POLITYKA BEZPIECZEŃSTWA

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ KOMUNIKACJI IM. HIPOLITA CEGIELSKIEGO POZNAŃ, UL. FREDRY 13 Data i miejsce sporządzenia dokumentu: Poznań, 17 /01/2017 Ilość stron:

2 SPIS TREŚCI SPIS TREŚCI Wstęp Informacje ogólne Zakres informacji objętych Polityką Bezpieczeństwa oraz zakres zastosowania Wyjaśnienie terminów używanych w dokumencie Polityki Bezpieczeństwa Osoby odpowiedzialne za ochronę danych osobowych Informacje ogólne Administrator Danych Administrator Bezpieczeństwa Informacji Administrator Systemów Informatycznych OSOBY UPOWAŻNIONE do PRZETWARZANIA danych osobowych Upoważnienie do przetwarzania danych osobowych Umowy powierzenia przetwarzania danych osobowych Ogólne zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych instrukcja postępownia w sytuacji naruszenia ochrony danych osobowych Kontrola przetwarzania i stanu zabezpieczenia danych osobowych Opis struktury zbiorów danych Sposób przepływu danych osobowych pomiędzy systemami informatycznymi Obszar, w którym przetwarzane są dane osobowe Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych Środki techniczne Środki organizacyjne Załączniki Środki techniczne Środki organizacyjne Strona 2 z 30

3 1. WSTĘP 1.1. INFORMACJE OGÓLNE 1. Wskazanie Administratora Danych, który wdraża Politykę Bezpieczeństwa. Administratorem Danych Osobowych w Zespole Szkół Komunikacji im. Hipolita Cegielskiego w Poznaniu jest dyrektor szkoły, mgr inż. Ryszard Pyssa 2. Wyjaśnienie celu wprowadzania dokumentu. Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania ADMINISTRATORA DANYCH z Ustawą o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi. 3. Wskazanie podstaw prawnych. a. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U nr 133 poz. 883), b. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U nr 100 poz. 1024), c. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U nr 0 poz. 719), Strona 3 z 30

4 1.2. ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA ORAZ ZAKRES ZASTOSOWANIA 1. Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. 2. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe: a. Budynek szkoły, przy ul. Fredry 13 w Poznaniu: i. Pomieszczenie 10 pedagog i Psycholog, ii. Pomieszczenie 11 gabinet Pielęgniarki, iii. Pomieszczenie 12 - Księgowość, iv. Pomieszczenie 12b Sekretariat, v. Pomieszczenie 13 gabinet Dyrektora vi. Pomieszczenie 14 Biblioteka, vii. Pomieszczenia 25 i 35 gabinety Wicedyrektorów b. Budynek internatu, przy ul. Czajczej 14 w Poznaniu: i. Pomieszczenie 115 gabinet Kierownika, ii. Recepcja. 3. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych: a. Dane osobowe uczniów, absolwentów i ich rodziców: i. Dziennik lekcyjny UONET+, ii. Sekretariat uczniowski UONET+, iii. Platforma zarządzania oświatą Urzędu Miasta Poznania - System PABS z podsystemami PABS, ROKO, PABS Uczniowie, iv. System Nabór Poznańskiego Centrum Superkomputerowo Sieciowego wspomagający informatycznie nabór do szkół, v. System biblioteczny MOL Optivum, Strona 4 z 30

5 vi. System egzaminacyjny Okręgowej Komisji Egzaminacyjnej w Poznaniu, vii. System Narodowego Funduszu Zdrowia KSPPS i SZOI b. Dane osobowe pracowników: i. Platforma zarządzania oświatą Urzędu Miasta Poznania - System PABS, ii. Platforma banku ipko biznes obsługa kont bankowych, iii. System płacowy Qwark, iv. System rozliczeń rocznych pracowników - Qdeklaracje v. System rozliczeniowy ZUS Płatnik, vi. Rozliczanie czasu pracy system bibi, vii. system kadrowy Kadry Optivum, viii. System Informacji Oświatowej SIO, ix. System biblioteczny MOL Optivum. 4. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi: a. System Dziennik lekcyjny / Sekretariat UONET+: i. Nazwiska i imiona ucznia / absolwenta, ii. Nazwiska i imiona rodziców / opiekunów prawnych, iii. PESEL ucznia / absolwenta, iv. Data i miejsce urodzenia ucznia / absolwenta, v. Numer i serię dowodu osobistego ucznia / absolwenta, vi. Numer telefonu ucznia / absolwenta, vii. Adres ucznia / absolwenta, viii. Adres zamieszkania / zameldowania ucznia / absolwenta, ix. Adres zamieszkania / zameldowania rodziców / opiekunów prawnych, x. Adres rodziców / opiekunów prawnych, xi. Numer telefonu rodziców / opiekunów prawnych, xii. Kariera ucznia / absolwenta, xiii. Uprawnienia zawodowe ucznia / absolwenta, Strona 5 z 30

