ZARZĄDZENIE Nr 24/2014/2015. z dnia r.

Transkrypt

1 ZARZĄDZENIE Nr 24/2014/2015 DYREKTORA ZESPOŁU SZKÓŁ ZAWODOWYCH I OGÓLNOKSZTAŁCĄCYCH W KARTUZACH z dnia r. w sprawie: wprowadzenia dokumentacji przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach oraz powołania Administratora Bezpieczeństwa Informacji, Zastępcy Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz z późn. zm.) oraz 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz z późn. zm.) zarządza się, co następuje: 1 Wprowadza się do użytku służbowego: 1. Politykę bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 1 do niniejszego zarządzenia. 2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 2 do niniejszego zarządzenia. 2 Wyznacza się Panią Teresę Riegel na Administratora Bezpieczeństwa Informacji, Panią Renatę Szyca na Zastępcę Administratora Bezpieczeństwa Informacji oraz Pana Sebastiana Wrońskiego na Administratora Systemu Informatycznego. 3 Ustala się zakresy zadań Administratora Bezpieczeństwa Informacji, Zastępcy Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego, w brzmieniu załącznika nr 3, nr 4 i nr 5 do niniejszego zarządzenia. Zobowiązuje się wszystkich pracowników do zapoznania się z treścią zarządzenia. 4 5 Tracą moc Załączniki nr 1 i 2 do Zarządzenia Nr 33/2012/2013 Dyrektora Zespołu Szkół Zawodowych i Ogólnokształcących w Kartuzach z dnia r. 6 Zarządzenie wchodzi w życie z dniem podpisania.. (podpis)

2 Do wiadomości i stosowania:

3 Załącznik nr 1 do zarządzenia nr 24/14/15 Dyrektora ZSZiO w Kartuzach z dnia r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach 1 Postanowienia ogólne 1. Polityka bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach zwana dalej,,polityką bezpieczeństwa określa tryb i zasady ochrony danych osobowych przetwarzanych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. 2. Ilekroć w Polityce bezpieczeństwa jest mowa o: 1) ustawie rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 1) rozporządzeniu rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, 2) danych osobowych - w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 3) zbiorze danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 4) przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 5) systemie informatycznym rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedury przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 6) zabezpieczeniu danych w systemie informatycznym rozumie się przez to wdrażanie i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 7) usuwaniu danych rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 8) ZSZiO rozumie się przez to Zespół Szkół Zawodowych i Ogólnokształcących w Kartuzach, 9) dyrektorze rozumie się przez Dyrektora ZSZiO w Kartuzach, 10) administratorze danych osobowych rozumie się przez to dyrektora szkoły,

4 11) administratorze bezpieczeństwa informacji rozumie się przez to osobę wyznaczoną przez administratora danych do nadzoru przestrzegania zasad ochrony danych osobowych oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych, 12) zastępcy administratora bezpieczeństwa informacji rozumie się przez to osobę wyznaczoną przez administratora danych wspomagającą ABI w nadzorze przestrzegania zasad ochrony, 13) administratorze systemu informatycznego rozumie się przez to osobę wyznaczoną przez administratora danych odpowiedzialnego za funkcjonowanie systemu informatycznego, 14) użytkowniku rozumie się przez to użytkownika systemu, pracownika ZSZiO upoważnionego przez administratora danych do przetwarzania danych osobowych, 15) identyfikatorze użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 16) haśle rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 17) uwierzytelnieniu rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 18) integralności danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 19) raporcie rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 20) poufności danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępnione nieupoważnionym podmiotom. 3. Polityka bezpieczeństwa zawiera: 1) zasady ochrony dostępu do danych osobowych, 2) kontrolę zabezpieczenia danych osobowych w systemie informatycznym, 3) tryb postępowania w sytuacji naruszenia ochrony danych osobowych, 4) wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, 5) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 6) opis struktury zbiorów danych wskazujących zawartości poszczególnych pól informatycznych i powiązania między nimi, 7) sposób przepływu danych pomiędzy poszczególnymi systemami, 8) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 4. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem do: a systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem; b informacji zgromadzonych, przetwarzanych w formie tradycyjnej. 5. Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności przetwarzanych danych. 6. Pod szczególną ochroną pozostają wrażliwe dane osobowe wymienione w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych,

