CEL PROWADZENIA I GROMADZENIA DANYCH OSOBOWYCH

Transkrypt

1 Załącznik nr 4 do Zarządzenia nr 26/2011 Dyrektora Publicznego Gimnazjum w Nowem INSTRUKCJA OKREŚLAJĄCA SPOSÓB ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I RĘCZNYM W ZAKRESIE OCHRONY DANYCH OSOBOWYCH I ICH ZBIORÓW przyjęta do stosowania w Publicznym Gimnazjum w Nowem na podstawie: ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002r. Nr 101 poz.926 ze zm.) ustalam procedurę systemu ochrony danych osobowych i ich zbiorów oraz zobowiązuję pracowników Publicznego Gimnazjum w Nowem do jej stosowania: I CEL PROWADZENIA I GROMADZENIA DANYCH OSOBOWYCH Cele, dla których Publiczne Gimnazjum w Nowem zbiera dane osobowe to: 1. Przebieg zatrudnienia i wynagradzania w odniesieniu do pracowników i ich rodzin. 2. Realizacja zadań dydaktyczno wychowawczo - opiekuńczych w stosunku do uczniów i ich rodzin. 3. Gromadzenie ofert pracy. II ZBIORY DANYCH OSOBOWYCH W PLACÓWCE 1. W Gimnazjum tworzy się następujące zbiory danych osobowych: Numer zbioru Zbiór 1 Zbiór 2 Zbiór 3 Zbiór 4 Zbiór 5 Zbiór 6 Zbiór 7 Zbiór 8 Zbiór 9 Zbiór 10 Zbiór 11 Zbiór 12 Zbiór 13 Zbiór 14 Zbiór 15 Nazwa zbioru Księga druków ścisłego zarachowania. Akta osobowe pracowników Ewidencja zwolnień lekarskich pracowników. Księga zastępstw nauczycieli. Protokoły Rady Pedagogicznej Ewidencja urlopów pracowników niepedagogicznych. Ewidencja osób korzystających z księgozbioru bibliotecznego. Ewidencja legitymacji pracowniczych. Ewidencja wydawanej pracownikom odzieży ochronnej. Rejestr delegacji służbowych. Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego. Księga ewidencji uczniów. Księga dzieci. Dzienniki lekcyjne i pozalekcyjne. Arkusze ocen wszystkich uczniów 1

2 Zbiór 16 Protokoły egzaminów klasyfikacyjnych i poprawkowych. Zbiór 17 Ewidencja wydanych legitymacji szkolnych Zbiór 18 Ewidencja wydanych świadectw ukończenia szkoły. Ewidencja wydawanych świadectw. Zbiór 19 Ewidencja duplikatów świadectw ukończenia szkoły. Zbiór 20 Rejestr wypadków uczniów. Zbiór 21 Zbiór upoważnień. Zbiór 22 Archiwum ( akta osobowe pracowników, księgi arkuszy ocen, dzienniki lekcyjne). Zbiór 23 Arkusz organizacji roku szkolnego. Zbiór 24 Dziennik pedagoga szkolnego Zbiór 25 Dziennik psychologa szkolnego Zbiór 26 Rejestr zwolnień z obowiązkowych zajęć Zbiór 27 Ewidencja zasobów szkoły -SIO Zbiór 28 Ewidencja osób przystępujących do egzaminów zewnętrznych - HERMES Zbiór 29 Orzeczenia, opinie i zaświadczenia z PPP Zbiór 30 Ewidencja decyzji administracyjnych dyrektora szkoły skreślenie z listy Zbiór 31 Deklaracje nie uczęszczania na religię, sprzeciw od zajęć wychowania do życia w rodzinie Zbiór 32 Rejestr zaświadczeń wydawanych pracownikom szkoły i uczniom Zbiór 33 Kontrola wewnętrzna protokoły, notatki i itp. 2. Dane są gromadzone i przechowywane w systemie ręcznym oraz są przetwarzane także za pomocą systemu komputerowego. 3. Wszystkich pracowników, którzy będą gromadzić i przetwarzać dane osobowe zobowiązuje się do bezwzględnego przestrzegania przepisów ustawy przywołanej we wstępie oraz niniejszej instrukcji. III PRZEKAZANIE INFORMACJI OSOBOM, KTÓRYCH DANE BĘDĄ ZBIERANE 1. Obowiązek informowania, a także uzyskania oświadczeń woli traktowany jest łącznie w stosunku do grup, których dane Gimnazjum zbiera i przetwarza. 2. W przypadku pracowników obowiązek, o którym mowa w pkt.1 uważa się za spełniony po podpisaniu druku stanowiącego załącznik nr Zgodnie z porozumieniem z dnia r. obsługę finansowo-księgową szkoły prowadzi Samorządowa Administracja Placówek Oświatowych w Nowem. 4. W przypadku uczniów i rodziców obowiązek, o którym mowa w pkt. 1 uważa się za spełniony po przyjęciu dziecka do szkoły i wpisaniu go do Księgi Uczniów. 2