6 xiv. Orzeczenia i opinie poradni pedagogiczno-psychologicznych ucznia / absolwenta, xv. Nazwiska i imiona pracowników pedagogicznych wraz z przydziałem czynności. b. Platforma zarządzania oświatą Urzędu Miasta Poznania PABS i. Nazwiska i imiona pracowników, ii. PESEL pracownika, iii. Zakres czynności pracownika, iv. Składniki wynagrodzenia pracownika, v. Nazwiska i imiona uczniów. c. System Nabór Poznańskiego Centrum Superkomputerowego Sieciowego wspomagający informatycznie nabór do szkół. i. PESEL kandydata, ii. Nazwisko i imiona kandydata, iii. Adres kandydata, iv. Numer telefonu kandydata, v. Adres zamieszkania kandydata, vi. Nazwiska i imiona rodziców / opiekunów prawnych, vii. Adres zamieszkania rodziców / opiekunów prawnych, viii. Numery telefonów rodziców / opiekunów prawnych d. System MOL Optivum i. Nazwisko i imiona uczniów / absolwentów, ii. Nazwisko i imiona pracowników. e. System egzaminacyjny Okręgowej Komisji Egzaminacyjnej w Poznaniu i. Nazwiska i imiona ucznia / absolwenta, ii. PESEL ucznia / absolwenta, iii. Data i miejsce urodzenia ucznia / absolwenta, iv. Numer i serię dowodu osobistego ucznia / absolwenta, v. Numer telefonu ucznia / absolwenta, vi. Adres ucznia / absolwenta, vii. Adres zamieszkania / zameldowania ucznia / absolwenta, Strona 6 z 30

7 viii. Kariera ucznia / absolwenta, ix. Uprawnienia zawodowe ucznia / absolwenta, x. Orzeczenia i opinie poradni pedagogiczno-psychologicznych ucznia / absolwenta, f. System Narodowego Funduszu Zdrowia i. Nazwisko i imiona uczniów, ii. PESEL uczniów iii. Data urodzenia uczniów. g. Platforma banku ipko biznes obsługa kont bankowych: i. Nazwiska i imiona pracowników, ii. Adres zamieszkania pracowników, iii. Numery kont bankowych pracowników. h. System rozliczeń rocznych pracowników Qdeklaracje i. Nazwiska i imiona pracowników, ii. Adres zamieszkania pracowników, iii. PESEL pracowników. i. System płacowy Qwark i. Nazwisko i imię pracownika, ii. Adres zamieszkania pracownika, iii. PESEL pracownika, iv. NIP pracownika, v. Numer dowodu osobistego pracownika. j. System rozliczeniowy ZUS Płatnik i. Nazwisko i imię pracownika, ii. Adres zamieszkania pracownika, iii. PESEL pracownika, iv. NIP pracownika, v. Zwolnienia lekarskie pracownika, vi. Składki ZUS pracownika. k. System bibi rozliczanie czasu pracy Strona 7 z 30

8 i. Nazwisko i imiona pracownika, ii. Czas pracy pracownika. l. System Kadrowy Kadry Optivum i. Nazwisko i imię pracownika, ii. Data i miejsce urodzenia pracownika, iii. Numer dowodu osobistego pracownika, iv. NIP pracownika, v. Obywatelstwo pracownika, vi. Adres zamieszkania pracownika, vii. Dane rodziny (dzieci) pracownika 1. Nazwisko i imiona, 2. PESEL, 3. Data urodzenia. m. System Informacji Oświatowej SIO i. PESEL pracownika, ii. Wynagrodzenie pracownika, Strona 8 z 30

9 5. Sposób przepływu danych pomiędzy poszczególnymi systemami. System ipko biznes System bibi System egzaminacyjny OKE w Poznaniu System PŁATNIK System Płacowy QWARK System Qdeklaracje System Zarządzania Oświatą UM Poznania PABS System Informacji Oświatowej SIO Dziennik / Sekretariat UONET+ System Nabór PCSS System Kadry Optivum System NFZ System MOL Optivum Strona 9 z 30

