Zarządzenie Nr 3/2012. w Sosnowcu z dnia 29 marca 2012r. w sprawie ochrony przetwarzanych danych osobowych w Przedszkolu

Transkrypt

1 Zarządzenie Nr 3/2012 Dyrektora Przedszkola Miejskiego Nr 53 im. Kornela Makuszyńskiego w Sosnowcu z dnia 29 marca 2012r. w sprawie ochrony przetwarzanych danych osobowych w Przedszkolu Miejskim Nr 53 im. Kornela Makuszyńskiego w Sosnowcu. 1. Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( tj. Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) oraz w oparciu o treść rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz. U. z 2004r. Nr 100, poz. 1024) ustalam dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. 2. Na dokumentację, o której mowa w ust. 1 składa się: Polityka Bezpieczeństwa stanowiąca załącznik Nr 1 do niniejszego zarządzenia, Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, stanowiąca załącznik Nr 2 do zarządzenia, Regulamin ochrony, przetwarzania danych osobowych i ochrony systemów informatycznych określone zarządzeniem dyrektora Nr 2/2012 z dnia 29 marca 2012r. Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych oraz dostępu do baz danych z możliwością przetwarzania ich na potrzeby placówki stanowiąca załącznik Nr 3 do rozporządzenia, Wzór upoważnienia dla osób zatrudnionych przy przetwarzaniu danych osobowych stanowiący załącznik Nr 4 do rozporządzenia, Wzór druku dla osób przystępujących do pracy przy przetwarzaniu danych osobowych stanowi załącznik Nr 5 do rozporządzenia. 3. Zarządzenie wchodzi w życie z dniem r. Dyrektor Przedszkola str. 1

2 Załącznik Nr 1 do zarządzenia Nr 3/2012 z dnia r. Dyrektora Przedszkola Miejskiego Nr 53 im. K. Makuszyńskiego w Sosnowcu POLITYKA BEZPIECZEŃSTWA PRZEDSZKOLE MIEJSKIE NR 53 IM. KORNELA MAKUSZYŃSKIEGO W SOSNOWCU Podstawa prawna: str i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, ( Dz. U. z 2004r. Nr 100, poz. 1024) zgodnie z art. 1 ust. 1 ustawy z dnia 29 sierpnia 1997r. ( Dz. U. z 2002r. Nr 101, poz. 926 tekst jednolity z póżn. zm.). 2. Art. 68 ust. 2 ustawy z 27 sierpnia 2009r. o finansach publicznych ( Dz. U Nr 157, poz z późn. zm.). 1 POSTANOWIENIA WSTĘPNE. 1. Polityka Bezpieczeństwa w zakresie zarządzania systemami informatycznymi, służącymi do przetwarzania danych osobowych, w Przedszkolu Miejskim Nr 53 im. Kornela Makuszyńskiego w Sosnowcu, jest dokumentem zwanym dalej polityką bezpieczeństwa, który określa zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym ujawnieniem. 2. Niniejsza polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, aktach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. 3. Polityka Bezpieczeństwa w zakresie zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, zawiera: 1. identyfikację zasobów systemu tradycyjnego i informatycznego, 2. wykaz pomieszczeń, tworzący obszar, w którym przetwarzane są dane osobowe, 3. wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych,