3 IV OBOWIĄZKI PRACOWNIKÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH 1. Pracownicy zatrudnieni w szkole (nauczyciele, dyrektor, v-ce dyrektor,sekretarz szkoły, intendent, bibliotekarz, pedagog, psycholog, wychowawcy świetlicy,) otrzymują w zakresie czynności, upoważnienie do obsługi systemu ręcznego i informatycznego w zakresie gromadzenia i przetwarzania danych osobowych w określonych zbiorach 2. Pracownicy wymienieni w pkt. 1 zbierają i przetwarzają dane osobowe wyłącznie do realizacji celów wymienionych w rozdziale I. 3. Osoby mające upoważnienie do ręcznego i informatycznego przetwarzania danych osobowych zobowiązane są do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. 4. Osoby, o których mowa w pkt.1 mające upoważnienie do przetwarzania danych w systemie informatycznym zobowiązani są do bezwzględnego przestrzegania rozdziału V instrukcji. 5. Udostępnienie danych osobowych przez pracowników może nastąpić wyłącznie na podstawie pisemnej dyspozycji wydanej przez Dyrektora Gimnazjum. 6. Osoby, o których mowa w pkt. 1 mające dostęp do danych osobowych, obowiązane są do zachowania ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia. V INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Powołuje się Administratora Bezpieczeństwa Informatycznego - zwanego w dalszej części instrukcji - ABI. 2. ABI określa hasła użytkowania komputerów dla przetwarzania danych osobowych 3. ABI jest odpowiedzialni za właściwy nadzór nad funkcjonowaniem ochrony danych osobowych. 4. Obszarem do przetwarzania danych osobowych z użyciem sprzętu komputerowego są: - sekretariat część pomieszczeń za biurkami pracowników, - gabinet dyrektora, - gabinet wicedyrektora - gabinet pedagoga i psychologa szkolnego, - biblioteka szkolna, 5. Przebywanie osób nieuprawnionych wewnątrz obszaru, o którym mowa w pkt.4 jest dopuszczalna tylko w obecności osób zatrudnionych przy przetwarzaniu tych danych. 6. Procedura rozpoczęcia i zakończenia pracy: a) na stanowiskach, na których przetwarzane są dane osobowe ekrany monitorów powinny być tak ustawione, aby osoby nieupoważnione nie miały dostępu do informacji na nich wyświetlanych, b) uruchomienie komputera odpowiednim hasłem, c) upewnienie się, że osoby nieupoważnione nie mają możliwości wglądu do danych, d) w razie przerwania pracy zastosowanie nieaktywności użytkownika ( wygaszacz ekranu), e) upewnienie się czy dane zostały zarejestrowane, aby uniknąć utraty danych z powodu awarii, 3