10 6. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. a. zabezpieczenia techniczne: i. zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi), ii. dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych, iii. dane w formie papierowej przechowywane są w zamkniętej, niemetalowej szafie, kopie zapasowe/archiwalne danych osobowych przechowywane są w sejfie, iv. dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów, v. dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła vi. zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity vii. użyto system Firewall do ochrony dostępu do sieci komputerowej viii. dostęp do danych osobowych w systemie informatycznym wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, ix. zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do systemu służącego do przetwarzania danych, x. zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. b. zabezpieczenia organizacyjne: i. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych ii. prowadzona jest ewidencja osób upoważnionych do przetwarzania danych, iii. została opracowana i wdrożona polityka bezpieczeństwa, iv. została opracowana i wdrożona instrukcja zarządzania systemem informatycznym, v. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych, vi. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego, vii. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy, viii. wykonywane są kopie bezpieczeństwa danych osobowych. Strona 10 z 30

11 1.3. WYJAŚNIENIE TERMINÓW UŻYWANYCH W DOKUMENCIE POLITYKI BEZPIECZEŃSTWA 1. ustawa - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. Nr 133 poz. 883 z późn. zm.), zwaną dalej ustawą", 2. rozporządzenie rozumie się przez to rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz z późn. zm.), zwane dalej rozporządzeniem, 3. dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 4. polityka bezpieczeństwa dokument polityki bezpieczeństwa w rozumieniu 1 pkt 1 rozporządzenia, zwaną dalej polityką, 5. instrukcja zarządzania systemem informatycznym dokument instrukcji zarządzania systemem informatycznym w rozumieniu 1 pkt 1 rozporządzenia, zwaną dalej instrukcją, 6. zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 7. przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 8. system informatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 9. zabezpieczenie danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 10. usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 11. administrator danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych osobowych, 12. zgoda osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści 13. odbiorca danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a. osoby, której dane dotyczą, b. osoby upoważnionej do przetwarzania danych, c. przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych, d. podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych, e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, Strona 11 z 30

12 14. państwo trzecie - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego 15. identyfikator użytkownika - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 16. hasło - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 17. sieć telekomunikacyjna - rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.), 18. sieć publiczna - rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne, 19. telentransmisja - rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 20. rozliczalność - rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 21. integralność danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 22. raport - rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 23. poufność danych - rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom, 24. uwierzytelnianie - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, Strona 12 z 30

13 2. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH 2.1. INFORMACJE OGÓLNE Zgodnie z postanowieniami Ustawy, Rozporządzenia, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi, w Zespole Szkół Komunikacji im. Hipolita. Cegielskiego w Poznaniu odpowiadają następujące osoby: 1. Administrator Danych Osobowych. 2. Administrator Bezpieczeństwa Informacji. 3. Administrator Systemów Informatycznych. 4. Osoby świadczące usługi cywilnoprawne na rzecz Administratora Danych Osobowych na podstawie uzyskanego upoważnienia. 5. Instytucje świadczące usługi cywilnoprawne na rzecz Administratora Danych Osobowych na podstawie wzajemnej umowy. Strona 13 z 30

14 2.2. ADMINISTRATOR DANYCH Administratorem danych osobowych jest Zespół Szkół Komunikacji im. Hipolita Cegielskiego, mieszczący się przy ulicy Aleksandra Fredry 13 w Poznaniu, numer REGON , reprezentowany przez dyrektora szkoły. Administrator Danych Osobowych ma zapewnić w szczególności zabezpieczenie danych przed ich: 1. udostępnieniem osobom nieupoważnionym, 2. zabraniem przez osobę nieuprawnioną, 3. przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 4. prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych; 5. zgłoszenie zbiorów danych podlegających rejestracji w GIODO; 6. zgłoszenie zmian w zbiorach danych w GIODO ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI W Zespole Szkół Komunikacji im. Hipolita Cegielskiego w Poznaniu nie wyznaczono Administratora Bezpieczeństwa Informacji ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH W Zespole Szkół Komunikacji im. Hipolita Cegielskiego w Poznaniu funkcję Administratora Systemów Informatycznych pełni Bartosz Zacharski. Obowiązki i uprawnienia Administratora Systemów Informatycznych: 1. nadzór nad nadawaniem uprawnień do przetwarzania danych osobowych w systemach informatycznych, 2. nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów, 3. podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń, 4. identyfikacja i analiza zagrożeń oraz ocena ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych i tradycyjnych. Strona 14 z 30

15 2.5. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z przepisami Ustawy, Rozporządzenia, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym. 2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia. 3. Upoważnień do przetwarzania danych osobowych udziela Administrator Danych Osobowych. Strona 15 z 30

