POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE. KUTNO 2013r.

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE KUTNO 2013r.

2 SPIS TREŚCI I. PODSTAWA PRAWNA... 2 II. POSTANOWIENIA OGÓLNE... 2 III. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 3 IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI... 3 V. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM... 3 PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH... 3 VI. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA... 4 VII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W FORMIE TRADYCYJNEJ... 5 VIII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH... 6 IX. DOSTĘP DO INFORMACJI... 6 X. POMIESZCZENIA LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR,... 6 W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE... 6 XI. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI... 6 XII. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH... 7 XIII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE... 7 XIV. SPIS ZAŁĄCZNIKÓW

3 I. PODSTAWA PRAWNA Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2002r. Nr 101 poz. 926 z późn. zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024) II. POSTANOWIENIA OGÓLNE 1 1. Regulamin niniejszy określa tryb i zasady ochrony danych osobowych przetwarzanych w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie, zwanym dalej Szkołą. 2. Ilekroć w regulaminie jest mowa o: a) Szkole rozumie się przez to Zespół Szkół Nr 1 im. Stanisława Staszica w Kutnie b) zbiorze danych osobowych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; c) danych osobowych - rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; d) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; e) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych; f) systemie tradycyjnym - rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze; g) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; h) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; i) administratorze danych osobowych - w świetle art. 3 i 7 pkt 4 ustawy o ochronie danych osobowych rozumie się przez to Dyrektora Szkoły, który decyduje o celach i środkach przetwarzania danych osobowych; j) administratorze bezpieczeństwa informacji - rozumie się przez to osobę wyznaczoną przez Dyrektora Szkoły, nadzorującą przestrzeganie zasad ochrony danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem oraz upoważnioną do realizacji zadań związanych z zarządzaniem systemem informatycznym; k) użytkowniku systemu informatycznego - rozumie się przez to upoważnionego przez Dyrektora Szkoły, wyznaczonego do przetwarzania danych osobowych w systemie informatycznym pracownika, który odbył stosowne szkolenie w zakresie ochrony tych danych; l) zgodzie osoby, której te dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie - zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. 2

4 III. DEFINICJA BEZPIECZEŃSTWA INFORMACJI 2 1. Utrzymanie bezpieczeństwa przetwarzanych przez Szkołę informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie 2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji: 1) Poufność informacji rozumiana jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji, 2) Integralność informacji rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania, 3) Dostępność informacji rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne, 4) Zarządzanie ryzykiem rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych. 3. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem: 1) Niezaprzeczalności odbioru rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie, 2) Niezaprzeczalności nadania rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie, 3) Rozliczalności działań rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał. IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI 3 1. Dokumenty Polityki Bezpieczeństwa Informacji ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji. 2. Zestaw dokumentów Polityki Bezpieczeństwa Informacji składa się z: 1) Niniejszego dokumentu Polityki Bezpieczeństwa Informacji, 2) Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania systemami przetwarzania danych osobowych w Szkole, 3) Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, opisującej tryb postępowania w sytuacjach naruszenia zabezpieczenia zasobów danych osobowych, zaobserwowanych prób naruszenia tego zabezpieczenia, a także uzasadnionego podejrzenia o przygotowywanej próbie naruszenia. V. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH 4 1. Dane osobowe w Szkole są gromadzone, przechowywane, edytowane, archiwizowane w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych Szkoły na dokumentach papierowych, jak również w systemach informatycznych na elektronicznych nośnikach informacji. 2. Powyższy dokument wprowadza regulacje w zakresie zasad organizacji procesu przetwarzania i odnosi się swoją treścią do informacji: a) w formie papierowej - przetwarzanej w ramach SYSTEMU TRADYCYJNEGO; 3