5 a także innych orzeczeń wydanych w postępowaniu sadowym lub administracyjnym dopuszczalne jest tylko w związku z realizacją celów statutowych ZSZiO i w granicach wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 7. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator Danych Osobowych (ADO), tj. dyrektor. 8. Dyrektor ZSZiO w Kartuzach jako administrator danych świadomy wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających szkole swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklaruje: 1) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, 2) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w ZSZiO w zakresie problematyki bezpieczeństwa tych danych, 3) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby, 4) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. 9. Dyrektor ZSZiO w Kartuzach jako administrator danych, świadomy zagrożeń związanych z przetwarzaniem danych osobowych na dużą skalę, zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych. Deklaruje, że szkoła będzie stale doskonaliła i rozwijała organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi, jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom. 10. Dyrektor ZSZiO w Kartuzach realizując Politykę bezpieczeństwa dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 11. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w ZSZiO odnosi się do danych osobowych przetwarzanych w zbiorach danych: 1) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych. 12. Dane osobowe w ZSZiO są gromadzone, przechowywane, edytowane, archiwizowane w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO na dokumentach papierowych, jak również w systemach informatycznych na elektronicznych nośnikach informacji. 13. Do informacji przechowywanych w systemach informatycznych jak i dokumentów tradycyjnych mają dostęp jedynie upoważnieni pracownicy oraz osoby mające imienne zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania

6 tych danych w tajemnicy. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom. Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu korzystania z usług systemów informatycznych. 14. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe, są chronione przed zagrożeniami, a w szczególności przed udostępnieniem danych osobom nieupoważnionym odpowiednimi środkami informatycznymi, technicznymi i organizacyjnymi. Środki te są systematycznie unowocześniane. W szczególności zapewnia się aktualizacje informatycznych środków ochrony danych osobowych pozwalające na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych. Opracowane procedury określają obowiązki użytkownika zbiorów tradycyjnych oraz zasady korzystania z systemów informatycznych. 15. W ramach realizacji Polityki bezpieczeństwa w zakresie ochrony danych osobowych sprawuje się kontrole i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno w szczególności na: 1) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod, 2) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych osobowych i/lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których anonimizowane dane dotyczą. Osoby przetwarzające dane osobowe mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych i/lub ich zbiorów. 16. Dla skutecznej realizacji Polityki Administrator Danych Osobowych zapewnia: 1) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne; 2) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony; 3) kontrolę i nadzór nad przetwarzaniem danych osobowych; 4) monitorowanie zastosowanych środków ochrony; 5) ciągłe śledzenie zmieniających się zagrożeń wewnętrznych i zewnętrznych, także uwzględnianie zmieniającego się prawa; 6) kontrolę i nadzór nad przetwarzaniem danych osobowych przez podmioty trzecie, którym dane zostały udostępnione lub powierzone. 17. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych. Polityka bezpieczeństwa określa przetwarzanie danych osobowych przez pracowników ZSZiO, a w szczególności Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji, Zastępcę Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego. 2 Administracja i organizacja bezpieczeństwa A. Obowiązki Administratora Danych Osobowych 1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych osobowych odpowiada Administrator Danych Osobowych. 2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były:

7 a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 3. Administrator Danych Osobowych dąży do systematycznego unowocześniania stosowanych na terenie szkoły informatycznych, technicznych i organizacyjnych środków ochrony tych danych w celu zabezpieczenia danych osobowych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów o ochronie danych osobowych, nieautoryzowaną zmianą, uszkodzeniem lub zniszczeniem. 4. Administrator Danych Osobowych gromadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. 5. Każdej osobie zatrudnionej przy przetwarzaniu danych osobowych i obsługującej zbiory informatyczne nadaje upoważnienie do przetwarzania danych osobowych, stanowiące Załącznik nr 1 do Polityki bezpieczeństwa. 6. Wydane upoważnienia rejestruje w ewidencji osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać: a) imię, nazwisko i stanowisko osoby upoważnionej, b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także nazwę programu (aplikacji) i identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 4 do niniejszej Polityki bezpieczeństwa. 7. Odpowiada za to by zakres czynności osoby zatrudnionej przy przetwarzaniu danych osobowych, którego wzór stanowi Załącznik nr 1a do niniejszego dokumentu, określał odpowiedzialność tej osoby za: a) ochronę danych przed niepowołanym dostępem, b) nieuzasadnioną modyfikację lub zniszczenie danych, c) nielegalne ujawnienie danych, w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych osobowych. 8. Wyznacza osoby, zwanymi dalej Administratorem Bezpieczeństwa Informacji i Zastępcą Administratora Bezpieczeństwa Informacji, nadzorującymi i kontrolującymi przestrzegania zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w szkole. Imienne upoważnienia udzielane są w formie pisemnej i stanowią odpowiednio Załącznik nr 2 i Załącznik nr 2a do Polityki bezpieczeństwa. 9. Dodatkowo, wyznacza Administratora Systemu Informatycznego odpowiedzialnego za funkcjonowanie systemu informatycznego, wydając upoważnienie stanowiące Załącznik nr 3 do niniejszego dokumentu. 10. Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego (Załącznik nr 5).