3 4. opis struktury zbiorów danych i sposoby ich przepływu, 5. środki techniczne i organizacyjne, służące zapewnieniu poufności przetwarzanych danych. 4. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych w Przedszkolu Miejskim Nr 53 im. Kornela Makuszyńskiego w Sosnowcu, jak i innych, np. studentów, odbywających w nim praktyki pedagogiczne. Dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny ( PESEL, NIP) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 5. Odpowiedzialność za powierzone dane osobowe, ponoszą wszyscy pracownicy, mający dostęp do danych osobowych w ramach swoich obowiązków służbowych. Polityka Bezpieczeństwa jest to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji zasobów w danych osobowych. Polityka Bezpieczeństwa opisuje działania, które w najbardziej efektywny sposób pozwolą osiągnąć postawiony cel. 6. W celu zapewnienia bezpieczeństwa przetwarzanych danych wymaga się, aby wszyscy jego użytkownicy byli świadomi konieczności ochrony wykorzystywanych zasobów. Konsekwencją nie stosowania przez pracownika środków bezpieczeństwa określonych w instrukcjach wewnętrznych może być zniszczenie części lub całości systemów informatycznych, utrata poufności, autentyczności, straty finansowe, jak również utrata wizerunku. 7. Pracownicy są odpowiedzialni za bezpieczeństwo danych, do których mają dostęp. W szczególności w systemach informatycznych odpowiadają oni za poprawne wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie sprzętu oraz znajdujących się na nim danych i oprogramowania. 2 DEFINICJE. Ilekroć w instrukcji jest mowa o: 1) administratorze danych rozumie się przez to osobę decydującą o celach i środkach przetwarzania danych, 2) administratorze bezpieczeństwa informacji rozumie się przez to osobę, której administrator danych powierzył pełnienie obowiązków administratora bezpieczeństwa informacji, 3) haśle- rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, str. 3

4 str. 4 4) identyfikatorze użytkownika- rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 5) odbiorcy danych rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osobę upoważnioną do przetwarzania danych; osobę, której powierzono przetwarzanie danych; organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 6) osobie upoważnionej do przetwarzania danych osobowych rozumie się przez to pracownika, która upoważniona została do przetwarzania danych osobowych przez dyrektora na piśmie, 7) poufności danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, 8) raporcie- rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 9) rozporządzeniu MSWiA rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych ( Dz. U. z 2004 r. Nr 100, poz. 1024), 10) serwisancie- rozumie się przez to firmę lub pracownika firmy, zajmującej się instalacją, naprawą i konserwacją sprzętu komputerowego, 11) sieci publicznej rozumie się przez to sieć telekomunikacyjną, wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych, 12) systemie informatycznym rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 13) przedszkole rozumie się przez to Przedszkole Miejskie Nr 53 im. Kornela Makuszyńskiego w Sosnowcu, 14) teletransmisji rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 15) ustawie rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.), 16) uwierzytelnianiu rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 17) użytkowniku rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło.

5 3 ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH. 1. Administrator danych osobowych, reprezentowany przez dyrektora, realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza: 1.1. podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia danych osobowych, 1.2. upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi jej obowiązków, oraz odwołuje te upoważnienia lub wyrejestrowuje użytkownika z systemu informatycznego, 1.3. wyznacza administratora bezpieczeństwa informacji oraz administratora sieci oraz określa zakres ich zadań i czynności, 1.4. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych oraz pozostałą dokumentację z zakresu ochrony danych, o ile jako właściwą do jej prowadzenia nie wskaże inną osobę, 1.5. zapewnia we współpracy z administratorem bezpieczeństwa informacji i systemu użytkownikom odpowiednie stanowiska i warunki pracy, umożliwiające bezpieczne przetwarzanie danych, 1.6. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur. 2. Administrator bezpieczeństwa informacji realizuje zadania w zakresie nadzoru nad przestrzeganiem ochrony danych osobowych, w tym zwłaszcza: 2.1. sprawuje nadzór nad wdrożeniem stosowanych środków fizycznych, a także organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych, 2.2. sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad prowadzeniem ewidencji z zakresu ochrony danych osobowych, 2.3. koordynuje wewnętrzne audyty przestrzegania przepisów o ochronie danych osobowych, 2.4. nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom, 2.5. przygotowuje wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inną korespondencję z Generalnym Inspektorem Ochrony Danych, 2.6. zawiera wzory dokumentów ( odpowiednie klauzule w dokumentach), dotyczących ochrony danych osobowych, str. 5