5 b) w formie elektronicznej - przetwarzanej w ramach SYSTEMU INFORMATYCZNEGO; 3. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator Danych Osobowych. 4. Z zapisanymi w polityce bezpieczeństwa obowiązkowo są zapoznawani wszyscy użytkownicy systemów informatycznych i tradycyjnych. 5. Do informacji przechowywanych w systemach informatycznych jak i dokumentów tradycyjnych mają dostęp jedynie upoważnieni pracownicy Szkoły oraz osoby mające imienne zarejestrowane upoważnienie. 6. Wszyscy pracownicy zobowiązani są do zachowania tych danych w tajemnicy. 7. Dopuszczalny sposób i zakres przetwarzania danych osobowych regulują zapisy ustaw kompetencyjnych, szczegółowych właściwych dla komórek organizacyjnych Szkoły. 8. Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności przetwarzanych danych. 9. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe, są chronione odpowiednimi środkami technicznymi. 10. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom. 11. Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu korzystania z usług systemów informatycznych. 12. Do przetwarzania zbiorów danych osobowych w systemie informatycznym Szkoły stosowane są pakiety biurowe lub specjalizowane aplikacje (programy): 13. Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania danych stanowi załącznik nr 1 i 2 do niniejszego regulaminu VI. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA 5 1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych osobowych odpowiada Administrator Danych Osobowych. 2. Administrator Danych Osobowych obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinni zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 3. Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony. Imienne upoważnienie udzielane jest w formie pisemnej i stanowi załącznik nr 3 do niniejszego regulaminu. 4. Administrator Danych Osobowych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Prowadzi również ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: a) imię, nazwisko i stanowisko osoby upoważnionej b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych/nazwę użytkowanego programu (aplikacji). 5. Upoważnienie do przetwarzania danych osobowych wydawane przez Administratora Danych Osobowych pracownikom Szkoły stanowi załącznik nr Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi załącznik nr 5 do niniejszego regulaminu. 7. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 8. Oświadczenie o zapewnieniu ochrony danych osobowych stanowi załącznik nr 6 do niniejszego regulaminu. 4

6 6 1. Administrator Bezpieczeństwa Informacji wykonuje wszystkie prace niezbędne do efektywnego oraz bezpiecznego zarządzania systemami informatycznymi i tradycyjnymi. 2. Administrator Bezpieczeństwa Informacji jest zobowiązany do zapewnienia, poprzez zastosowanie odpowiednich środków i metod kontroli dostępu, iż wyłącznie autoryzowany personel ma dostęp do systemów informatycznych i tradycyjnych. Ponadto, w uzgodnieniu z Administratorem Danych Osobowych, przydziela użytkownikom systemu informatycznego konta i hasła oraz określa warunki i sposób ich przydzielania. 3. Administrator Bezpieczeństwa Informacji posiada bieżącą listę osób upoważnionych do przetwarzania danych osobowych. 4. Szczegółowy zakres odpowiedzialności i obowiązków Administratora Bezpieczeństwa Informacji jest następujący: a) nadzoruje bezpieczeństwo systemów informatycznych i tradycyjnych; b) zapewnia aktualizację oprogramowania i dokumentacji technicznej systemu w tym opis struktur zbiorów i ich zależności c) nadzoruje przestrzeganie przez wszystkich użytkowników stosowanie obowiązujących procedur; d) weryfikuje listę autoryzowanych użytkowników systemów informatycznych; e) doradza użytkownikom w zakresie bezpieczeństwa; f) zapewnia, aby cały personel posiadający dostęp do systemu posiadał stosowne zezwolenia oraz był przeszkolony w zakresie obowiązujących regulacji bezpieczeństwa; g) przygotowuje i prowadzi EwidencjĘ osób biorących udział w przetwarzaniu danych osobowych"; h) prowadzi kontrole w zakresie bezpieczeństwa. 7 Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej pracy na stanowisku pracy również z wykorzystaniem stacji roboczej. Jest odpowiedzialny przed Administratorem Bezpieczeństwa Informacji za nadzór i utrzymanie niezbędnych warunków bezpieczeństwa w szczególności do przestrzegania procedur dostępu do systemu i ochrony danych osobowych. VII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W FORMIE TRADYCYJNEJ 8 1. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. 2. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. 3. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. 4. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. 5. Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Szkole powinno odbywać się po uzyskaniu upoważnienia lub skonsultowane z ABI w przypadku osób upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących przepisów. 5