8 B. Obowiązki Administratora Bezpieczeństwa Informacji 1. Dyrektor szkoły jako Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji (ABI), nadzorującego przestrzeganie zasad ochrony danych osobowych. 2. Upoważnienie wraz ze szczegółowym zakresem obowiązków stanowi Załącznik nr 2 do niniejszego dokumentu. 3. Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: 1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, 2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych, 3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 4. Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych osobowych. C. Obowiązki Zastępcy Administratora Bezpieczeństwa Informacji 1. Dyrektor szkoły jako Administrator Danych Osobowych powołuje Zastępcę Administratora Bezpieczeństwa Informacji (Zastępca ABI), nadzorującego również przestrzeganie zasad ochrony danych osobowych. 2. Zastępca ABI, podobnie jak ABI, odpowiedzialny jest za bezpieczeństwo danych osobowych przetwarzanych w ZSZiO w Kartuzach. 3. Upoważnienie wraz ze szczegółowym zakresem obowiązków stanowi Załącznik nr 2a do niniejszej Polityki bezpieczeństwa. D. Obowiązki Administratora Systemu Informatycznego Obowiązkiem Administratora Systemu Informatycznego (zgodnie z Załącznikiem nr 3) jest: zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe; rejestrowanie użytkownikom uprawnień dostępu do systemu informatycznego na zasadach określonych w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ; zaznajomienie użytkowników z procedurami ustalania i zmiany haseł dostępu; odbieranie użytkownikom dostępu do systemu informatycznego na polecenie Administratora Bezpieczeństwa Informacji; naprawa, konserwacja oraz likwidacja urządzeń komputerowych i nośników informatycznych zawierających dane osobowe; kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną; aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te wykonywane są automatycznie;

9 regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania kopii zapasowych; wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych, aplikacji oraz elektronicznych nośników informacji, na których zapisane są dane osobowe; współdziałanie z ABI i Zastępcą ABI w ochronie szkolnych systemów informatycznych; konsultacje, udzielanie wsparcia Zastępcy ABI w podejmowaniu decyzji i instalacji aktualizacji, instalacji wdrażania nowych programów, ustalania sposobów generowania haseł zabezpieczających informację; odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego, jego sprawność techniczną i używanie zgodnie z przeznaczeniem. E. Obowiązki użytkowników 1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z następującymi dokumentami: a) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. po z późn. zm.), b) rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz z późn. zm.), c) niniejszą Polityką bezpieczeństwa i Instrukcją zarządzania systemem informatycznym. 2. Zapoznanie się z powyższymi dokumentami użytkownik systemu potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi pkt IV Załącznika nr Do obowiązków użytkowników w zakresie ochrony danych osobowych należy w szczególności: przestrzeganie opracowanych zasad przetwarzania danych osobowych; przestrzeganie opracowanych procedur operacyjnych i bezpieczeństwa; udostępnianie danych osobowych wyłącznie osobom upoważnionym lub uprawnionym do ich uzyskania; uniemożliwianie dostępu lub podglądu danych osobowych dla osób nieupoważnionych; informowanie Administratora Bezpieczeństwa Informacji o wszystkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych; wykonywanie bez zbędnej zwłoki poleceń ABI i Zastępcy ABI w zakresie ochrony danych osobowych, jeśli są one zgodne z przepisami prawa powszechnie obowiązującego. Imienny zakres czynności przy przetwarzaniu danych osobowych, stanowiący Załącznik nr 1a, otrzymuje każdy pracownik ZSZiO w Kartuzach.