6 2.7. nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych osobowych, 2.8. prowadzi oraz aktualizuje dokumentację, opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych, 2.9. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia systemu informatycznego, przygotowuje wyciągi z polityki bezpieczeństwa, dostosowane do zakresów obowiązków osób upoważnionych do przetwarzania danych osobowych, przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia osób upoważnionych do przetwarzania danych osobowych, w porozumieniu z administratorem danych osobowych na czas nieobecności ( urlop, choroba) wyznacza swojego zastępcę. 3. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać następujących zasad: 3.1. może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez administratora danych w upoważnieniu i tylko w celu wykonywania nałożonych obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych, 3.2. musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji, 3.3. zapoznaje się z przepisami w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, 3.4. stosuje określone przez administratora danych oraz administratora bezpieczeństwa informacji procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych, 3.5. korzysta z systemu informatycznego administratora danych w sposób zgodny ze wskazówkami zawartymi w instrukcji obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników, 3.6. zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym. str. 6

7 4 IDENTYFIKACJA ZASOBÓW SYSTEMU INFORMATYCZNEGO 1. Struktura informatyczna Przedszkola Miejskiego Nr 53 im. Kornela Makuszyńskiego w Sosnowcu składa się z sieci wewnętrznej, mieszczącej się w pomieszczeniach i jest połączona z siecią zbudowaną w oparciu o łącza Orange Telekomunikacja Polska S.A.. Informacje przetwarzane w tej strukturze są jawne ale podlegają ochronie zgodnie z przepisami ustawy. 2. W ramach tej struktury funkcjonują oddzielnie : system finansowy, za który odpowiada główny księgowy, system zainstalowany z biurze dyrektora, wicedyrektora i starszego intendenta, które działają oddzielnie. 5 WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZACYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE Adres/ lokalizacja Uwagi Dane osobowe przetwarzane jako Administrator Danych Przedszkole Miejskie Nr 53 im. Kornela Makuszyńskiego w Sosnowcu, ul. K. Makuszyńskiego 4b Gabinet wicedyrektora, intendenta dyrektora, starszego Dane przetwarzane Przetwarzający osobowe jako Przedszkole Miejskie Nr 53 im. Kornela Makuszyńskiego w Sosnowcu, ul. K. Makuszyńskiego 4b Gabinet wicedyrektora, intendenta dyrektora, starszego Dane osobowe powierzone do przetworzenia Przetwarzającemu Wydział Edukacji UM w Sosnowcu, ul. Małachowskiego 3 Śląskie Kuratorium Oświaty Katowice ul. Jagiellońska 25 Delegatura w Sosnowcu ul. Krzywa 2 Zespół Obsługi Finansowo Księgowej Placówek Oświatowych Nr 6 w Sosnowcu, ul Gwiezdna 2 ZUS Sosnowiec ul. Partyzantów 1 Bank Śląski w Sosnowcu Gabinet dyrektora, wicedyrektora, starszego intendenta, pokój głównego księgowego str. 7

8 6 WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW STOSOWANYCH DO PRZETWARZANIA TYCH DANYCH L.P. Nazwa zbioru danych Systemy informatyczne stosowane do przetwarzania danych osobowych w zbiorze Zastosowany poziom bezpieczeństwa 1. Kandydaci do Word, Excel Wysoki 2. Wychowankowie Word, Excel, SIO Wysoki 3. Pracownicy SIO, Vulcan Organizacja Optivum Wysoki Intendentura Optivum Word, Excel 4. Księgowość- finanse Vulcan Księgowość Optivum, Płace Optivum, Finanse Optivum, Płatnik ZUS Wysoki Bankowe konto str. 8