7 VIII. BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH 9 Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji Zarządzania Systemem Informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemu informatycznego Szkoły. IX. DOSTĘP DO INFORMACJI 10 Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Szkole zasad ochrony danych osobowych. 11 Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych. 12 Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur postępowania. X. POMIESZCZENIA LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE 13 Obszarem do przetwarzania danych osobowych z użyciem sprzętu komputerowego są: 1. sekretariat, 2. gabinet dyrektora, 3. gabinety wicedyrektorów, 4. gabinet pedagoga 5. gabinet psychologa szkolnego, 6. biblioteka szkolna, 7. pokój nauczycielski, 8. pokój księgowości, 9. wszystkie sale lekcyjne wyposażone na stanowiskach nauczycielskich w komputery Pomieszczenia te zabezpieczone są w następujący sposób: portier, firma ochroniarska, zamki, szkolny monitoring. XI. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi Szkoły, winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych. 2. Przekazywanie informacji w systemie informatycznym poza sieć lokalną Szkoły, w miarę możliwości, powinno odbywać się w sposób szyfrowany. 6

8 XII. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH Dostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają jedynie Administrator Danych Osobowych, upoważnieni pracownicy oraz Administrator Bezpieczeństwa Informacji zapewniający jego prawidłową eksploatację. 2. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do zachowania tych danych w tajemnicy. 3. Ochronie podlegają dane osobowe gromadzone i przetwarzane w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w urządzeniach i systemie informatycznym Szkoły; 4. Pomieszczenia, w których przetwarza się dane osobowe powinny być fizycznie zabezpieczone przed dostępem osób nieuprawnionych, to znaczy posiadać odpowiednie zamki do drzwi, zabezpieczenia w oknach (w szczególności na parterze) oraz być wyposażone w środki ochrony ppoż. (gaśnice); 5. Dokumenty i nośniki informacji, zawierające dane osobowe powinny być zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych. Jeśli nie są aktualnie używane powinny być przechowywane w szafach lub w innych przeznaczonych do tego celu urządzeniach biurowych, posiadających odpowiednie zabezpieczenia. 17 XIII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE 18 Zasady archiwizacji i brakowania dokumentów reguluje Rozporządzenie Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikacji i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz. 1375). 7

9 XIV. SPIS ZAŁĄCZNIKÓW Załącznik Nr 1 Załącznik Nr 2 wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych opis struktury zbiorów danych osobowych Załącznik Nr 3 upoważnienie Administratora Bezpieczeństwa Informacji Załącznik Nr 4 upoważnienie do przetwarzania danych osobowych Załącznik Nr 5 ewidencja osób upoważnionych do przetwarzania danych osobowych Załącznik Nr 6 oświadczenia osób upoważnionych o zaznajomieniu się z zasadami zachowania bezpieczeństwa danych 8

10 Załącznik Nr 1 do Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych ZBIÓR DANYCH OSOBOWYCH PROGRAM SŁUZĄCY DO PRZETWARZANIA ZBIORU DANYCH Płatnik (ZUS) Pracownicy Płace (QWARK) Organizacja roku szkolnego (VULCAN) SIO (MEN) Uczniowie HERMES (OKE) SIO (MEN) 9

11 Załącznik Nr 2 do Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie Opis struktury zbiorów danych osobowych 1. Zbiory danych przetwarzanych w systemach informatycznych ZBIÓR DANYCH OSOBOWYCH Pracownicy Uczniowie PROGRAM INFORMATYCZNY SŁUZĄCY DO PRZETWARZANIA ZBIORU DANYCH Płatnik Płace SIO HERMES SIO STRUKTURA DANYCH PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia PESEL/ imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres/ numer telefonu/ / dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/ numer legitymacji służbowej/ posiada gospodarstwo rolne/ emeryt/ rencista/ obywatelstwo obce/ osoba kontaktowa/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ staż pracy/ tytuł zawodowy/ nieobecności w pracy/ numer konta bankowego PESEL/ płeć/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/ zawód wyuczony i wykonywany/ uzyskane kwalifikacje/ nieobecności w pracy PESEL/ imię i nazwisko/ data i miejsce urodzenia/ płeć/adres /numer telefonu PESEL/ imię i nazwisko/ data i miejsce urodzenia/ adres 10