4 f) podczas nieobecności osób zatrudnionych przy informatycznym przetwarzaniu danych osobowych pomieszczenia, w których są przetwarzane dane, nie mogą być udostępniane osobom postronnym, g) zakończenie pracy związanej z przetwarzaniem danych osobowych powinno odpowiadać wszystkim regułom bezpieczeństwa informacji. 7. Kopie informatyczne i wydruki wykonuje się w miarę potrzeb i przechowuje w sposób określony przepisami. 8. Nośniki danych oraz wydruki, które nie są przeznaczone do udostępniania, przechowuje się w specjalnie zamykanej szafie, do której dostęp mają tylko osoby uprawnione. 9. W razie stwierdzenia naruszenia systemów informatycznych należy bezzwłocznie poinformować ABI. 10. ABI sprawdza stan urządzeń, zawartość zbiorów danych osobowych i wielkość ich naruszenia. VI SPOSÓB ZABEZPIECZANIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁANIEM OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO 1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych. 2. Wirusy komputerowe mogą pojawić się w systemach szkoły poprzez: Internet, nośniki informacyjne takie jak, płyty CD, dyski przenośne itp. 3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest następująco: a) komputer z dostępem do Internetu musi być zabezpieczony za pomocą oprogramowania antywirusowego, b) zainstalowany program antywirusowy powinien być tak skonfigurowany, by co najmniej raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych. c) Elektroniczne nośniki informacji takie jak dyskietki, dyskietki, dyski przenośne, należy każdorazowo sprawdzić programem antywirusowym przed użyciem, po zainstalowaniu ich w systemie. Czynność powyższą realizuje użytkownik systemu. W przypadku problemów ze sprawdzeniem zewnętrznego nośnika danych użytkownik jest zobowiązany zwrócić się z tym do Administratora Bezpieczeństwa Informacji. d) Komputery i systemy pracujące muszą mieć zainstalowany program antywirusowy a w przypadku komputerów z dostępem do Internetu, również posiadać oprogramowanie i mechanizmy zabezpieczające przed nieautoryzownym dostępem z sieci e) W przypadku gdy użytkownik stanowiska komputerowego zauważy komunikat oprogramowania zabezpieczającego system wskazujący na zaistnienie zagrożenia lub rozpozna tego typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i niezwłocznie skontaktować się z Dyrektorem Szkoły. 4

5 f) Przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączone do treści wiadomości. Zabrania się otwierania załączników i wiadomości poczty elektronicznej od niezaufanych nadawców. VII UDOSTĘPNIANIE DANYCH OSOBOWYCH I SPOSÓB ODNOTOWANIA INFORMACJI O UDOSTĘPNIONYCH DANYCH 1. Udostępnienie danych instytucjom może odbywać się wyłącznie na pisemny uzasadniony wniosek lub zgodnie z przepisami prawa. VIII WYKONYWANIE PRZEGLĄDÓW I KONSERWACJI SYSTEMU ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO P[RZETWARZANIA DANYCH 1. Przeglądy i konserwacje systemu wykonuje ABI 2. Przeglądy zbiorów danych wykonuje użytkownik na bieżąco. 3. Naprawy sprzętu należy zlecać podmiotom, których kompetencje nie budzą wątpliwości, co do wykonania usługi. Naprawa sprzętu, na którym mogą znajdować się dane osobowe powinna odbywać się pod nadzorem osób użytkujących sprzęt w miejscu jego użytkowania. 4. W przypadku konieczności naprawy poza miejscem użytkowania, sprzęt komputerowy, przed oddaniem do serwisu, powinien być odpowiednio przygotowany. Dane należy zarchiwizować na nośniki informacji, a dyski twarde, bezwzględnie, wymontować na czas naprawy. 5.Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe lub zmiana jego lokalizacji, może być dokonana tylko za wiedzą i zgodą Dyrektora Szkoły IX USTALENIA KOŃCOWE 1. Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe w szkole zabrania się: ujawniania loginu i hasła współpracownikom i osobom z zewnątrz, 2. Pozostawiania haseł w miejscach widocznych dla innych osób, 3. Udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym, 4. Udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych w systemie, 5. Używania oprogramowania w innym zakresie niż pozwala na to umowa licencyjna, 6. Przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne, 7. Kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza szkołę, 5

