POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH w Zespole Szkół Budowlanych w Nowym Sączu

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH w Zespole Szkół Budowlanych w Nowym Sączu I. Dyrektor szkoły świadomy wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających szkole swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklaruje: 1. zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, 2. zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w Szkole w zakresie problematyki bezpieczeństwa tych danych, 3. zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby, 4. zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. II. Dyrektor szkoły świadomy zagrożeń związanych z przetwarzaniem przez Szkołę danych osobowych na dużą skalę w tym, w szczególności, z zagrożeń wynikających z dynamicznego rozwoju metod i technik przetwarzania tych danych w systemach informatycznych oraz sieciach telekomunikacyjnych. Jednocześnie dyrektor szkoły zamierza doskonalić i rozwijać nowoczesne metody przetwarzania danych. Dyrektor szkoły deklaruje, że szkoła będzie stale doskonaliła i rozwijała organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom: związanym z infekcjami wirusów i koni trojańskich, które instalując się na komputerze mogą wykradać zasoby tego komputera (zarówno stacjonarne jak i sieciowe), związanym ze spamem, posiadającym niekiedy programy pozwalające wykradać zasoby komputera, związanym z dostępem do stron internetowych, na części, których zainstalowane są skrypt pozwalające wykradać zasoby komputera, związanym z ogólnie dostępnymi komunikatorami internetowymi, w których występują luki, przez które można uzyskać dostęp do komputera, związanym z użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku poza szkołę, związanym z możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki, związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane, związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia, 2

2 związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy, związanym z atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery), związanym z działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści, związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone, związanym z przekazywaniem sprzętu z danymi do serwisu, związanym z kradzieżami tożsamości umożliwiającymi podszywanie się pod inna osobę, związanym z podszywaniem się przez osoby nieuprawnione pod witrynę internetowa, która zbiera dane, i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem technik i metod przetwarzania danych. III. Na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz. U. nr 101, poz. 926 ze zmianami) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr100, poz.1024) ustala się następujące wytyczne polityki bezpieczeństwa danych osobowych przetwarzanych w Zespole Szkół Budowlanych w Nowym Sączu w związku z realizacją celów statutowych tej placówki. I. POSTANOWIENIA OGÓLNE 1 1. Dane osobowe w Zespole Szkół Budowlanych w Nowym Sączu przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: 1) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz. U. nr 101, poz. 926 ze zmianami) oraz przepisów wykonawczych z nią związanych, 2) przepisów art ustawy z dnia 26 czerwca 1974 r. Kodeks pracy ( tekst jednolity z 1998 r.: Dz. U. nr 21, poz.94 ze zmianami) i przepisów wykonawczych z nią związanych, 3) oraz innych przepisów ustaw i rozporządzeń normujących przetwarzanie danych osobowych określonych kategorii. 2. Dane osobowe w Szkole przetwarzane są w celu realizacji statutowych celów szkoły. W szczególności dane osobowe przetwarza się: 1) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, wychowawczych, opiekuńczych i organizacyjnych Szkoły wynikających z przepisów ustawy z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2008 r. nr 70, poz. 416 i nr 145, poz. 917) 2) w celu zapewnienia prawidłowej, zgodnej z prawem i celami Szkoły polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia nawiązywanych przez Szkołę działającą jako pracodawca w rozumieniu art. 3 kodeksu pracy lub strona innych stosunków zatrudnienia. 3) dla realizacji innych usprawiedliwionych celów i zadań Szkoły - z poszanowaniem praw i wolności osób powierzających Szkole swoje dane. 2 Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Szkole odnosi się do danych osobowych przetwarzanych w zbiorach danych: 3

3 1) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Pod szczególną ochroną Szkoły pozostają wrażliwe dane osobowe wymienione w art. 27 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sadowym lub administracyjnym dopuszczalne jest tylko w związku z realizacja celów statutowych Szkoły i w granicach wynikających z przepisów art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Szkoła, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności: 1) zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, 2) zabraniem przez osobę nieuprawnioną, 3) przetwarzaniem z naruszeniem ustawy, 4) zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Szkoła, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych. 3. W szczególności Szkoła zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje kontrole i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów. 2. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno w szczególności na: 1) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod. 4