9 7 STRUKTURA ZBIORÓW DANYCH, SPOSÓB PRZEPŁYWU DANYCH I ZAKRES ICH PRZETWARZANIA Nr zakresu Nazwa zbioru Zakres przetwarzanych danych Dostępność danych 1. Kandydaci do 2.a Wychowankowie 2.b Wychowankowie str. 9 Imię ( imiona), nazwisko, data i miejsce urodzenia, PESEL, adres zamieszkania, adres zameldowania, imię i nazwisko rodziców ( prawnych opiekunów) : miejsce pracy, rodzaj pracy, wykształcenie, nr telefonu rodzica lub do zakładu pracy, status rodziny,rodzaj wykonywanej pracy( stała, dorywcza), orzeczony stopień niepełnosprawności; osoby uprawnione do odbioru dziecka: nazwisko i imię, stopień pokrewieństwa numer telefonu; ogólny stan zdrowia dziecka Imię ( imiona), nazwisko, data i miejsce urodzenia, PESEL, adres zamieszkania, adres zameldowania, imię i nazwisko rodziców ( prawnych opiekunów) : miejsce pracy, rodzaj pracy, wykształcenie, nr telefonu rodzica lub do zakładu pracy, status rodziny,rodzaj wykonywanej pracy( stała, dorywcza), orzeczony stopień niepełnosprawności; osoby uprawnione do odbioru dziecka: nazwisko i imię, stopień pokrewieństwa numer telefonu; ogólny stan zdrowia dziecka Imię ( imiona), nazwisko, data i miejsce urodzenia, adres zamieszkania, adres zameldowania, imiona i nazwiska Członkowie komisji rekrutacyjnej, dyrektor, wicedyrektor. Wykazy kandydatów, przyjętych do są udostępniane wyłącznie bezpośrednio rodzicom/ opiekunom w dniu ogłoszenia wyników przez dyrektora, wicedyrektora lub upoważnioną przez dyrektora osobę. Dane statystyczne mogą być udostępnione: WED w Sosnowcu, ŚKO w celu opracowywania raportów o wynikach naboru. Nauczyciele wychowawcy, dyrektor wicedyrektor, specjaliści zatrudnieni w przedszkolu/ terapeuta, psycholog, logopeda/. W celu przeprowadzenia kontroli: WED, NIK, GIODO, MEN na

10 rodziców ( prawnych opiekunów) podstawie pisemnych upoważnień. Kurator sądowy. Policja w określonych odrębnymi przepisami przypadkach. 2.c Wychowankowie Osoby uprawnione do odbioru dziecka: nazwisko i imię, stopień pokrewieństwa numer telefonu. Pracownicy odpowiedzialni za wydanie dziecka z 2.d Wychowankowie Imię i nazwisko dziecka, wiek Przetwarzanie ręczne ( dotyczy wystaw prac plastycznych i uzyskanych dyplomów)udostępnianie w holu głównym na tablicy ogłoszeń. 2.e Wychowankowie 3. Pracownicy Dane dzieci, w tym wrażliwe: imiona i nazwisko dziecka, data i miejsce urodzenia adres zamieszkania, dane o stanie zdrowia- w tym również zdrowia psychicznego, przedstawione w orzeczeniach i opiniach poradni psychologiczno pedagogicznej, która wnioskuje o odroczenie od realizacji obowiązku szkolnego, nauczanie indywidualne, dostosowanie warunków pracy do form niepełnosprawności dziecka. Pracownicy obecni i byli Pracownicy, rodzice dzieci uczęszczających do Przetwarzanie ręczne. Dyrektor, wicedyrektor, nauczyciele pracujący bezpośrednio z dzieckiem, specjaliści obejmujący dziecko opieką psychologicznopedagogiczną. Organy nadzorujące. Przetwarzane ręcznie jak i w systemie informatycznym. 3.1 Pracownicy Imię i nazwisko,numery telefonów Wszyscy pracownicy str. 10