16 3. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Upoważnienie do przetwarzania danych osobowych nadaje Administrator Danych Osobowych. 2. Upoważnienie nadawane jest na wniosek dyrektora szkoły, kierownika Internatu, kierownika gospodarczego, głównej księgowej oraz kadrowej. 3. Upoważnienie ma formę pisemną, zgodną z załącznikiem 4a Polityki Bezpieczeństwa Zespołu Szkół Komunikacji im. Hipolita Cegielskiego w Poznaniu. 4. Decyzję o udzieleniu upoważnienia podejmuje dyrektor szkoły. 5. Odpowiedzialność za nadane uprawnienia ponosi dyrektor szkoły. 6. Zakres nadanych uprawnień, określają osoby wnioskujące o ich nadanie. 7. Uprawnienia nadawane są w formie pisemnej wraz z udzieleniem upoważnienia do przetwarzania danych osobowych. 8. Osoba uprawniona składa oświadczenie o zobowiązaniu się do zachowania poufności załącznik nr 5 9. Nadane upoważnienia rejestruje Administrator Danych Osobowych. 10. Rejestr upoważnień prowadzony jest w formie papierowej i stanowi załącznik do niniejszej instrukcji. 11. Login i hasło oraz zakres uprawnień do określonych zasobów danych osobowych nadaje Administrator Systemu Informatycznego, na wniosek Administratora Danych Osobowych. 12. Modyfikacji uprawnień do określonych zasobów danych osobowych dokonuje Administrator Systemu Informatycznego, na wniosek Administratora Danych Osobowych. 4. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Ustawa o ochronie danych osobowych przewiduje możliwość powierzenia przetwarzania danych osobowych przez Administratora Danych zewnętrznym podmiotom. Może się to odbywać wyłącznie na drodze umowy powierzenia, w której należy określić zbiór, który zostanie przekazany, cel tego przekazania oraz zakres planowanego przetwarzania danych przez inny podmiot. Wykaz podmiotów, którym powierzono przetwarzanie danych osobowych zawiera punkt 10 instrukcji. Strona 16 z 30

17 5. OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH 1. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych. 2. Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych. 3. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. czystego biurka. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników. 4. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek. 5. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony. 6. Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem. 7. Pracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem. Strona 17 z 30

18 6. INSTRUKCJA POSTĘPOWNIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH 1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić Administratorowi Systemów Informatycznych. 2. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych Administratora Systemów Informatycznych lub upoważnionej przez niego osoby, osoba powiadamiająca powinna: a. niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe, b. zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę, c. udokumentować wstępnie zaistniałe naruszenie, d. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Systemów Informatycznych lub osoby upoważnionej. 3. Po przybyciu na miejsce naruszenia ochrony danych osobowych, Administrator Systemów Informatycznych lub osoba go zastępująca: a. zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania b. wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem, 4. Administrator Systemów Informatycznych dokumentuje zaistniały przypadek naruszenia oraz sporządza raport według wzoru stanowiącego Załącznik nr 2 do niniejszej Instrukcji. Raport, o którym mowa powyżej Administrator Systemów Informatycznych niezwłocznie przekazuje Administratorowi Bezpieczeństwa Informacji, a w przypadku jego nieobecności osobie wyznaczonej. 5. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, Administrator Systemów Informatycznych zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych. Strona 18 z 30

19 7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH 1. Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w Zespole Szkół Komunikacji im. H. Cegielskiego w Poznaniu sprawuje Administrator Danych Osobowych oraz Administrator Systemów Informatycznych - w odniesieniu do danych osobowych przetwarzanych w systemach informatycznych służących do przetwarzania danych osobowych. 2. Czynności kontrolne przeprowadzane są dwa razy do roku. 3. Z czynności kontrolnych sporządzany jest protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynności. 4. Protokół podpisywany jest przez osoby wykonujące czynności kontrolne. Dołącza się go do dokumentacji przechowywanej u Administratora Danych Osobowych. Wzór protokołu z kontroli lub czynności sprawdzających, o których mowa w niniejszym Rozdziale stanowi Załącznik nr 10 do niniejszej Polityki. Strona 19 z 30

