POLITYKA BEZPIECZEŃSTWA Danych Osobowych

Transkrypt

1 Obowiązuje od r. POLIYKA BEZPIECZEŃSWA Danych Osobowych Zespół Szkół Ogrodniczych w Bielsku-Białej 1

2 Zawartość Wstęp podstawa prawna... 3 Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych... 5 Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe... 7 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych... 8 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi przetwarzanych w systemie informatycznym: Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych przetwarzanych w systemie tradycyjnym: Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

3 Wstęp podstawa prawna Polityka Bezpieczeństwa wraz z instrukcją zarządzania systemem informatycznym stanowi dokumentację przetwarzania danych osobowych w rozumieniu 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz z późn. zm.). Polityka Bezpieczeństwa została wdrożona zarządzeniem dyrektora i obowiązuje od dnia r. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu Polityki Bezpieczeństwa, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą. Każda osoba mającą dostęp do danych osobowych z upoważnienia Administratora Danych, została zapoznana z Polityką Bezpieczeństwa i zobowiązana do jej przestrzegania w zakresie wynikającym z przydzielonych zadań. Dotyczy to w szczególności pracowników zatrudnionych przez Administratora Danych. Osoby o których mowa, złożyły na piśmie oświadczenie o zapoznaniu się z treścią Polityki Bezpieczeństwa oraz zobowiązały się do stosowania zawartych w niej postanowień. Podstawowym celem przyświecającym przygotowaniu i wdrożeniu dokumentu Polityki Bezpieczeństwa było zapewnienie zgodności działania Szkoły z ustawą o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi. Opracowany dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: 1) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz z późn. zm.), 2) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 3) ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U r. Nr 256 poz z późn. zm.), 4) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U r. Nr23 poz. 225 z późn. zm.). Należy przez powyższe rozumieć w szczególności realizację w niniejszym dokumencie wymogu opisania sposobu przetwarzania danych osobowych oraz środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zadaniem Polityki Bezpieczeństwa jest także określenie podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz wymagań w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. 3

4 Podstawowe pojęcia Ustawa rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Dane osobowe za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zbiór danych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Integralność danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. Poufność danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom. Rozliczalność rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Zespół Zespół Szkół Ogrodniczych w Bielsku-Białej. Przetwarzanie danych rozumie się przez to czynności takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie oraz usuwanie, a zwłaszcza te, które wykonują się w systemach informatycznych. Administrator Danych Osobowych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydującą o celach i środkach przetwarzania danych osobowych. W Zespole Szkół Ogrodniczych w Bielsku-Białej funkcję tę pełni: Dyrektor jednostki. Administrator Bezpieczeństwa Informacji osoba nadzorująca z upoważnienia Administratora Danych Osobowych przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną oraz nadzorującą i odpowiadającą za poprawną pracę powierzonego mu sprzętu sieciowego oraz systemu operacyjnego, oprogramowania instalowanego w danej jednostce organizacyjnej, w Zespole Szkół Ogrodniczych w Bielsku-Białej funkcję tę pełni: Krzysztof Wojakowski. Identyfikator użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. 4

5 Hasło rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. System informatyczny rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych Nadrzędną rolą w działaniach Kierownika jednostki wynikających z jego funkcji jest ochrona powierzonych danych osobowych. Odpowiedzialność za powierzone dane osobowe ponoszą wszyscy pracownicy zespołu, mający dostęp do danych osobowych w ramach swoich obowiązków służbowych. Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym przy współdziałaniu osób upoważnionych do przetwarzania danych z Administratorem Danych Osobowych. Osoby upoważnione do przetwarzania danych osobowych w zespole zobowiązane są do: przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, postępowania zgodnie z polityką bezpieczeństwa w zespole, oświadczenie pracowników o przestrzeganiu zasad polityki (załącznik nr 2), natychmiastowego zgłoszenia Administratorowi Danych Osobowych lub Administratorowi Bezpieczeństwa Informacji podejrzenia lub stwierdzenia faktu naruszenia bezpieczeństwa danych osobowych przetwarzanych w zespole, prowadzenie rejestrów udostępniania zbiorów danych osobowych, przetwarzanych w sposób tradycyjny w przypadku kiedy, jeden zbiór przetwarza więcej niż jedna osoba w oparciu o wzór, który stanowi załącznik nr 3. Obowiązki Administratora Danych Osobowych: 1. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów, c) merytorycznie poprawne i adekwatne w stosunku do celów. 2. Wyznacza osobę, zwaną dalej Administratorem Bezpieczeństwa Informacji, odpowiedzialnym za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności 5

