobowych, systemu informatycznego służącego do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych pełni administrator danych. Zabronione jest wykonywanie przeglądów i konserwacji systemów informatycznych służących do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych samodzielnie przez pracowników Zespołu Szkół Samorządowych w Lipsku z wyłączeniem ASI. II.11. Pozostałe zasady ochrony systemu informatycznego służącego do przetwarzania danych osobowych Administrator danych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie. Należy instalować zalecane przez producentów oprogramowania poprawki i uaktualnienia systemu informatycznego służącego do przetwarzania danych osobowych celem wyeliminowania błędów w działaniu lub poprawienia wydajności działania. 25

26 III INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA DANYCH III.1. Istota naruszenia danych osobowych Naruszeniem danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności: nieautoryzowany dostęp do danych, nieautoryzowane modyfikacje lub zniszczenie danych, udostępnienie danych nieautoryzowanym podmiotom, nielegalne ujawnienie danych, pozyskiwanie danych z nielegalnych źródeł. III.2. Postępowanie w przypadku naruszenia danych osobowych Każdy pracownik Szkoły, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to ADO. Każdy pracownik Szkoły, który stwierdzi fakt naruszenia bezpieczeństwa danych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony oraz ustalić przyczynę i sprawcę naruszenia ochrony. W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia ADO. ADO podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania, uwzględniając zagrożenie w prawidłowości pracy Szkoły, może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, nawiązuje kontakt ze specjalistami spoza urzędu (jeśli zachodzi taka potrzeba). ADO dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych, sporządzając raport wg wzoru stanowiącego Załącznik Nr 7 do Polityki Bezpieczeństwa Informacji. ADO zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych). 26

27 III.3. Sankcje karne Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się postępowanie dyscyplinarne. Kara dyscyplinarna wobec osoby uchylającej się od powiadomienia o naruszeniu danych osobowych nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą o ochronie danych osobowych. 27

28 Załączniki: Załącznik Nr 1 Upoważnienie imienne do przetwarzania danych osobowych Załącznik Nr 2 Ewidencja osób upoważnionych do przetwarzania danych osobowych Załącznik Nr 3 Oświadczenie osoby upoważnionej do przetwarzania danych osobowych Załącznik Nr 4 Ewidencja oświadczeń osób upoważnionych do przetwarzania danych osobowych Załącznik Nr 5 Odwołanie upoważnienia do przetwarzania danych osobowych Załącznik Nr 6 Informacja o zawartości zbioru danych osobowych Załącznik Nr 7 Raport z naruszenia bezpieczeństwa danych osobowych 28

29 Załącznik Nr 1 do Polityki Bezpieczeństwa Informacji Zespołu Szkół Samorządowych w Lipsku UPOWAŻNIENIE IMIENNE DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W LIPSKU Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r., poz z późn. zm.) upoważniam Panią/Pana (imię i nazwisko osoby upoważnionej) zatrudnioną(ego) w.. (nazwa jednostki i komórki organizacyjnej) na stanowisku... do przetwarzania od dnia. r. danych osobowych w zakresie. (zbiór danych objętych upoważnieniem) i nadaję identyfikator (jeżeli dane przetwarzane są w systemie informatycznym) (data i podpis administratora danych) 29