10 3 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 1. Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach, skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO w postaci dokumentów papierowych. 2. Do przetwarzania zbiorów danych osobowych w systemie informatycznym ZSZiO, stosowane są pakiety biurowe lub specjalizowane aplikacje (programy). 3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych stanowi Załącznik nr 6 do,,polityki bezpieczeństwa. Opis struktury zbiorów wskazujący zawartości poszczególnych pól informacyjnych i powiązania między nimi stanowi Załącznik nr 7 do,,polityki bezpieczeństwa. 4 5 Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami 1. Obieg dokumentów zawierających dane osobowe pomiędzy komórkami organizacyjnymi ZSZiO winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (informacji). 2. Przekazywanie informacji (danych) w systemie informatycznym poza sieć lokalną ZSZiO, w miarę możliwości, powinno odbywać się w sposób szyfrowany. 3. Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami stanowi Załącznik nr 8 do,, Polityki bezpieczeństwa. 6 Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych A. Środki ochrony fizycznej. Budynek Zespołu Szkół Zawodowych i Ogólnokształcących w Kartuzach przy ul. Wzgórze Wolności 3 1. Dostęp do budynku, w którym zlokalizowany jest obszar przetwarzania danych osobowych nadzorowany jest przez monitoring poza godzinami pracy szkoły. 2. Budynek, w którym znajduje się obszar przetwarzania danych osobowych, dodatkowo zabezpieczony jest elektronicznym systemem antywłamaniowym oraz wydzielonym systemem przeciwpożarowym. 3. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi. Pracownicy zobowiązania są zamykać pomieszczenia na czas ich nieobecności. 4. Zastosowano szafy pancerne i metalowe do przechowywania kopii zapasowych i wymiennych nośników danych. B. Środki sprzętowe, informatyczne i telekomunikacyjne. Budynek Zespołu Szkół Zawodowych i Ogólnokształcących w Kartuzach przy ul. Wzgórze Wolności 3 1. Zastosowano niszczarki dokumentów.

11 2. Serwer podłączony jest do zasilacza UPS, zastosowanego na wypadek zaniku napięcia albo awarii w sieci zasilającej. 3. Zastosowano sieć lokalną Ethernet. 4. Dane są przetwarzane w sposób scentralizowany i zdecentralizowany. 5. Sieć lokalna podłączona jest do Internetu za pomocą sprzętowego urządzenia ( modem ADSL, serwer z mechanizmem NAT). 6. Kopie awaryjne wykonywane są na zewnętrznych nośnikach danych całościowo. C. Środki ochrony w ramach oprogramowania urządzeń teletransmisji. 1. Zastosowano sprzętowy oraz programowy firewall. 2. Wszystkie komputery chronione są programem antywirusowym działającym w tle. Uaktualnienie baz wirusowych następuje automatycznie każdego dnia bezpośrednio po uruchomieniu komputera. 3. Sprzętowy firewall chroniony jest hasłem dostępu. D. Środki ochrony w ramach oprogramowania systemu. 1. Dostęp do plików baz danych osobowych zastrzeżony jest wyłącznie dla Administratora Systemu Informatycznego. 2. System informatyczny pozwala zdefiniować odpowiednie prawa do zasobów informatycznych systemu. 3. Na komputerach użytkowników zastosowano program antywirusowy. E. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych. 1. Automatycznie rejestrowany jest identyfikator użytkownika wprowadzającego dane. 2. Dla każdego użytkownika systemu ustalony jest odrębny identyfikator. F. Środki ochrony w ramach systemu użytkowego. 1. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika. 2. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem. G. Środki organizacyjne. 1. Wyznaczono Administratora Bezpieczeństwa Informacji i Zastępcę Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego. 2. Tymczasowe wydruki z danymi osobowymi są niszczone po ustaniu ich przydatności. 3. Korespondencja z osobami współpracującymi z ZSZiO prowadzona jest pocztą priorytetową i zapisywana w dzienniku podawczym. 4. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania tajemnicy. 5. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowanie o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemach informatycznych. 6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. 7. Ustalono instrukcję zarządzania systemem informatycznym. 8. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. 9. W przypadku, gdy zachodzi konieczność naprawy sprzętu poza szkołą, należy wymontować z niego nośniki zawierające dane osobowe.