12 2. Zbiory danych przetwarzanych tradycyjnie ZBIÓR DANYCH OSOBOWYCH Pracownicy DOKUMENTACJA SŁUŻĄCA DO PRZETWARZANIA ZBIORU DANYCH Akta osobowe Ewidencja akt osobowych Orzeczenia lekarskie do celów sanitarnoepidemiologicznych Oświadczenia i wnioski do funduszu socjalnego Listy płac Karty zasiłkowe Karty zarobkowe Informacje o zarobkach (PIT-y) Zaświadczenia Dokumentacja ubezpieczeniowa Protokoły powypadkowe Arkusz organizacyjny Dokumentacja awansu zawodowego nauczycieli STRUKTURA DANYCH PESEL/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ płeć/ adres/ numer telefonu/ / dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/ stosunek do służby wojskowej (dokument wojskowy, seria i numer, stopień wojskowy)/ numer legitymacji służbowej/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/ zawód wyuczony i wykonywany/ uzyskane kwalifikacje/ nieobecności w pracy imię i nazwisko/ data i miejsce urodzenia/ adres PESEL/ imię i nazwisko/ adres/ informacje o stanie zdrowia imię i nazwisko/ adres/ wysokość zarobków PESEL/ imię i nazwisko/ stanowisko/ numer konta bankowego PESEL/ NIP/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/okresy niezdolności do pracy PESEL/ NIP/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/ wysokość zarobków/ warunki pracy (wymiar etatu, okres umowy) PESEL/ NIP/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/wysokość zarobków PESEL/ NIP/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/ wysokość zarobków/ warunki pracy PESEL/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/ informacje o stanie zdrowia imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/ informacje o stanie zdrowia PESEL/ imię i nazwisko/ staż pracy/ historia pracy (kary, nagrody)/ tytuł zawodowy/ ukończone kursy/ uzyskane kwalifikacje/ zawód wyuczony i zawód wykonywany/ warunki zatrudnienia/ nieobecności w pracy imię i nazwisko/ data i miejsce urodzenia/ adres/ wykształcenie/ historia pracy/ uzyskane kwalifikacje 11

13 Uczniowie Dokumentacja uczniów zaświadczenia dokumentacja egzaminu maturalnego i zawodowego dokumentacja kandydatów Księga uczniów Arkusze ocen Dzienniki lekcyjne Księga wydanych legitymacji i legitymacje Rejestr zaświadczeń i zaświadczenia Księga absolwentów Świadectwa i duplikaty Dokumentacja ubezpieczeniowa Protokoły powypadkowe Karta zdrowia ucznia Karty szczepień Karty biblioteczne PESEL/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ płeć/ adres/ numer telefonu/ / dowód osobisty (seria, nr i rodzaj, wydany przez, data wydania)/ imię i nazwiska rodziców(opiekunów prawnych), adresy rodziców (opiekunów prawnych)/ stan cywilny/ numer legitymacji szkolnej/ obywatelstwo obce/ osoba kontaktowa/ wykształcenie/ historia nauki/ nazwa szkoły i rok ukończenia PESEL/ imię i nazwisko/ nazwisko rodowe/data i miejsce urodzenia/ płeć/ adres imię, nazwiska i adresy rodziców (opiekunów prawnych) PESEL/ imię i nazwisko/ nazwisko rodowe/data i miejsce urodzenia/ płeć/ adres (miejscowość, ulica, numer domu, numer mieszkania)/ numer telefonu/ imiona i nazwiska rodziców (opiekunów prawnych), adresy i numer telefonu rodziców (opiekunów prawnych)/ PESEL/ imię i nazwisko/ nazwisko rodowe/data i miejsce urodzenia/ płeć/ adres (miejscowość, ulica, numer domu, numer mieszkania)/ numer telefonu/ imiona i nazwiska rodziców (opiekunów prawnych), adresy i numer telefonu rodziców (opiekunów prawnych)/ nieobecności w szkole imię i nazwisko/data urodzenia/ adres/ klasa/ numer legitymacji imię i nazwisko/ data i miejsce urodzenia/ adres/ klasa imię i nazwisko/ numer w księdze uczniów/ numer świadectwa/ data ukończenia szkoły PESEL/ imię i nazwisko/ data i miejsce urodzenia/ data wydania/ uzyskane oceny PESEL/ imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres imię i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ adres/ informacje o stanie zdrowia PESEL/ imię i nazwisko/ data i miejsce urodzenia/ adres/ imiona rodziców/ informacje o stanie zdrowia PESEL/ imię i nazwisko/ data i miejsce urodzenia/ adres/ imiona rodziców/ informacje o stanie zdrowia imię i nazwisko/ data i miejsce urodzenia/ adres 12