20 8. OPIS STRUKTURY ZBIORÓW DANYCH Nr Nazwa Systemy informatyczne Cel przetwarzania Kategoria osób Zakres przetwarzanych danych Uwagi 1. Nazwiska i imiona ucznia / absolwenta, 2. Nazwiska i imiona rodziców / opiekunów prawnych, 3. PESEL ucznia / absolwenta, 4. Data i miejsce urodzenia ucznia / absolwenta, 5. Numer i serię dowodu osobistego ucznia / absolwenta, 6. Numer telefonu ucznia / absolwenta, 7. Adres ucznia / absolwenta, 1. UONET+ Dziennik lekcyjny, Sekretariat Dokumentacja pracy szkoły Uczniowie, absolwenci, rodzice 8. Adres zamieszkania / zameldowania ucznia / absolwenta, 9. Adres zamieszkania / zameldowania rodziców / opiekunów prawnych, 10. Adres rodziców / opiekunów prawnych, 11. Numer telefonu rodziców / opiekunów prawnych, 12. Kariera ucznia / absolwenta, 13. Uprawnienia zawodowe ucznia / absolwenta, 14. Orzeczenia i opinie poradni pedagogicznopsychologicznych ucznia / absolwenta, 15. Nazwiska i imiona pracowników pedagogicznych wraz z przydziałem czynności. Strona 20 z 30

21 2. PABS PABS ROKO PABS - Uczniowie Dokumentacja pracy szkoły Pracownicy Pracownicy Uczniowie 1. Nazwiska i imiona pracowników, 2. PESEL pracownika, 3. Zakres czynności pracownika, 4. Składniki wynagrodzenia pracownika, 5. Nazwiska i imiona uczniów. 1. PESEL kandydata, 2. Nazwisko i imiona kandydata, 3. Adres kandydata, 3. System Nabór PCSS PCSS Dokumentacja pracy szkoły Uczniowie 4. Numer telefonu kandydata, 5. Adres zamieszkania kandydata, 6. Nazwiska i imiona rodziców / opiekunów prawnych, 7. Adres zamieszkania rodziców / opiekunów prawnych, 8. Numery telefonów rodziców / opiekunów prawnych 4. System biblioteczny MOL Dokumentacja pracy szkoły Uczniowie, pracownicy 1. Nazwisko i imiona uczniów / absolwentów, 2. Nazwisko i imiona pracowników. 1. Nazwiska i imiona ucznia / absolwenta, 2. PESEL ucznia / absolwenta, 5. System egzaminów zewnętrznych OKE w Poznaniu Współpraca z OKE Uczniowie, absolwenci 3. Data i miejsce urodzenia ucznia / absolwenta, 4. Numer i serię dowodu osobistego ucznia / absolwenta, 5. Numer telefonu ucznia / absolwenta, 6. Adres ucznia / absolwenta, 7. Adres zamieszkania / zameldowania ucznia / Strona 21 z 30

22 absolwenta, 8. Kariera ucznia / absolwenta, 9. Uprawnienia zawodowe ucznia / absolwenta, 10. Orzeczenia i opinie poradni pedagogicznopsychologicznych ucznia / absolwenta, 1. Nazwisko i imiona uczniów, 6. Gabinet pielęgniarki NFZ Współpraca z NFZ Uczniowie 2. PESEL uczniów 3. Data urodzenia uczniów. 1. Nazwiska i imiona pracowników, 7. Platforma bankowa ipko biznes Obsługa kont bankowych Pracownicy 2. Adres zamieszkania pracowników, 3. Numery kont bankowych pracowników. 1. Nazwisko i imię pracownika, 8. System płacowy Qwark Obliczanie składników wynagrodzenia Pracownicy 2. Adres zamieszkania pracownika, 3. PESEL pracownika, 4. NIP pracownika, 5. Numer dowodu osobistego pracownika. 9. System rozliczeń rocznych Qdeklaracje Współpraca z Urzędami Skarbowymi Pracownicy 1. Nazwiska i imiona pracowników, 2. Adres zamieszkania pracowników, 3. PESEL pracowników. 1. Nazwisko i imię pracownika, 10. System rozliczeń ZUS Płatnik Współpraca z ZUS Pracownicy 2. Adres zamieszkania pracownika, 3. PESEL pracownika, Strona 22 z 30

23 4. NIP pracownika, 5. Zwolnienia lekarskie pracownika, 6. Składki ZUS pracownika. 1. Nazwisko i imię pracownika, 2. Data i miejsce urodzenia pracownika, 3. Numer dowodu osobistego pracownika, 4. NIP pracownika, 11. System Kadrowy Kadry Optivum Dokumentacja pracy szkoły Pracownicy 5. Obywatelstwo pracownika, 6. Adres zamieszkania pracownika, 7. Dane rodziny (dzieci) pracownika a) Nazwisko i imiona, b) PESEL, c) Data urodzenia. 12. System Informacji Oświatowej SIO Współpraca z MEN Pracownicy 1. PESEL pracownika, 2. Wynagrodzenie pracownika 13. System rozliczania czasu pracy bibi Dokumentacja pracy szkoły Pracownicy 1. Nazwisko i imiona pracownika, 2. Czas pracy pracownika. Strona 23 z 30