12 10. W przypadku, gdy uszkodzenie elementu sprzętu zawierającego nośnik informacji, na którym zapisane są dane osobowe, np. dysk twardy, wymaga przekazania sprzętu poza budynek, nośniki te wymontowuje się, a następnie niszczy. 7 Zasady ochrony dostępu do danych osobowych 1. Przetwarzanie danych osobowych pracowników, uczniów i ich rodziców służy realizacji zadań szkoły. 2. Przetwarzanie danych osobowych może odbywać się zarówno w systemie informatycznym, jak i w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. 3. Dane osobowe przetwarza się w pomieszczeniach tworzących obszar przetwarzania danych osobowych określony w Załączniku nr 5 do niniejszego dokumentu. 4. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w którym znajdują się zbiory danych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. Zamknięcie na czas nieobecności uniemożliwia dostęp osób nieuprawnionych. 5. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Dostęp do pokoi jest kontrolowany za pomocą monitoringu wizyjnego. 6. Przebywanie wewnątrz obszaru, w którym są przetwarzane dane osobowe z użyciem stacjonarnego sprzętu komputerowego osób nieupoważnionych jest możliwe tylko w obecności użytkownika i za zgodą Administratora Bezpieczeństwa Informacji. 7. Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w,,instrukcji zarządzania systemem informatycznym w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach stanowiącej Załącznik Nr 2 do zarządzenia. 8. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne, obowiązują przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów służbowych. 9. Osoby zatrudnione przetwarzające dane osobowe każdego rodzaju, niezależnie od systemu przetwarzania, są zobowiązane przestrzegać następujące zasady: a) mogą przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez Administratora Danych Osobowych w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych; b) muszą zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji; c) zapoznają się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ; d) stosują określone procedury oraz wytyczne mające na celu zgodne z prawem przetwarzanie danych;

13 e) korzystają z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników; f) zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym. 8 Szkolenia w zakresie ochrony danych osobowych 1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać przeszkolony przez Administratora Bezpieczeństwa Informacji. Szkolenie powinno obejmować następujące zagadnienia: 1) Przepisy o ochronie danych osobowych. 2) Zasady przetwarzania danych osobowych. 3) Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach informatycznych. 4) Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych. 5) Zagrożenia, na jakie może być narażone przetwarzanie danych osobowych, a w szczególności te związane z przetwarzaniem danych osobowych w systemach informatycznych. 6) Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe. 7) Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego. 8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych. 2. Szkolenia powinny być powtarzane okresowo lub na żądanie, gdy zaistnieje taka potrzeba. 9 Kontrola przestrzegania zasad zabezpieczenia danych osobowych 1. Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa Informacji sprawują nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w niniejszym dokumencie. 2. Kontroli podlegają: system informatyczny przetwarzający dane osobowe, zabezpieczenia fizyczne, zabezpieczenia organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu faktycznego z wymaganiami ustawy o ochronie danych osobowych. 3. Administrator Bezpieczeństwa sporządza roczny plan kontroli zatwierdzony przez dyrektora i zgodnie z nim przeprowadza kontrole. Kontrola powinna odbyć się co najmniej raz w roku. 4. Po dokonanej kontroli przeprowadzający kontrolę (ABI) dokonuje oceny stanu bezpieczeństwa danych osobowych, po czym przygotowuje i przekazuje raport pokontrolny sporządzony zgodnie z wzorem, stanowiącym Załącznik nr 9 do niniejszej Polityki bezpieczeństwa, Administratorowi Danych Osobowych. Na jego podstawie ABI inicjuje działania korygujące lub zapobiegawcze. 5. Na podstawie zgromadzonych materiałów, o których mowa w ust. 4, Administrator Bezpieczeństwa sporządza roczne sprawozdanie ze stanu funkcjonowania systemu ochrony danych osobowych i przedstawia Administratorowi Danych Osobowych (Dyrektorowi ZSZiO w Kartuzach). Sprawozdanie przygotowuje się zgodnie z wzorem stanowiącym Załącznik nr 10.