4 2) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych osobowych i/lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których anonimizowane dane dotyczą. 3. Osoby przetwarzające dane osobowe w Szkole mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych i/lub ich zbiorów. 4. Naruszanie przez zatrudnione, w ramach stosunku pracy, osoby upoważnione do dostępu i/lub przetwarzania danych osobowych stosowanych w Szkole procedur niszczenia zbędnych danych osobowych i/lub ich zbiorów traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającym stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. 5. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych i/lub ich zbiorów może w szczególności polegać na wprowadzeniu odpowiednich procedur niszczenia danych, a także zlecaniu niszczenia ich, wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych. 6 Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki ochrony tych danych. W skład tej dokumentacji wchodzą w szczególności: 1) zarządzenia Dyrektora szkoły odnoszące się do kwestii bezpieczeństwa danych osobowych, 2) polityka bezpieczeństwa w zakresie ochrony danych osobowych w Zespole Szkół Budowlanych w Nowym Sączu, 3) instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych w Szkole, 4) instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Szkole, 5) inne zarządzenia, instrukcje, wytyczne i polecenia służbowe określające zasady i procedury mające znaczenie dla ochrony danych osobowych wydawane przez upoważnione podmioty w poszczególnych jednostkach organizacyjnych Szkoły. II. UDOSTĘPNIANIE DANYCH OSOBOWYCH 7 1. Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych udostępnia przetwarzane na jego obszarze dane osobowe wyłącznie osobom do tego upoważnionym na mocy uregulowań wewnętrznych obowiązujących w tym zakresie na jego obszarze. 2. Upoważnienie, o którym mowa w art. 7 pkt 1, wynikać może w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy, lub b) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub c) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia dostęp do przetwarzanych danych osobowych osobom fizycznym będącym dysponentami tych danych. 2. Dysponentami danych osobowych są osoby, które powierzyły swoje dane Szkole w związku z podjęciem nauki lub zatrudnienia Osoby niezatrudnione przy przetwarzaniu danych osobowych określonej kategorii, w tym dysponenci danych osobowych, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych mogą mieć do nich wgląd wyłącznie w obecności upoważnionego pracownika Szkoły. 5

5 2. Zasada wyrażona w art. 9 ust. 1 ma także zastosowanie do przypadku korzystania przez związki zawodowe z uprawnień przysługujących im na mocy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy ( tekst jednolity z 1998 r.: Dz. U. nr 21, poz. 94 ze zmianami) i ustawy z dnia 23 maja 1991 r. o związkach zawodowych (tekst jednolity z 2001 r.: Dz. U. nr79, poz.854 ze zmianami) Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia administratora danych osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii. 2. W szczególności dostęp do danych osobowych na wskazanej w art. 10 ust. 1 zasadzie mogą mieć: Państwowa Inspekcja Pracy, Zakład Ubezpieczeń Społecznych, organy skarbowe, Policja, Agencja Bezpieczeństwa Wewnętrznego, Wojskowe Służby Informacyjne, sądy powszechne, Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych i inne upoważnione przez przepisy prawa podmioty i organy, działające w granicach przyznanych im uprawnień - wszystkie ww. po okazaniu dokumentów potwierdzających te uprawnienia. III. OSOBY PRZETWARZAJĄCE DANE OSOBOWE Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza osoby odpowiedzialne za bieżącą realizacje tej polityki na terenie Szkoły. W szczególności wyznaczeni zostają: 1) administrator danych osobowych w rozumieniu art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 2) osoby odpowiedzialne za nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikającym z przepisów prawa oraz uregulowań wewnętrznych, 3) administrator bezpieczeństwa informacji, 4) inne osoby wykonujące zadania ochrony danych osobowych. 2. Wyżej wymienieni wyznaczeni zostają w szczególności w drodze zarządzeń Dyrektora szkoły Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dopuszcza do ich przetwarzania w systemie informatycznym i/lub tradycyjnym wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych lub inną upoważnioną do tego osobę. 2. Upoważnienie, o którym mowa w art. 12 pkt1, wynikać może w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy lub b) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub c) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych. 13 Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia kontrolę nad dostępem do tych danych. Kontrola ta w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zaznajomienie osób upoważnionych do dostępu i/lub przetwarzania danych osobowych 6