11 3.2 Pracownicy Akta osobowe pracownika: imię i nazwisko, data i miejsce urodzenia, imiona i nazwisko rodziców, adres zamieszkania, wysokość wynagrodzenia składniki wynagrodzenia, przeszeregowania, urlopy, zwolnienia lekarskie, nr dowodu osobistego, PESEL, NIP, dane wrażliwe: odbyte szkolenia, posiadanie dzieci, zawarty związek małżeński, stan zdrowia wynikający z zaświadczeń lekarskich, wydanych na podstawie przeprowadzonych badań profilaktycznych( wstępnych, okresowych i kontrolnych) oraz w związku z ubieganiem się przez nauczyciela o przyznanie urlopu na poratowanie zdrowia Dyrektor Wicedyrektor Starszy intendent Organy prowadzące kontrolę: WED. ŚKO, PIP, RIO, sądy powszechne w związku z prowadzonym postępowaniem. 3.3 Data urodzenia, wysokość wynagrodzenia,składniki wynagrodzenia, PESEL, dane wrażliwe: stopień awansu zawodowego, dodatkowe kwalifikacje, urlop dla poratowania zdrowia Przekazuje :dyrektor, wicedyrektor do programów SIO i Arkusza Optivum Vulcan- po wprowadzeniu identyfikatora i hasła. 4.1 Księgowość finanse Imię i nazwisko pracownika, adres zamieszkania, data i miejsce urodzenia, imiona i nazwiska rodziców, dane, dotyczące wykształcenia i stopnia awansu zawodowego, stażu pracy, składników wynagrodzenia, urlopów i zwolnień lekarskich, nr dowodu osobistego, nr konta bankowego, nr PESEL, NIP, WED, ŚKO, MEN Dyrektor i główna księgowa. Dane są udostępniane przez główną księgową ZUS, Urzędowi Skarbowemu, firmie ubezpieczającej pracowników PZU w zakresie wymaganym w tradycyjnym systemie przetwarzania danych. 4.2 Księgowość finanse str. 11 Imię i nazwisko pracownika, staż pracy, składniki wynagrodzenia: zasadnicze, dodatek stażowy, motywacyjny, kwoty odciąganych na poczet podatku od osób fizycznych składek na ZUS, fundusz zdrowotny, Główna księgowa lub upoważniony przez nią pracownik ZOFK PO, w systemie bankowości elektronicznej.

12 związki zawodowe, kwoty spłat z tytułu pożyczek, zajęcia komornicze, nr rachunku bakowego 8 WYKAZ ZBIORÓW DANYCH OSOBOWYCH ZBIORY DANYCH PRZETWARZANYCH W SYSTEMACH INFORMATYCZNYCH budżet zbiór danych finansowo- księgowych faktury przelewy płace kadry dane dzieci ZBIORY DANYCH PROWADZONYCH MANUALNIE rejestr wniosków o rozpoczęcie postępowania kwalifikacyjnego rejestr aktów nadania stopnia awansu zawodowego dokumentacja związana z procedurą nadania stopnia awansu zawodowego dokumentacja Zakładowego Funduszu Świadczeń Socjalnych dokumentacja przebiegu nauczania dzienniki zajęć podania osób ubiegających się o pracę rejestr zaświadczeń o zatrudnieniu i wynagrodzeniu protokoły Rad Pedagogicznych 9 ŚRODKI TECHNICZNE I ORGANIZACYJNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH Dane osobowe mogą być udostępniane zgodnie z art. 29 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 1. W celu zapewnienia ochrony danych osobowych stosuje się odpowiednie rozwiązania organizacyjne i techniczne: str. 12

13 1.1. Budynek posiada elektroniczny system monitoringu pozwalający na kontrolę i informujący o przypadkach nieautoryzowanego wejścia, 1.2. Każdy pracownik przed dopuszczeniem do przetwarzania danych osobowych zobowiązany jest do zapoznania się oraz stosowania przepisów ustawy o ochronie danych osobowych oraz wewnętrznego Regulaminu ochrony, przetwarzania danych osobowych i ochrony systemów informatycznych, 1.3. Pomieszczenia, w których przetwarzane są dane, zamykane są na klucz jeżeli nie przebywa w nim osoba uprawniona, 1.4. Przetwarzanie danych osobowych odbywa się wyłącznie na komputerach stacjonarnych. Zabronione jest stosowanie komputerów przenośnych, 1.5. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu, 1.6. Bazy danych osobowych przechowywane są w pomieszczeniu, w którym okna zabezpieczone są krata, 1.7. Monitory ustawione są w sposób uniemożliwiający oglądanie ekranu z miejsc ogólnodostępnych, 1.8. Bieżące naprawy komputera dokonywane są w obecności użytkownika systemu, 1.9. Administrator bezpieczeństwa informatycznego jest osobą uprawnioną do nadzoru instalowania i usuwania oprogramowania systemowego i narzędziowego. Dopuszcza się instalowanie tylko legalnie pozyskanych programów, niezbędnych do wykonywania ustalonych i statutowych zadań, posiadających ważną licencję użytkownika, Wykorzystywanie akt i dokumentów, zawierających dane osobowe ( dzienniki zajęć) do pracy w domu jest zabronione, Kopie zapasowe baz danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się komputer główny, na którym dane są przetwarzane na bieżąco, Baza danych osobowych w formie pisemnej przechowywana jest w zamkniętej szafie, Dane z nośników przenośnych niebędących kopiami zapasowymi po wprowadzeniu do systemu informatycznego administratora danych powinny być trwale usuwane z tych nośników przez fizyczne zniszczenie ( np. płyty CD ROM) lub usunięcie danych programem trwale usuwającym pliki. W uzasadnionej konieczności dane pojedynczych osób ( a nie całe zbiory czy szerokie wpisy ze zbiorów) mogą być przechowywane na specjalnie oznaczonych nośnikach. Nośniki te musza być przechowywane w zamkniętych na klucz szafach, nieudostępnianych osobom str. 13