6 za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. 3. Opracowuje instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych, przeznaczoną dla osób zatrudnionych przy przetwarzaniu tych danych. 4. Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego. 5. Opracowuje instrukcję, określającą sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. 6. Prowadzi ewidencję osób uprawnionych do przetwarzania danych osobowych w poszczególnych systemach. 7. Organizuje szkolenia mające na celu zaznajomienie każdej osoby przetwarzającej dane osobowe z przepisami dotyczącymi ich ochrony. 8. Odpowiada za to, by zakres czynności osoby zatrudnionej przy przetwarzania danych osobowych określał odpowiedzialność tej osoby za: a) ochronę danych przed niepowołanym dostępem, b) nieuzasadnioną modyfikację lub zniszczenie danych, c) nielegalne ujawnienie danych w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych osobowych. Obowiązki Administratora Bezpieczeństwa Informacji: 1. Nadzór na przestrzeganiem instrukcji określającej sposób zarządzania systemem informatycznym. 2. Nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe. 3. Nadzór na wykorzystywanym w zespole oprogramowaniem jego aktualizacją oraz jego legalnością. 4. Przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe. 6

7 5. Podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych. 6. Badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych. 7. Podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych. 8. Nadzór na naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe. 9. Definiowanie użytkowników i haseł dostępu. 10. Nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności. 11. Wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych. 12. Prowadzenie ewidencji osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych wg wzoru stanowiącego załącznik nr Sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego (załącznik nr 4). Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Wszystkie pomieszczenia znajdują się w 2 budynkach szkolnych (szkoła i mechanizacja rolnictwa) w Bielsku-Białej ul. Ak. Umiejętności 1. Budynek Pomieszczenie Nr Szkoła Gabinet dyrektora 29 Gabinet wicedyrektora 10 Sekretariat Archiwum szkolne 4 Archiwum szkolne 88 Gabinet kierownika administracji 33 Gabinet referenta ds. planowania i rachunkowości 34 Pokój nauczycielski Gabinet pedagoga szkolnego 76 Gabinet pielęgniarki szkolnej 77 Archiwum elektroniczne 2 Sale lekcyjne 3,5,6,7,9, 12,14,17,18,19, 21,28, 35, 36, 37,39,41 Mechanizacja ogrodnictwa Sale lekcyjne w1, w2 7

8 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych W Zespole Szkół Ogrodniczych w Bielsku-Białej dane osobowe przetwarzane są w zbiorach tradycyjnych (papierowych) oraz odpowiadających im systemach i programach informatycznych. Miejsce przechowywania / Rodzaj danych Gabinet dyrektora: dokumentacja związana z awansem zawodowym nauczycieli arkusze organizacyjne szkoły listy płac pełnomocnictwa sądowe różne sprawy osobowe związane z nadzorem pedagogicznym interwencje sądu i policji wyniki egzaminów maturalnych i zawodowych Sposób przetwarzania - tradycyjny I - informatyczny (program komputerowy) /I I Osoba odpowiedzialna Dyrektor szkoły Zabezpieczenia System alarmowy szkoły, monitoring, sejf, szafa zamykana na klucz, komputer zabezpieczony systemem haseł, drzwi wejściowe zamykane na zamek Gabinet wicedyrektora: ewidencja uczniów przystępujących do sprawdzianu zewnętrznego maturalnego HERMES - OKE arkusze ocen Sekretariat szkoły: księgi uczniów rejestr wydanych legitymacji szkolnych Wicedyrektor szkoły Sekretarz szkoły System alarmowy szkoły, monitoring, szafa zamykana na klucz, komputer zabezpieczony systemem haseł, drzwi wejściowe zamykane na zamek Szafa zamykana na klucz, monitoring, system alarmowy szkoły, komputer 8