6 z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w Szkole. 2. W szczególności osoby, wskazane w art. 14 ust. 1, zaznajamiane są z kwestiami wymienionymi w tym przepisie przed dopuszczeniem do pracy na stanowiskach związanych z przetwarzaniem danych osobowych, a także odpowiednio, w trakcie trwania zatrudnienia - w przypadku zmian w obowiązujących przepisach prawa, uregulowaniach wewnętrznych lub technikach i środkach ochrony danych stosowanych w Szkole. 3. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w Szkole może odbywać się w szczególności poprzez: 1) instruktaż na stanowisku pracy, 2) szkolenie wewnętrzne realizowane na terenie szkoły, 3) szkolenie zewnętrzne. 15 Osoby upoważnione przez Szkołę do przetwarzania danych osobowych zostają zaznajomione z zakresem informacji objętych tajemnica w związku z wykonywaną przez siebie pracą. W szczególności są one informowane o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia stosowanych w Szkole. 16 Naruszanie przez zatrudnione w ramach stosunku pracy osoby upoważnione do dostępu i/lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania, traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. IV. PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE PRZEZ SZKOŁĘ Szkoła gwarantuje osobom fizycznym, których dane osobowe są przetwarzane w związku z realizacją jego celów statutowych, realizacje uprawnień gwarantowanych im przez obowiązujące przepisy prawa. 2. W szczególności każdej osobie fizycznej, której dane osobowe są przetwarzane w związku z realizacja celów statutowych Szkoły, przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 3. Osoby fizyczne, których dane osobowe są przetwarzane w związku z realizacją celów statutowych Szkoły, uzyskują informacje o przysługujących im prawach. V. BUDYNKI, POMIESZCZENIA I CZĘŚCI POMIESZCZEŃ, TWORZĄCE OBSZAR SZKOŁY, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza budynki, pomieszczenia i części pomieszczeń, tworzące obszar Szkoły, w którym przetwarzane są dane osobowe. 2. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe część, w której są przetwarzane dane osobowe powinna być wyraźnie oddzielona od ogólnodostępnej. 7

7 3. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe może być w szczególności dokonane poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych uniemożliwiające lub co najmniej ograniczające niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu. 4. Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego Szkoły. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego systemu, powinny być umiejscawiane w sposób uniemożliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń służących do przetwarzania, a zwłaszcza kopiowania danych. 5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe określa zarządzenie Dyrektora szkoły. 6. W budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar Szkoły, w którym przetwarzane są dane osobowe maja prawo przebywać wyłącznie osoby upoważnione do dostępu i/lub przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem przetwarzania tych danych. 7. Osoby nieupoważnione do przetwarzania danych osobowych określonej kategorii, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych lub wykonujące inne czynności niemające związku z dostępem do tych danych mogą przebywać w budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar Szkoły, w którym przetwarzane są dane osobowe - wyłącznie w obecności upoważnionego pracownika Szkoły, lub w razie jego nieobecności - na podstawie upoważnienia wydanego przez administratora danych osobowych lub inną upoważnioną osobę Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych. 2. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej, nieobecności pracownika upoważnionego do przetwarzana danych osobowych obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym. 3. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia budynku i/lub pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych Dostęp do budynków i pomieszczeń Szkoły, w których przetwarzane są dane osobowe podlega kontroli. 2. Kontrola dostępu polegać może w szczególności na zabezpieczeniu dostępu do kluczy do poszczególnych pomieszczeń na portierni szkolnej lub warsztatów szkolnych, pracownik pobiera klucz przed rozpoczęciem pracy, zdaje po jej zakończeniu. Pokój nauczycielski zabezpieczony jest zamkiem z dostępem do klucza dla każdego nauczyciela zamykany i otwierany na bieżąco przez każdego nauczyciela. 3. Klucze do budynków i/lub pomieszczeń, w których przetwarzane są dane osobowe wydawane być mogą wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom upoważnionym do dostępu do tych budynków, lub pomieszczeń na innych zasadach. 8