6 8. Samowolnego instalowania i używania jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego; 9. Używania nośników danych udostępnionych przez osoby postronne, 10. Przesyłania dokumentów i danych z wykorzystaniem konta pocztowego prywatnego (niesłużbowego), 11. Otwierania załączników i wiadomości poczty elektronicznej od nieznanych i niezaufanych nadawców, 12. Używania nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą; w przypadku konieczności użycia niesprawdzonych przenośnych nośników danych, należy zgłosić te nośniki, w celu sprawdzenia - przeskanowania programem antywirusowym, 13. Tworzenia kopii zapasowych niechronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania. Ponadto zabrania się: 1. Wyrzucania dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia, 2. Pozostawiania dokumentów, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach, 3. Pozostawiania kluczy w drzwiach, szafach, biurkach, zostawiania otwartych pomieszczeń, w których przetwarza się dane osobowe, 4. Pozostawiania bez nadzoru osób trzecich przebywających w pomieszczeniach szkoły, w których przetwarzane są dane osobowe, 5. Pozostawiania dokumentów na biurku po zakończonej pracy, pozostawiania otwartych dokumentów na ekranie monitora bez blokady konsoli, 6. Ignorowania nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych, 7. Przekazywania informacji będącymi danymi osobowymi osobom nieupoważnionym, 8. Ignorowania zapisów Polityki Bezpieczeństwa szkoły. Konieczne jest: 1. Posługiwanie się własnym loginem i hasłem w celu uzyskania dostępu do systemów informatycznych, 2. Tworzenia haseł trudnych do odgadnięcia dla innych, 3. Traktowanie konta pocztowego szkoły jako narzędzia pracy i wykorzystywanie go jedynie w celach służbowych, 4. Nie przerywanie procesu skanowania przez program antywirusowy na komputerze, 5. Wykonywanie kopii zapasowych danych przetwarzanych na stanowisku komputerowym, 6. Zabezpieczenie sprzętu komputerowego przed kradzieżą lub nieuprawnionym dostępem do danych. Wszelkie przypadki naruszenia niniejszej Instrukcji należy zgłaszać bezpośredniemu przełożonemu. X ZALECENIA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH SPOSOBEM TRADYCYJNYM 1. Miejscem tworzenia, uzupełniania, przechowywania dokumentacji dotyczącej przetwarzania danych osobowych sposobem tradycyjnym są pomieszczenia w szkole: sekretariat, pokój nauczycielski, gabinet dyrektora, pomieszczenie pedagoga, biblioteka, świetlica, klasy lekcyjne. 6

7 2. Osoby prowadzące dokumentację zobowiązane są do zachowania tajemnicy służbowej. 3. Dokumentacji, o której mowa w punkcie 1.1. nie można wynosić poza teren szkoły. 4.Dokumentację, o której mowa w punkcie 1.1. archiwizuje się zgodnie z Instrukcją kancelaryjną. 5. Osoby prowadzące dokumentację zobowiązane są do niezwłocznego poinformowania Dyrektora szkoły, o podejrzeniu dostępu do dokumentacji przez osoby nieupoważnione. Instrukcja obowiązuje od dnia r. Załączniki do instrukcji: a) załącznik nr 1 upoważnienie do obsługi systemu ręcznego i informatycznego zbiorów b) załącznik nr 2 oświadczenie dotyczące ochrony danych osobowych c) załącznik nr 3- opis systemu informatycznego, zawierający wykaz programów 7

8 Załącznik nr 1 UPOWAŻNIENIE NR Z DN.. Na podstawie: ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002r. Nr 101 poz.926 ze zm.) upoważniam Panią zatrudnioną w Publicznym Gimnazjum w Nowem na stanowisku do obsługi systemu ręcznego i informatycznego następujących zbiorów Numer zbioru Nazwa zbioru zakres Zbiór 1 Księga druków ścisłego zarachowania. Zbiór 2 Akta osobowe pracowników Zbiór 3 Ewidencja zwolnień lekarskich pracowników. Zbiór 4 Księga zastępstw nauczycieli. Zbiór 5 Protokoły Rady Pedagogicznej Zbiór 6 Ewidencja urlopów pracowników niepedagogicznych. Zbiór 7 Ewidencja osób korzystających z księgozbioru bibliotecznego. Zbiór 8 Ewidencja legitymacji pracowniczych. Zbiór 9 Ewidencja wydawanej pracownikom odzieży ochronnej. Zbiór 10 Rejestr delegacji służbowych. Zbiór 11 Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego. Zbiór 12 Księga ewidencji uczniów. Zbiór 13 Księga dzieci. Zbiór 14 Dzienniki lekcyjne i pozalekcyjne. Zbiór 15 Arkusze ocen wszystkich uczniów Zbiór 16 Protokoły egzaminów klasyfikacyjnych i poprawkowych. Zbiór 17 Ewidencja wydanych legitymacji szkolnych Zbiór 18 Ewidencja wydanych świadectw ukończenia szkoły. Zbiór 19 Ewidencja duplikatów świadectw ukończenia szkoły. Zbiór 20 Rejestr wypadków uczniów. Zbiór 21 Zbiór upoważnień. Zbiór 22 Archiwum ( akta osobowe pracowników, księgi arkuszy ocen, dzienniki lekcyjne). Zbiór 23 Arkusz organizacji roku szkolnego. Zbiór 24 Dziennik pedagoga szkolnego Zbiór 25 Dziennik psychologa szkolnego Zbiór 26 Rejestr zwolnień z obowiązkowych zajęć Zbiór 27 Ewidencja zasobów szkoły -SIO Zbiór 28 Ewidencja osób przystępujących do egzaminów zewnętrznych - HERMES Zbiór 29 Orzeczenia, opinie i zaświadczenia z PPP Zbiór 30 Ewidencja decyzji administracyjnych dyrektora szkoły skreślenie z listy Zbiór 31 Deklaracje nie uczęszczania na religię, sprzeciw od zajęć wychowania do życia w rodzinie Zbiór 32 Rejestr zaświadczeń wydawanych pracownikom szkoły i uczniom Zbiór 33 Kontrola wewnętrzna protokoły, notatki i itp... /podpis dyrektora szkoły/ 8