9 podania osób ubiegających się o pracę rejestr pieczęci szkolnych dokumentacja związana z rekrutacją nieodebrane świadectwa ewidencja uczniów przystępujących do sprawdzianu zewnętrznego egzaminów zawodowych Archiwum szkolne - sala nr 4: arkusze ocen dzienniki lekcyjne akta osobowe Archiwum szkolne - sala nr 88: karty wynagrodzeń karty zasiłkowe dokumentacja techniczna i księgowa szkoły Gabinet kierownika administracji kadry akta osobowe nauczycieli i pracowników administracji i obsługi System Informacji Oświatowej Gabinet referenta ds. planowania i rachunkowości listy płac Dokumentacja ubezpieczeń uczniów rachunki bankowe pracowników Pokój nauczycielski: dzienniki z dodatkowej godziny z karty nauczyciela. Gabinet pedagoga szkolnego: dziennik pracy pedagoga szkolnego teczka z opiniami i orzeczeniami uczniów z Poradni Psychologiczno-Pedagogicznych i poradni specjalistycznych /I /I /I /I( Word, Excel) /I ( Word, Excel) /I ( Word, Excel) /E Sekretarz szkoły Sekretarz szkoły Kierownik administracji Referent ds. planowania i ra1chunkowości Nauczyciel prowadzący Pedagog szkolny zabezpieczony systemem haseł, drzwi wejściowe zamykane na zamek Kraty, szafa pancerna, monitoring, system alarmowy szkoły, drzwi wejściowe zamykane na zamek Szafa zamykana na klucz, monitoring, system alarmowy szkoły, drzwi wejściowe zamykane na zamek Szafa zamykana na klucz, system alarmowy szkoły, monitoring, drzwi wejściowe zamykane na zamek, komputer zabezpieczony systemem haseł Szafa zamykana na klucz, system alarmowy szkoły, monitoring, drzwi wejściowe zamykane na zamek, komputer zabezpieczony systemem haseł Zamek zatrzaskowy, system alarmowy szkoły, monitoring. System alarmowy szkoły, monitoring, drzwi wejściowe zamykane na zamek, komputer zabezpieczony 9

10 teczka danych osobowych dotycząca współpracy z Gminnym Ośrodkiem Pomocy Społecznej teczka niebieskich kart teczki uczniów objętych pomocą psychologiczno-pedagogiczną Gabinet pielęgniarki szkolnej dokumentacja medyczna uczniów Archiwum elektroniczne zarchiwizowane dane elektroniczne na dedykowanym dysku zewnętrznym I(Word, Excel, SIO, Dziennik Elektroniczny) Pielęgniarka szkolna Administrator Bezpieczeństwa Informacji systemem haseł System alarmowy szkoły, monitoring, drzwi wejściowe zamykane na zamek, szafa zamykana na klucz System alarmowy, szafa zamykana na klucz, drzwi wejściowe zamykane na dwa zamki. 10

11 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi przetwarzanych w systemie informatycznym: LP Nazwa zbioru Zakres przetwarzanych danych 1 Dokumentacja związana z awansem zawodowym nauczycieli 2 Ewidencja uczniów przystępujących do sprawdzianu zewnętrznego HERMES - OKE 3 Podania osób ubiegających się o pracę imię i nazwisko/ data i miejsce urodzenia/ adres stały/ wykształcenie/ historia pracy/ uzyskane kwalifikacje PESEL/imię i nazwisko/ data i miejsce urodzenia/płeć/ data i miejsce urodzenia / adres zamieszkania / wykształcenie/ telefon / / przebieg kariery zawodowej/ dodatkowe kwalifikacje 4 System Informacji Oświatowej PESEL/ data i miejsce urodzenia /płeć/wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/zawód wyuczony i wykonywany/ uzyskane kwalifikacje/ nieobecności w pracy 5 Dziennik elektroniczny Imię i nazwisko / adres / imię i nazwisko rodziców / telefony rodziców/ oceny ucznia/ uwagi / frekwencja 6 Zarchiwizowane dane na dedykowanym dysku zewnętrznym powyższe dane Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych przetwarzanych w systemie tradycyjnym: LP Nazwa zbioru Zakres przetwarzanych danych 1 Dokumentacja związana z awansem zawodowym nauczycieli uzyskane kwalifikacje 2 kadry akta osobowe nauczycieli i pracowników administracyjnych imię i nazwisko/ data i miejsce urodzenia/ adres stały/ wykształcenie/ historia pracy/ PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/płeć/adres stały/ numer telefonu/ / dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/stosunek do służby wojskowej (dokument wojskowy, seria i numer, stopień wojskowy)/ numer legitymacji służbowej/ posiada gospodarstwo rolne/ emeryt/ rencista/ obywatelstwo obce/ osoba kontaktowa/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/ zawód wyuczony i wykonywany/ uzyskane kwalifikacje/ nieobecności w pracy 3 księgi uczniów PESEL/imię i nazwisko/ data i miejsce urodzenia/ płeć/adres stały/ imię, nazwiska i adresy rodziców (opiekunów prawnych) 4 arkusze ocen PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały (miejscowość, ulica, numer domu, numer mieszkania)/ imię, nazwiska i adresy rodziców (opiekunów prawnych) 11