24 9. SPOSÓB PRZEPŁYWU DANYCH OSOBOWYCH POMIĘDZY SYSTEMAMI INFORMATYCZNYMI Systemy informatyczne używane w Zespole Szkół Komunikacji im. H. Cegielskiego w Poznaniu komunikują się ze sobą drogą elektroniczną wg następującego schematu: System PŁATNIK HDD lokalnie System Qdeklaracje HDD lokalnie format *.xml dane pracowników System Płacowy QWARK HDD lokalnie format *.xml dane pracowników System Informacji Oświatowej SIO HDD lokalnie serwer KRAKFIN System Zarządzania Oświatą UM Poznania PABS format *.xml dane pracowników, uczniów, rodziców format *.xml dane pracowników serwer VULCAN Dziennik / Sekretariat UONET+ System Nabór PCSS format *.xls dane kandydatów Strona 24 z 30

25 10. OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe: 1. Budynek szkoły, przy ul. Fredry 13 w Poznaniu: a) Pomieszczenie 10 pedagog i Psycholog, b) Pomieszczenie 11 gabinet Pielęgniarki, c) Pomieszczenie 12 - Księgowość, d) Pomieszczenie 12b Sekretariat, e) Pomieszczenie 13 gabinet Dyrektora f) Pomieszczenie 14 Biblioteka, g) Pomieszczenia 25 i 35 gabinety Wicedyrektorów h) Pomieszczenie 54 - archiwum 2. Budynek internatu, przy ul. Czajczej 14 w Poznaniu: a) Pomieszczenie 115 gabinet Kierownika, b) Recepcja. Strona 25 z 30

26 Administrator Danych Uwagi Dane osobowe przetwarzane jako Administrator Danych Zespół Szkół Komunikacji im. H. Cegielskiego w Poznaniu Poznań tel Podmioty, którym Administrator Danych powierzył przetwarzanie danych osobowych Adres / lokalizacja VULCAN sp. z o.o. ul. Wołowska Wrocław tel./faks: KRAKFIN ul. Łukasiewicza Kraków tel./fax: (12) Okręgowa Komisja Egzaminacyjna w Poznaniu Poznań ul. Gronowa 22 tel Uwagi Strona 26 z 30

27 11. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH ŚRODKI TECHNICZNE Środek ochrony technicznej i fizycznej 1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). 2. Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. 3. Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy. 4. Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu. 5. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. 6. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony. 7. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. 8. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. 9. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej. 10. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. 11. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. 17. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy. 18. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. Zastosowano (TAK / NIE) TAK NIE NIE NIE TAK NIE TAK NIE NIE TAK NIE TAK TAK Uwagi Strona 27 z 30

28 ŚRODKI ORGANIZACYJNE Środek organizacyjny Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez administratora danych Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Wyznaczono Administratora Bezpieczeństwa Informacji Opracowano i wdrożono Politykę Bezpieczeństwa o której mowa w ustawie o ochronie danych osobowych Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco Zastosowano (TAK / NIE) TAK TAK NIE TAK TAK TAK TAK TAK TAK TAK Uwagi Strona 28 z 30

29 10. ZAŁĄCZNIKI Załącznik nr 1 Ustanowienie Administratora Bezpieczeństwa Informacji Załącznik nr 2 Upoważnienie Administratora Bezpieczeństwa Informacji do nadawania upoważnień Załącznik nr 3 Ustanowienie Administratora Systemów Informatycznych Załącznik nr 4a Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy o pracę Załącznik nr 4b Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy innej niż umowa o pracę Załącznik nr 5 Wzór oświadczenia o zobowiązaniu się do zachowania poufności Załącznik nr 6 Opis struktury zbiorów danych Załącznik nr 7 Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych Załącznik nr 8 Wykaz podmiotów, którym Administrator Danych powierzył przetwarzanie danych osobowych Załącznik nr 9 Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych Załącznik nr 10 Protokół z kontroli przetwarzania i stanu zabezpieczenia danych osobowych/czynności sprawdzających Dokument sporządzono: Data: / / (dd/mm/rrrr) Pełen podpis Administratora Danych: Pieczęć Miejsce: Strona 29 z 30

30 Załącznik nr 1 Ustanowienie Administratora Bezpieczeństwa Informacji Niniejszym, zgodnie z art. 36a ust. 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i dyspozycją Rozdziału 2 Polityki Bezpieczeństwa oraz reprezentując Administratora Danych NAZWA I ADRES ADMINISTRATORA DANYCH, wyznaczam Panią/Pana.. na stanowisko Administratora Bezpieczeństwa Informacji (ABI) w NAZWA ADMINISTRATORA DANYCH. Zakres obowiązków oraz warunki pełnienia funkcji Administratora Bezpieczeństwa Informacji określone są Ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 roku oraz dokumentacją z zakresu ochrony danych osobowych wdrożoną dnia / / (dd/mm/rrrr) w NAZWA ADMINISTRATORA DANYCH. DATA I PODPIS OSOBY WYZNACZONEJ NA STANOWISKO ABI DATA I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH

31 Załącznik nr 2 Upoważnienie Administratora Bezpieczeństwa Informacji do nadawania upoważnień Niniejszym, zgodnie z dyspozycją Rozdziału 2 Polityki Bezpieczeństwa oraz reprezentując Administratora Danych NAZWA I ADRES ADMINISTRATORA DANYCH, upoważniam Panią/Pana.. Administratora Bezpieczeństwa Informacji w NAZWA ADMINISTRATORA DANYCH do nadawania w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych. DATA I PODPIS OSOBY WYZNACZONEJ NA STANOWISKO ABI DATA I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH

32 Załącznik nr 3 Ustanowienie Administratora Systemów Informatycznych Niniejszym, zgodnie z dyspozycją Rozdziału 2 Polityki Bezpieczeństwa oraz reprezentując Administratora Danych NAZWA I ADRES ADMINISTRATORA DANYCH, wyznaczam Panią/Pana.. na stanowisko Administratora Systemów Informatycznych (ASI) w NAZWA ADMINISTRATORA DANYCH. Zakres obowiązków oraz warunki pełnienia funkcji Administratora Systemów Informatycznych określone są Ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 roku oraz dokumentacją z zakresu ochrony danych osobowych wdrożoną dnia / / (dd/mm/rrrr) w NAZWA ADMINISTRATORA DANYCH. DATA I PODPIS OSOBY WYZNACZONEJ NA STANOWISKO ASI DATA I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH

33 Załącznik nr 4a Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy o pracę UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Niniejszym, jako Administrator Bezpieczeństwa Informacji w NAZWA ADMINISTRATORA DANYCH (dalej.. ), na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. poz upoważniam: Imię i nazwisko upoważnionego pracownika Zbiory danych objęte zakresem upoważnienia Osoba upoważniona obowiązana jest przetwarzać dane osobowe zawarte w ww. zbiorach danych osobowych w zakresie i w sposób wymagany do wypełnienia obowiązków służbowych względem Administratora Danych. Osoba upoważniona zobowiązuje się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r., poz. 1182), wydanymi na jej podstawie aktami wykonawczymi i obowiązującymi w NAZWA ADMINISTRATORA DANYCH wewnętrznymi regulacjami w sprawie ochrony danych osobowych. Naruszenie ww. obowiązków może skutkować poniesieniem odpowiedzialności karnej na podstawie przepisów określonych w Ustawie o ochronie danych osobowych oraz stanowi ciężkie naruszenie obowiązków pracowniczych, które może być podstawą rozwiązania umowy o pracę w trybie art. 52 Kodeksu Pracy. Upoważnienie jest ważne do odwołania. Data i podpis upoważniającego Oświadczenie Data i podpis osoby upoważnionej Oświadczam, że zapoznałam/em się z obowiązującymi w zakresie ochrony danych osobowych przepisami prawa i regulacjami wewnętrznymi obowiązującymi w NAZWA ADMINISTRATORA DANYCH (w szczególności z Polityką Bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym). Przyjmuję do wiadomości zawarte w nich obowiązki w zakresie ochrony danych osobowych i zobowiązuję się do ich stosowania. Świadoma/y jestem obowiązku ochrony danych osobowych na zajmowanym stanowisku i w zakresie udzielonego mi upoważnienia do przetwarzania danych osobowych, a w szczególności obowiązku zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu upoważnienia, a także po ustaniu zatrudnienia. Rozdzielnik 2 egz. w oryginale: 1 x oryginał dokumentacja kadrowa 1 x oryginał osoba upoważniona Data i podpis osoby upoważnionej