8 4. Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych. VI. ZBIORY DANYCH OSOBOWYCH TWORZONE W SZKOLE Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje nadzór nad rodzajami oraz zawartością zbiorów danych osobowych tworzonych na jego obszarze. 2. Wykaz zbiorów danych osobowych wraz ze wskazaniem: 1) struktury zbiorów danych, 2) zawartości poszczególnych pól informacyjnych i powiązań miedzy nimi, 3) programów zastosowanych do przetwarzania tych danych określa zarządzenie Dyrektora szkoły. 22 Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zgodnie z przepisami rozdziału 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ochronę zbiorom danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z procesem dydaktycznym i wychowawczo - opiekuńczym realizowanym przez Szkołę, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji. 23 Szkoła realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zabrania tworzenia zbiorów danych osobowych, a także gromadzenia w zbiorach lub poza nimi kategorii danych osobowych innych niż niezbędne dla realizacji celów statutowych Szkoły. 9

9 INSTRUKCJA OKREŚLAJĄCA SPOSÓB ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I RĘCZNYM W ZAKRESIE OCHRONY DANYCH OSOBOWYCH I ICH ZBIORÓW przyjęta do stosowania w Zespole Szkół Budowlanych w Nowym Sączu. Na podstawie ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. z 2002 r. Nr 101 poz.926 ze zm.) ustalam procedurę systemu ochrony danych osobowych i ich zbiorów oraz zobowiązuję pracowników Zespołu Szkół Budowlanych w Nowym Sączu do jej stosowania: I. CEL PROWADZENIA I GROMADZENIA DANYCH OSOBOWYCH Cele, dla których Zespół Szkół Budowlanych w Nowym Sączu zbiera dane osobowe to: 1. Przebieg zatrudnienia i wynagradzania w odniesieniu do pracowników i ich rodzin. 2. Realizacja zadań dydaktyczno wychowawczo - opiekuńczych w stosunku do uczniów i ich rodzin. 3. Wdrożenie systemu internetowego edus@cz oraz jego wykorzystywanie w praktyce. 4. Gromadzenie ofert pracy. II. ZBIORY DANYCH OSOBOWYCH W PLACÓWCE 1. W szkole tworzy się następujące zbiory danych osobowych: Zbiór nr 1 System OBIEG OKE w Krakowie, Zbiór nr 2 Akta osobowe pracowników, Zbiór nr 3 Ewidencja zwolnień lekarskich pracowników, Zbiór nr 4 Księga zastępstw nauczycieli, Zbiór nr 5 - Protokoły Rady Pedagogicznej, Zbiór nr 6 Ewidencja urlopów pracowników niepedagogicznych, Zbiór nr 7 - Ewidencja osób korzystających z księgozbioru bibliotecznego, Zbiór nr 8 Ewidencja legitymacji pracowniczych, Zbiór nr 9 Ewidencja płac i ZUS rejestr elektroniczny Płace, Zbiór nr 10 Ewidencja wydawanej pracownikom odzieży ochronnej, Zbiór nr 11 - Rejestr delegacji służbowych, Zbiór nr 12 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych, Zbiór nr 13 - Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego, Zbiór nr 14 - Listy płac pracowników wydruki, Zbiór nr 15 - Księga ewidencji uczniów, Zbiór nr 16 - Księga absolwentów, Zbiór nr 17 - Dzienniki lekcyjne i pozalekcyjne, Zbiór nr 18 Rejestr pedagoga szkolnego, Zbiór nr 19 - Arkusze ocen wszystkich uczniów oraz protokoły egzaminów klasyfikacyjnych i poprawkowych Zbiór nr 20 - Ewidencja wydanych legitymacji szkolnych, Zbiór nr 21 Ewidencja wydanych świadectw ukończenia szkoły, Zbiór nr 22 - Ewidencja duplikatów świadectw ukończenia szkoły, Zbiór nr 23 Ewidencja uczniów i nauczycieli zbiór elektroniczny Sekretariat szkoły, Zbiór nr 24 Dokumentacja zdrowotna uczniów, Zbiór nr 25 Zwolnienia lekarskie uczniów z wychowania fizycznego, Zbiór nr 26 Rejestr wypadków uczniów, Zbiór nr 27 - Zbiór upoważnień, Zbiór nr 28 - Archiwum (akta osobowe pracowników, listy płac, księgi arkuszy ocen, dzienniki 10