12 5 arkusze organizacyjne szkoły PESEL/imię i nazwisko/ staż pracy/historia pracy (kary, nagrody)/ tytuł zawodowy/ ukończone kursy/ uzyskane kwalifikacje/ zawód wyuczony i zawód wykonywany/ warunki zatrudnienia/ nieobecności w pracy 6 rejestr wydanych legitymacji imię i nazwisko/data urodzenia/ adres/ klasa/numer legitymacji szkolnych 7 podania osób ubiegających się o pracę data i miejsce urodzenia / adres zamieszkania / wykształcenie/ przebieg kariery zawodowej/ dodatkowe kwalifikacje 8 Dzienniki lekcyjne imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały (miejscowość, ulica, numer domu, numer mieszkania)/ adresy i numer telefonu rodziców (opiekunów prawnych)/ / nieobecności w szkole/ 9 Dziennik pracy pedagoga Imię nazwisko / formy pomocy szkolnego 10 eczka z opiniami i orzeczeniami uczniów z PPP i poradni specjalistycznych, Imię i nazwisko / adres / miejsce urodzenia / imiona i nazwiska rodziców (opiekunów prawnych) / diagnoza / nr dokumentu 11 eczka korespondencji z sądem Imię nazwisko / adres / orzeczenia sądowe / dane rodziców / telefony / opinie wychowawców klas / postanowienia sądowe / sygnatury akt 12 eczka współpracy z GOPS Imię i nazwisko / adres / zaświadczenie o zarobkach / orzeczenie o niepełnosprawności / PESEL / data i miejsce urodzenia / symbol niepełnosprawności / faktury VA 13 eczka niebieskich kart Imię i nazwisko / adres / imiona i nazwiska rodziców (opiekunów prawnych) 14 eczki uczniów objętych PPP Imię i nazwisko / adres / miejsce urodzenia / nr dokumentu (opinii) 15 Karty diagnostyczne Imię i nazwisko / adres / data urodzenia 16 Dokumentacja medyczna uczniów PESEL/imię i nazwisko/ data i miejsce urodzenia/ adres/ imiona rodziców/ informacje o stanie zdrowia Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1) upoważnienia do przetwarzania danych osobowych znajdują się w teczkach osobowych pracowników 2) rejestr osób upoważnionych do przetwarzania danych osobowych załącznik nr 1 3) identyfikator użytkownika i hasło dostępu 4) użytkownik ma obowiązek zablokowania stacji roboczej lub wylogowania się z systemu informatycznego służącego do przetwarzania danych osobowych w przypadku czasowego 12

13 opuszczenia stanowiska pracy 5) zakończenie pracy w systemie służącym do przetwarzania danych osobowych poprzedzone jest zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych, takich jak dyskietki, płyty CD i inne, zawierających dane osobowe 6) zakaz wynoszenia poza pomieszczenia stanowiące obszar przetwarzania danych osobowych elektronicznych nośników informacji zawierających dane osobowe oraz kopie zapasowe 7) w przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności administratora danych 8) ekrany komputerów umieszczone są w sposób uniemożliwiający obserwację przetwarzania danych przez osoby postronne 13