14 Załącznik Nr 3 do Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie (pieczęć Szkoły) Kutno, dnia.20. r. UPOWAŻNIENIE Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024) upoważniam Pana/Panią:.... do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie wynikających z przepisów ustawy z r. o ochronie danych osobowych (Dz. U. nr 101, poz. 926, z 2002 r.) oraz aktów wykonawczych wydanych na jej podstawie. Jednocześnie upoważniam Pana/Panią do dostępu do zbiorów danych osobowych prowadzonych w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie, ich przetwarzania i kontrolowania pracowników zatrudnionych przy jego przetwarzaniu, a także do ich przetwarzania w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych. Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie. Podstawa prawna: art. 39 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (D. U. z 2002r. nr 101, poz. 926 ze zm.)... (podpis dyrektora szkoły) 13

15 Załącznik Nr 4 do Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie (pieczęć Szkoły) UPOWAŻNIENIE nr /20 do przetwarzania danych osobowych Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 10 poz. 926 z późn. zm.) upoważniam Panią/Pana zatrudnioną (ego) w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie na stanowisku... do przetwarzania danych osobowych zgromadzonych w formie tradycyjnej oraz w systemach informatycznych w okresie od dnia r. do dnia r. w zakresie określonym w obowiązkach służbowych. Wyżej wymieniona osoba została wpisana do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w Szkole. (podpis dyrektora szkoły) 14

16 Załącznik Nr 5 do Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie (pieczęć Szkoły ) REJESTR OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCHOSOBOWYCH Lp. Nazwisko i imię użytkownika Identyfikator użytkownika* Zakres upoważnienia do przetwarzania danych osobowych Data nadania uprawnień i podpis ABI Data odebrania uprawnień i podpis ABI Uwagi Dane aktualne na dzień:... Sporządził:... * Wypełnia się tylko dla osób upoważnionych do przetwarzania danych osobowych, które zostały dopuszczone do przetwarzania danych osobowych w systemie informatycznym 15

17 Załącznik Nr 6 do Polityki bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie Kutno, dnia.20. r.... (imię i nazwisko)... (stanowisko) OŚWIADCZENIE o zachowaniu poufności i zapoznaniu się z przepisami Ja niżej podpisany/a oświadczam, iż zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których mam lub będę miał/a dostęp w związku z wykonywaniem zadań i obowiązków służbowych wynikających ze stosunku pracy, zarówno w czasie trwania umowy, jak i po jej ustaniu. Oświadczam, że zostałem/am poinformowany/a o obowiązujących w Szkole zasadach dotyczących przetwarzania danych osobowych, określonych w Polityce bezpieczeństwa informacji w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie i zobowiązuję się ich przestrzegać. W szczególności oświadczam, że bez upoważnienia nie będę wykorzystywał/a danych osobowych ze zbiorów znajdujących się w Szkole. Zostałem/am zapoznany/a z przepisami Ustawy o ochronie danych osobowych (Dz. U r. Nr 101 poz. 926 z późn. zm.) oraz Rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024). Poinformowano mnie również o grożącej, stosownie do przepisów rozdziału 8 Ustawy o ochronie danych osobowych odpowiedzialności karnej. Niezależnie od odpowiedzialności przewidzianej w wymienionych przepisach, mam świadomość, ze złamanie zasad ochrony danych osobowych, obowiązujących w Zespole Szkół Nr 1 im. Stanisława Staszica w Kutnie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną... (podpis pracownika 16