9 Załącznik nr 2 OŚWIADCZENIE Oświadczam, że zapoznałem się z przepisami prawa dotyczącymi ochrony danych osobowych, a w szczególności ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002r. Nr 101 poz.926 ze zm.) oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz.U. z 2004 r. Nr 100, poz.1024) i zobowiązuję się do ich przestrzegania. Oświadczam ponadto, że zapoznałem(łam) się z wewnętrzną Instrukcją określającą sposób zarządzania systemem informatycznym i ręcznym, służącym przetwarzaniu danych osobowych i instrukcją naruszania ochrony danych osobowych. Świadomy(a) odpowiedzialności porządkowej i karnej oświadczam, że znane mi dane osobowe będę przetwarzać zgodnie z prawem i nie dopuszczę do bezprawnego naruszenia tajemnicy również w sytuacji, gdy ustanie zatrudnienie w Publicznym Gimnazjum w Nowem. Otrzymałem(łam) dnia... /podpis pracownika/. / oświadczenie odebrał/ 9

10 Załącznik nr 3 OPIS SYSTEMU INFORMATYCZNEGO ZAWIERAJĄCY WYKAZ PROGRAMÓW Lp. Nazwa programu (systemu) Ilość Wersja Data rozpoczęcia Opis licencji oprogramowania eksploatacji Producent 1 Microsoft Office stacja robocza (P-N) Październik 2011r. Microsoft 2 Microsoft Office stacja robocza (P-Informatyczna) Wrzesień 2008r. Microsoft 3 Microsoft Office stacja robocza (Biblioteka) Grudzień 2005r. Microsoft 4 Microsoft Office stacja robocza (P-Polonistyczna II) Listopad 2005r. Microsoft 5 Microsoft Office stacja robocza (Dyrektor) 2003r. Microsoft 6 CorelDraw stacja robocza (P-Informatyczna), program graficzny Październik 2009r. 7 Cenzor 7 8 Opiekun ArcaVir Spiżarnia Wikt SIO e-pfron Hermes Cenzurka 2011 Stacja robocza (biblioteka 4, świetlica 3), kontrola nad korzystaniem z zasobów Internetu. stacja robocza (P-Informatyczna, polonistyczny II) kontrola nad korzystaniem z zasobów Internetu. Stacje robocze + serwery - na potrzeby szkoły, program antywirusowy stacja robocza (Sekretariat), system magazynowy stacja robocza (Sekretariat), umożliwia zaplanowanie, ułożenie jadłospisu z uwzględnieniem kaloryczności stacja robocza (Sekretariat), baza danych uczniów, pracowników szkoły stacja robocza (Sekretariat), baza danych uczniów stacja robocza (Dyrektor), zgłoszenie uczniów na egzamin gimnazjalny Stacje robocze + sekretariat arkusze na potrzeby szkoły, świadectwa, cenzurki, arkusze ocen Grudzień 2005r. Wrzesień 2008r. Czerwiec 2011r. Marzec 2005r. Sierpień 2007r. ANCOM SoftStory ArcaBit Net-Komp Net-Komp QNT Systemy Informatyczne PFRON 2007 r. Astar 05 10

11 11