14 10 Kontrola zabezpieczenia danych osobowych w systemie informatycznym 1. Codzienną kontrolę zabezpieczenia danych w systemie informatycznym sprawuje użytkownik. 2. Administrator Bezpieczeństwa Informacji i Zastępca Administratora Bezpieczeństwa Informacji prowadzą bieżący nadzór nad przestrzeganiem przez użytkowników zasad ochrony danych osobowych oraz sprawuje kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu przekazane. 11 Tryb postępowania w sytuacji naruszenia ochrony danych osobowych 1. Za naruszenie ochrony danych osobowych uważa się w szczególności: 1) próbę lub fakt nieuprawnionego dostępu do zbioru danych osobowych lub obszaru, w którym są one przetwarzane, 2) sytuację, w której skutkiem jest: a) brak możliwości fizycznego dostępu do danych np. z powodu zgubienia klucza do pomieszczenia lub mebli biurowych, w których przechowywane są dokumenty zawierające przetwarzane dane osobowe, zniszczenia lub kradzieży urządzeń służących do przechowywania danych osobowych, w tym elektronicznych nośników informacji, b) brak dostępu do zawartości zbioru danych, np. zbiór istnieje, lecz nie ma możliwości przetwarzania danych osobowych, c) zmieniono zawartość zbioru, np. niepoprawna treść, postać, data, różnica w danych, d) różnica funkcjonowania systemu, a w szczególności wyświetlania komunikatów i informacji o błędach oraz nieprawidłowościach w wykonywaniu operacji. 3) zniszczenie lub próby zniszczenia w sposób nieautoryzowany danych ze zbioru danych systemowych, 4) zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach archiwalnych, 5) nieskuteczne zniszczenie nośników informacji zawierających dane osobowe umożliwiające ponowny ich odczyt przez osoby nieuprawnione, 6) nieuprawnioną zmianę elementów systemu informatycznego służących do przetwarzania danych w szczególności urządzeń, procedur i oprogramowania. 2. W przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych, dyrektor lub użytkownik zobowiązany jest do: 1) określenia, w miarę możliwości charakteru zaistniałej sytuacji (kradzież, wirus komputerowy), 2) niezwłocznego zawiadomienia o zaistniałej sytuacji Administratora Bezpieczeństwa lub Zastępcy Administratora Bezpieczeństwa oraz Administratora Systemu, 3) zabezpieczenia, w zależności od sytuacji dostępu do pomieszczenia i urządzenia służącego do przetwarzania danych osobowych a także dowodów zdarzenia przed zniszczeniem, 4) powstrzymania się od pracy w systemie informatycznym oraz w przypadku podejrzenia infekcji wirusowej natychmiastowego wyłączenia urządzenia przetwarzającego dane, 5) podjęcie działań stosownie do zaistniałej sytuacji, które zapobiegną ewentualnej utracie danych osobowych,

15 6) sporządzeniu notatki służbowej z dokonanych ustaleń oraz podjętych działań i przekazania jej osobom wymienionym w pkt W sytuacji, o której mowa w ust. 2, Administrator Bezpieczeństwa, przy pomocy Zastępy Administratora Bezpieczeństwa, zobowiązany jest do: 1) oceny sytuacji uwzględniając stan pomieszczenia, w którym przetwarzane są dane osobowe, stan urządzenia oprogramowania i zbioru oraz identyfikacji zakresu ewentualnych negatywnych następstw ochrony danych osobowych, 2) podjęcia działań mających na celu ustalenia sprawcy, miejsca, czasu i sposobu dokonania naruszenia ochrony danych osobowych, 3) podjęcia decyzji w sprawie ewentualnego odizolowania odpowiednich części systemu, dokonania przeglądu i kontroli zabezpieczeń wszystkich pozostałych elementów sytemu, 4) podjęcia działań mających na celu przywrócenie prawidłowego stanu zbiorom danych osobowych i elementów systemu informatycznego, w tym zabezpieczenia, 5) podjęcia decyzji co do dalszego postępowania, w tym dotyczącej przetwarzania danych osobowych w systemie informatycznym, 6) sporządzenie notatki służbowej, tzw. raportu z dokonanych ustaleń oraz podjętych działań. Raport, stanowiący Załącznik nr 11, powinien zawierać informacje o przyczynach, skutkach, a także winnych naruszenia ochrony danych osobowych i czy naruszenie ochrony danych osobowych było wynikiem przestępstwa oraz wnioski określające zakres działań technicznych i organizacyjnych niezbędnych do podjęcia w celu zapobieżenia w przyszłości naruszeniu ochrony danych osobowych. 7) Raport, o którym mowa w ust. 6, Administrator Bezpieczeństwa niezwłocznie przekazuje Administratorowi Danych. 8) Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu Administrator Bezpieczeństwa zasięga niezbędnych opinii i proponuje postępowanie naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych. 12 Powierzenie i udostępnienie posiadanych w zbiorze danych osobowych 1. Administrator Danych Osobowych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Treść umowy powierzenia musi obejmować co najmniej: a) zakres i cel przetwarzania danych osobowych, b) zobowiązanie podmiotu, któremu powierza się dane, do zastosowania środków zabezpieczających dane osobowe, o których mowa w art ustawy, c) oświadczenie o spełnieniu wymagań, o których mowa w art. 39a ustawy, Dane osobowe przetwarzane mogą być wyłącznie w zakresie i celu przewidzianym w umowie. 2. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.