10 lekcyjne), Zbiór nr 29 - Arkusz organizacji roku szkolnego, Zbiór nr 30 - Rekrutacja elektroniczna, Zbiór nr 31 - Akta osobowe pracowników rejestr elektroniczny Kadry, Zbiór nr 32 Opinie z Poradni Psychologiczno Pedagogicznej, Zbiór nr 33 Orzeczenia z Poradni Psychologiczno Pedagogicznej, Zbiór nr 34- Ewidencja płac i ZUS w tym rejestr elektroniczny Płace, Zbiór nr 35 - Ewidencja księgowa w tym rejestr elektroniczny Księgowość, Zbiór nr 36 - Rozliczenia godzin ponadwymiarowych nauczycieli, Zbiór nr 37- Dokumentacja zdrowotna i finansowa pracowników składających wnioski do ZFŚS, Zbiór nr 38 - System Dyrektor Małopolskiego Kuratorium Oświaty, Zbiór nr 39- Dokumentacja egzaminów zewnętrznych, Zbiór nr 40- Ewidencja ubezpieczenia dobrowolnego pracowników, Zbiór nr 41- Ewidencja programu pomocy uczniom. 1. Dane są gromadzone i przechowywane w systemie ręcznym oraz są przetwarzane także za pomocą systemu komputerowego. 2. Wszystkich pracowników, którzy będą gromadzić i przetwarzać dane osobowe zobowiązuje się do bezwzględnego przestrzegania przepisów ustawy przywołanej we wstępie oraz niniejszej instrukcji. III. PRZEKAZANIE INFORMACJI OSOBOM, KTÓRYCH DANE BĘDĄ ZBIERANE 1. Obowiązek informowania, a także uzyskania oświadczeń woli traktowany jest łącznie w stosunku do grup, których dane Szkoła zbiera i przetwarza. 2. W przypadku pracowników obowiązek, o którym mowa w pkt.1. uważa się za spełniony po podpisaniu druku oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych. 3. Obsługę finansowo-księgową szkoły prowadzi się w Zespole Szkół Budowlanych w Nowym Sączu 4. W przypadku uczniów i rodziców obowiązek, o którym mowa w pkt. 1. uważa się za spełniony po złożeniu wymaganych dokumentów po zakończeniu procesu rekrutacji do szkoły i podpisaniu druku oświadczenia o wyrażaniu zgody na przetwarzanie danych osobowych. 5. Druk, o którym mowa w pkt. 4. otrzymują rodzice lub prawni opiekunowie w szkołach macierzystych lub w dniu składania podań o przyjęcie do Technikum nr5 im. Zenona Adama Remiego w Nowym Sączu lub Zasadniczej Szkoły Zawodowej nr5 im. Zenona Adama Remiego w Nowym Sączu. IV. OBOWIĄZKI PRACOWNIKÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH 1. Pracownicy zatrudnieni w szkole (nauczyciele oraz główny księgowy, specjalista ds. uczniowskich i kadrowych, samodzielny referent ds. administracyjnych, referent ds. płac, administrator sieci szkolnych, samodzielny referent ds. fakturowania i rozliczania robótmagazynier, pedagog szkolny, bibliotekarz, pielęgniarka szkolna) otrzymują w zakresie czynności, upoważnienie do obsługi systemu ręcznego i informatycznego w zakresie gromadzenia i przetwarzania danych osobowych w określonych zbiorach. 2. Pracownicy wymienieni w pkt. 1. zbierają i przetwarzają dane osobowe wyłącznie do realizacji celów wymienionych w rozdziale I. 11