34 Załącznik nr 4b Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie innej umowy niż umowa o pracę UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Niniejszym, jako Administrator Bezpieczeństwa Informacji w NAZWA ADMINISTRATORA DANYCH (dalej.. ), na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (T.j. Dz. U. z 2015 r. poz. 1309) upoważniam: Imię i nazwisko upoważnionego Zbiory danych objęte zakresem upoważnienia Osoba upoważniona obowiązana jest przetwarzać dane osobowe zawarte w ww. zbiorach danych osobowych w zakresie i w sposób wymagany do wypełnienia obowiązków służbowych względem Administratora Danych. Osoba upoważniona zobowiązuje się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 1309), wydanymi na jej podstawie aktami wykonawczymi i obowiązującymi w NAZWA ADMINISTRATORA DANYCH wewnętrznymi regulacjami w sprawie ochrony danych osobowych. Naruszenie ww. obowiązków może skutkować poniesieniem odpowiedzialności karnej na podstawie przepisów określonych w Ustawie o ochronie danych osobowych oraz odpowiedzialności cywilnej. Upoważnienie jest ważne do odwołania. Data i podpis upoważniającego Data i podpis osoby upoważnionej Oświadczenie Oświadczam, że zapoznałam/em się z obowiązującymi w zakresie ochrony danych osobowych przepisami prawa i regulacjami wewnętrznymi obowiązującymi w NAZWA ADMINISTRATORA DANYCH (w szczególności z Polityką Bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym). Przyjmuję do wiadomości zawarte w nich obowiązki w zakresie ochrony danych osobowych i zobowiązuję się do ich stosowania. Świadoma/y jestem obowiązku ochrony danych osobowych w związku z pełnioną przeze mnie funkcją i w zakresie udzielonego mi upoważnienia do przetwarzania danych osobowych, a w szczególności obowiązku zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu upoważnienia, a także po ustaniu stosunku prawnego łączącego mnie z Administratorem Danych. Rozdzielnik 2 egz. w oryginale: 1 x oryginał dokumentacja kadrowa 1 x oryginał osoba upoważniona... Data i podpis osoby upoważnionej

35 Załącznik nr 5 Wzór oświadczenia o zobowiązaniu się do zachowania poufności.., dnia.. Oświadczenie o zobowiązaniu się do zachowania poufności Ja niżej podpisana/y zamieszkała/y w zatrudniona/y na stanowisku zobowiązuję się zachować w tajemnicy informacje uzyskane w związku z.. Uzyskane informacje zachowam w poufności zarówno w trakcie zatrudnienia, jak i po jego ustaniu.... Podpis

36 Załącznik nr 6 Opis struktury zbiorów danych Nr Nazwa Systemy informatyczne Cel przetwarzania Kategoria osób Zakres przetwarzanych danych Uwagi

37 Załącznik nr 7 Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych Nr Imię i nazwisko osoby upoważnionej Data nadania upoważnienia Data ustania upoważnienia Indywidualny identyfikator w systemie informatycznym Nazwy zbiorów objętych zakresem upoważnienia

38 Załącznik nr 8 Wykaz podmiotów, którym Administrator Danych powierzył przetwarzanie danych osobowych Podmioty, którym Administrator Danych powierzył przetwarzanie danych osobowych Adres / lokalizacja VULCAN sp. z o.o. ul. Wołowska Wrocław tel./faks: KRAKFIN ul. Łukasiewicza Kraków tel./fax: (12) Uwagi Okręgowa Komisja Egzaminacyjna w Poznaniu Poznań ul. Gronowa 22 tel

39 Załącznik nr 9 Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych ŚRODKI TECHNICZNE Środek ochrony technicznej i fizycznej 1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). 2. Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. 3. Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy. 4. Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu. 5. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. 6. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony. 7. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. 8. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. 9. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej. 10. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. 11. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. 17. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy. 18. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. Zastosowano (TAK / NIE) Uwagi

40 ŚRODKI ORGANIZACYJNE Środek organizacyjny Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez administratora danych Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Wyznaczono Administratora Bezpieczeństwa Informacji Opracowano i wdrożono Politykę Bezpieczeństwa o której mowa w ustawie o ochronie danych osobowych Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco Zastosowano (TAK / NIE) Uwagi

41 Załącznik nr 10 - Protokół z kontroli przetwarzania i stanu zabezpieczenia danych osobowych/ czynności sprawdzających PROTOKÓŁ Z KONTROLI / CZYNNOŚCI SPRAWDZAJĄCYCH* w zakresie ochrony danych osobowych.. miejscowość, data 1. Nazwa kontrolowanej jednostki organizacyjnej: Zbiory danych osobowych, których przetwarzanie podlega kontroli: Data wykonania czynności kontrolnych: Imię i nazwisko oraz stanowisko osoby wykonującej czynności kontrolne: Imiona i nazwiska osób udzielających informacji dotyczących ochrony danych osobowych w kontrolowanej komórce organizacyjnej: Ustalenia dokonane w trakcie czynności kontrolnych: Wnioski i zalecenia pokontrolne: (data i podpis osoby wykonującej czynności kontrolne)... (data i podpis kierownika kontrolowanej kom. organizacyjnej) Otrzymują: 1 x Kierownik kontrolowanej jednostki organizacyjnej 1 x Administrator Bezpieczeństwa Informacji * niepotrzebne skreślić