16 13 Postanowienia końcowe 1. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z art a ustawy o ochronie danych osobowych. 2. W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

17 Nr ewidencyjny:... Załącznik Nr 1 do POLITYKI BEZPIECZEŃSTWA I. UPOWAŻNIENIE do przetwarzania danych osobowych Upoważniam Panią/Pana... (imię i nazwisko) zatrudnioną/zatrudnionego w (nazwa komórki organizacyjnej) do przetwarzania danych osobowych, w celach związanych z wykonywaniem obowiązków na stanowisku:... (zajmowane stanowisko) oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład. Niniejsze upoważnienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej (kartoteki, ewidencje, rejestry, spisy itp.*) i elektronicznej, tj , (zakres danych osobowych) zgodnie z wykazem zbiorów podanych w pkt. II. II. Upoważniam Panią/Pana do przetwarzania danych osobowych zawartych w następujących zbiorach: (proszę wpisać zgodnie z wykazem obowiązujących nazw zbiorów danych osobowych przetwarzanych w ZSZiO Kartuzy oraz podać zakres upoważnienia i identyfikator w zbiorze) Upoważnienie jest udzielane na czas trwania zatrudnienia. III. Równocześnie zobowiązuję Panią/Pana do zachowania w tajemnicy wszelkich informacji dotyczących przetwarzania danych osobowych oraz sposobu ich zabezpieczenia. Informuję, że udostępnianie danych osobowych lub umożliwianie dostępu do nich osobie nieuprawnionej podlega karze grzywnie, karze ograniczenia wolności do lat dwóch. Kartuzy, dn (miejscowość) (data) (podpis Administratora Danych Osobowych)

18 OŚWIADCZENIE PRACOWNIKA IV. Ja niżej podpisana (ny) oświadczam, iż: 1. Zostałam (em) przeszkolona (ny) w zakresie ochrony danych osobowych i znana jest mi treść ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych t.j. Dz. U. z 2014 r. poz z późn. zm.) oraz Polityką bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach i wydanej na jej podstawie Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach. 2. Zobowiązuję się: zachować w tajemnicy dane osobowe, z którymi zetknęłam się / zetknąłem się* w trakcie wykonywania swoich obowiązków służbowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu; chronić dane osobowe przed dostępem do nich osób do tego nieupoważnionych, zabezpieczać je przed zniszczeniem i nielegalnym ujawnieniem. 3. Znana jest mi odpowiedzialność karna za naruszenie ww. ustawy (art ).... (data, podpis pracownika)

19 Załącznik Nr 1a... do POLITYKI BEZPIECZEŃSTWA /imię i nazwisko pracownika/ ZAKRES CZYNNOŚCI PRACOWNIKA ZATRUDNIONEGO PRZY PRZETWARZANIU DANYCH OSOBOWYCH I. Obowiązki pracownika Pracownik dopuszczony do przetwarzania danych osobowych zobowiązany jest do: 1. Zapoznania się i wypełniania obowiązków wynikających z: przepisów ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014 r. poz z późn. zm.) oraz przepisów wykonawczych wydanych na jej podstawie, przepisów Konwencji oraz Dyrektyw dotyczących ochrony danych osobowych, w tym Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. 2. Kontrolowania dostępu do danych osobowych. 3. Zachowania w tajemnicy danych oraz sposobu ich zabezpieczania do których uzyskał dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia. 4. Zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. II. Odpowiedzialność pracownika Za niedopełnienie obowiązków wynikających z niniejszego aneksu pracownik ponosi odpowiedzialność na podstawie przepisów Regulaminu pracy, Kodeksu pracy oraz ustawy o ochronie danych osobowych. Oświadczam, że treść niniejszego zakresu jest mi znana i zobowiązuję się do jego przestrzegania. /podpis pracownika/ /podpis pracodawcy/

20 Załącznik Nr 2... do POLITYKI BEZPIECZEŃSTWA (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz z późn. zm.) upoważniam Pana / Panią... do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z r. o ochronie danych osobowych (Dz. U. z 2014 r. poz z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie. Do obowiązków Pana / Pani będzie należało wdrożenie i nadzór nad prawidłową realizacją Polityki bezpieczeństwa obowiązującej w ZSZiO, w szczególności nadzorowanie, kontrolowanie i koordynowanie: stosowania środków technicznych i przedsięwzięć organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii tych danych; zasad zabezpieczenia danych osobowych przed udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem; przetwarzania danych osobowych zgodnie z przepisami prawa; opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne służące ich zabezpieczeniu; definiowania użytkowników i haseł dostępu; nadawania, modyfikacji i odbierania uprawnień użytkownikom w systemie informatycznym; wykonywania obowiązków użytkowników; zgłoszeń rejestracyjnych oraz aktualizacyjnych zbiorów danych osobowych zawierających dane wrażliwe; czynności realizowanych przez Zastępcę Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego; czynności realizowanych w wyniku postępowań administracyjnych prowadzonych przez Generalnego Inspektora ochrony danych osobowych; wyjaśniania i dokumentowania przypadków naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych (sporządzanie raportów); wdrażania szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych.