11 3. Osoby mające upoważnienie do ręcznego i informatycznego przetwarzania danych osobowych zobowiązane są do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. 4. Osoby, o których mowa w pkt.1. mające upoważnienie do przetwarzania danych w systemie informatycznym zobowiązani są do bezwzględnego przestrzegania rozdziału V instrukcji. 5. Udostępnienie danych osobowych przez pracowników może nastąpić wyłącznie na podstawie pisemnej dyspozycji wydanej przez Dyrektora Szkoły. 6. Osoby, o których mowa w pkt. 1. mające dostęp do danych osobowych, obowiązane są do zachowania ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia. V. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Powołuje się administratorów bezpieczeństwa informatycznego - zwanych w dalszej części instrukcji - ABI. 2. ABI określają hasła użytkowania komputerów dla przetwarzania danych osobowych i zmieniają je raz w miesiącu. 3. ABI są odpowiedzialni za właściwy nadzór nad funkcjonowaniem ochrony danych osobowych. 4. Obszarem do przetwarzania danych osobowych z użyciem sprzętu komputerowego są: - sekretariat część wydzielona dla pracowników, - sekretariat ds. uczniowskich część wydzielona dla pracowników, - gabinet dyrektora, - gabinet zastępcy dyrektora, - gabinet kierownika warsztatów szkolnych, - gabinet zastępcy kierownika warsztatów szkolnych, - gabinet pedagoga szkolnego, - gabinet administratora sieci szkolnej, - gabinet pielęgniarki szkolnej, - biblioteka szkolna część wydzielona dla pracowników, - pokój nauczycielski, - gabinet głównego księgowego- część wydzielona do pracy głównego księgowego. 5. Przebywanie osób nieuprawnionych wewnątrz obszaru, o którym mowa w pkt.4. jest dopuszczalna tylko w obecności osób zatrudnionych przy przetwarzaniu tych danych i za zgodą ABI lub dyrektora szkoły. 6. Procedura rozpoczęcia i zakończenia pracy: a) na stanowiskach, na których przetwarzane są dane osobowe ekrany monitorów powinny być tak ustawione, aby osoby nieupoważnione nie miały dostępu do informacji na nich wyświetlanych, b) uruchomienie komputera odpowiednim hasłem, c) upewnienie się, że osoby nieupoważnione nie mają możliwości wglądu do danych, d) w razie przerwania pracy zastosowanie nieaktywności użytkownika (wygaszacz ekranu), e) upewnienie się czy dane zostały zarejestrowane, aby uniknąć utraty danych z powodu awarii, f) podczas nieobecności osób zatrudnionych przy informatycznym przetwarzaniu danych osobowych pomieszczenia, w których są przetwarzane dane, nie mogą być udostępniane osobom postronnym, g) zakończenie pracy związanej z przetwarzaniem danych osobowych powinno odpowiadać wszystkim regułom bezpieczeństwa informacji. 7. Na każdym nośniku danych zakłada się konta użytkownika, które zabezpiecza się hasłem dostępnym jedynie dla pracownika obsługującego nośnik danych. Na tym samym stanowisku 12

12 tworzy się również konto administratora zabezpieczone hasłem do którego dostęp ma jedynie dyrektor szkoły oraz ABI 8. Na każdym nośniku danych, na którym znajduje się oprogramowanie wymagające użycia hasła ustala się hasło, do którego ma dostęp jedynie osoba upoważniona do pracy przy danych osobowych na odpowiednim stanowisku pracy oraz ABI i dyrektor szkoły. 9. Każdy dokument stworzony na nośniku przez pracownika upoważnionego do pracy przy danych osobowych i przez niego zabezpieczony hasłem bezwzględnie musi być zgłoszony ABI po jego sporządzeniu. 10. Ustalone hasła na poziomie administratora oraz oprogramowania zawierającego hasło pozostają zapisane w dokumentacji ABI oraz dyrektora szkoły zabezpieczone przed dostępem osób trzecich. Hasła zmienia się jeden raz na kwartał. 11. Kopie informatyczne, wydruki wykonuje się w miarę potrzeb i przechowuje w sposób określony przepisami. 12. Kopie awaryjne przechowuje się zgodnie z prawem i okresowo sprawdza pod kątem przydatności. 13. Nośniki danych oraz wydruki, które nie są przeznaczone do udostępniania, przechowuje się w specjalnie zamykanej szafie, do której dostęp mają tylko osoby uprawnione. 14. W razie stwierdzenia naruszenia systemów informatycznych należy bezzwłocznie poinformować ABI. 15. ABI sprawdza stan urządzeń, zawartość zbiorów danych osobowych i wielkość ich naruszenia. 16. Dane uzupełnia się w oparciu o kopie awaryjne. Instrukcja obowiązuje od dnia 08 listopada 2012 r. 13