14 str. 14 postronnym. Po ustaniu przydatności tych danych nośniki powinny być trwale niszczone lub kasowane, Z przebiegu usuwania danych osobowych sporządza się protokół podpisany przez administratora bezpieczeństwa informacji i administratora danych, Po wykorzystaniu, wydruki zawierające dane osobowe należy codziennie przed zakończeniem pracy zniszczyć w niszczarce. O ile to możliwe, nie należy przechowywać takich wydruków w czasie dnia na biurku ani też wynosić poza siedzibę administratora, Co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią Internet, Do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń administratora bezpieczeństwa informacji, Operacje za pośrednictwem rachunku bankowego administratora danych może wykonywać główny księgowy upoważniony przez dyrektora, po uwierzytelnieniu się zgodnie z procedurami określonymi przez bak obsługujący rachunek, Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, Pocztą elektroniczną można przesyłać tylko jednostkowe dane, a nie całe bazy lub szerokie z nich wypisy i tylko w postaci zaszyfrowanej ochrona przed przesłuchami na liniach teletransmisyjnych oraz przed przypadkowym rozproszeniem ich w Internecie, Przed atakami z sieci zewnętrznej wszystkie komputery administratora danych chronione są programem antywirusowym posiadającym legalną licencję. Użytkownicy programu zobowiązani są do aktualizacji zabezpieczeń, Administrator bezpieczeństwa informacji dobiera elektroniczne środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń, a także stosownie do rozbudowy systemu informatycznego administratora danych i powiększania bazy danych, Odpowiedzialnym za monitorowanie dostępu do systemu i jego użycia jest administrator bezpieczeństwa informacji, Udostępnianie danych osobowych policji, służbie miejskiej i sądom może nastąpić w związku z prowadzonym przez nie postępowaniem na pisemny wiosek o przekazanie lub udostępnienie informacji. Osoba udostępniająca dane osobowe jest obowiązana zażądać pokwitowania pobrania dokumentów zawierających

15 informacje przekazane na podstawie pisemnego wniosku albo potwierdzenia faktu uzyskania wglądu w treść informacji. 2. Niezastosowanie się do prowadzonej przez administratora danych polityki bezpieczeństwa przetwarzania danych osobowych, której założenia określa niniejszy dokument, i naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy w trybie art. 52 Kodeksu pracy. Niezależnie od rozwiązania stosunku pracy, osoby te podlegają odpowiedzialności określonej w art. 49, 50, 51 i 52 ustawy. 10 POSTAOWIENIA KOŃCOWE 1. Polityka bezpieczeństwa powinna być poddana audytowi wewnętrznemu przynajmniej raz na rok w celu stwierdzenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz stosowania wewnętrznych procedur. 2. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których one dotyczą. 3. Każda osoba mająca dostęp do danych osobowych z upoważnienia administratora danych, została zapoznana z Polityką Bezpieczeństwa i zobowiązana do jej przestrzegania w zakresie wynikającym z przydzielonych zadań. Osoby o których mowa, składają na piśmie oświadczenie o zapoznaniu się z treścią Polityki Bezpieczeństwa oraz zobowiązują się do stosowania zawartych w niej postanowień. 4. Polityka Bezpieczeństwa wchodzi w życie z dniem r. Sosnowiec, dnia r. Dyrektor Przedszkola Grażyna Janusz str. 15