21 Wykonując swoje czynności realizuje Pan / Pani zadania w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie do: wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych osobowych, kontrolowania umów i porozumień z osobami oraz podmiotami zewnętrznymi mającymi przetwarzać dane osobowe znajdujące się w szkole, lub którymi takie przetwarzanie ma zostać powierzone, decydowania o pozbawieniu lub ograniczeniu zakresu przetwarzania danych osobowych i uprawnień nadanych w systemie informatycznym dla użytkowników, którzy powodują zagrożenia bezpieczeństwa i ochrony danych osobowych, przechowywania hasła do serwera; udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego z przepisami prawa, zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych, szkolenia pracowników z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji; kontrolowania pracowników poprzez audyty związane z bezpieczeństwem informacji oraz ochroną danych osobowych. W razie nieobecności Administratora Bezpieczeństwa Informacji zadania wykonuje Zastępca Administratora Bezpieczeństwa Informacji. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn (miejscowość) (data) (podpis Administratora Danych Osobowych) Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Administratora Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO, ustawę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane na podstawie art. 39a do wyżej wymienionej ustawy. Kartuzy, dn (miejscowość) (data) (podpis Administratora Bezpieczeństwa Informacji)

22 Załącznik Nr 2a... do POLITYKI BEZPIECZEŃSTWA (pieczątka szkoły) UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz z późn. zm.) upoważniam Pana / Panią... do wykonywania zadań Zastępcy Administratora Bezpieczeństwa Informacji w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy z r. o ochronie danych osobowych (Dz. U. z 2014 r. poz z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie. Pełniąc funkcję Zastępcy Administratora Bezpieczeństwa Informacji obowiązkiem Pana / Pani jest: nadzór nad wykonywanymi obowiązkami użytkowników; nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe; przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; współpraca z Administratorem Systemu Informatycznego; nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością; w ramach współpracy z Administratorem Systemu Informatycznego podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych; nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe; nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem; aktualizowanie dokumentacji przetwarzania danych osobowych; współudział w czynnościach związanych z rejestracją zbiorów danych osobowych zawierających dane wrażliwe i zgłaszaniem zmian w zarejestrowanych zbiorach danych osobowych; pomoc Administratorowi Bezpieczeństwa Informacji w dokumentowaniu przypadków naruszania zasad bezpieczeństwa przetwarzania i ochrony danych osobowych; inne obowiązki przewidziane w ustawie o ochronie danych osobowych, a nie wymienione w Polityce bezpieczeństwa.

23 Wykonując swoje czynności realizuje Pan / Pani zadania w imieniu Administratora Danych Osobowych i posiada uprawnienie oraz upoważnienie do: wskazywania odpowiednich zabezpieczeń technicznych i czynności organizacyjnych mających na celu zapewnienie skutecznej ochrony danych osobowych, udzielania wytycznych dotyczących usuwania nieprawidłowości stwierdzonych w czasie prowadzonych kontroli i dostosowywania ochrony danych do stanu zgodnego z przepisami prawa, zbierania od użytkowników pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych. W razie nieobecności Zastępcy Administratora Bezpieczeństwa Informacji zadania wykonuje Administrator Bezpieczeństwa Informacji. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach. Kartuzy, dn (miejscowość) (data) (podpis Administratora Danych Osobowych) Ja, niżej podpisany/-a, zobowiązuję się do pełnienia obowiązków Zastępcy Administratora Bezpieczeństwa Informacji w oparciu o przepisy wewnętrzne obowiązujące w ZSZiO, ustawę o ochronie danych osobowych oraz rozporządzenia wykonawcze wydane na podstawie art. 39a do wyżej wymienionej ustawy. Kartuzy, dn (miejscowość) (data) (podpis Zastępcy Administratora Bezpieczeństwa Informacji)