POLITYKA BEZPIECZEŃSTWA I INSTRUKCJA ZARZĄDZANIA SYSTEMEM PRZETWARZANIA DANYCH OSOBOWYCH W SPOSÓB TRADYCYJNY ORAZ PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO

Załącznik do Zarządzenia nr 7/2017/2018 z dnia 24 V 2018r. Dyrektora Kwidzyńskich Szkół Społecznych tj. Społecznej Szkoły Podstawowej im. Polskich Noblistów w Kwidzynie Społecznego Gimnazjum im. Polskich Noblistów w Kwidzynie Społecznego Liceum Ogólnokształcacego im. Polskich Noblistów w Kwidzynie POLITYKA BEZPIECZEŃSTWA I INSTRUKCJA ZARZĄDZANIA SYSTEMEM PRZETWARZANIA DANYCH OSOBOWYCH W SPOSÓB TRADYCYJNY ORAZ PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO Dotyczy wszystkich komputerów i systemów informatycznych przetwarzających dane osobowe oraz dokumentacji prowadzonej w sposób tradycyjny w szkole. Podstawa prawna : -Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm -Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L119/1) 1

Spis treści SPIS TREŚCI... 2 POJĘCIA... 3 POLITYKA BEZPIECZEŃSTWA... 4 CELE I ZASADY FUNKCJONOWANIA POLITYKI BEZPIECZEŃSTWA...4 KOMPETENCJE I ODPOWIEDZIALNOŚĆ W ZARZĄDZANIU BEZPIECZEŃSTWEM DANYCH OSOBOWYCH...5 WYKAZ OSÓB UPRAWNIONYCH DO GROMADZENIA I PRZETWARZANIA DANYCH....6 ZASADY UDZIELANIA DOSTĘPU DO DANYCH OSOBOWYCH...7 UDOSTĘPNIANIE I POWIERZANIE DANYCH OSOBOWYCH...8 BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W FORMIE TRADYCYJNEJ...8 WYKAZ POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE:...9 ZBIORY DANYCH PRZETWARZANYCH TRADYCYJNIE...10 BEZPIECZEŃSTWO W PRZETWARZANIU DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH...15 ZBIORY DANYCH PRZETWARZANYCH W SYSTEMACH INFORMATYCZNYCH I OPIS STRUKTURY PRZETWARZANYCH DANYCH OSOBOWYCH... 15 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM... 16 NADAWANIE I REJESTROWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH W SYSTEMIE INFORMATYCZNYM... 16 ZABEZPIECZENIE DANYCH W SYSTEMIE INFORMATYCZNYM... 16 ZASADY BEZPIECZEŃSTWA PODCZAS PRACY W SYSTEMIE INFORMATYCZNYM... 18 TWORZENIE KOPII ZAPASOWYCH... 19 UDOSTĘPNIENIE DANYCH... 19 PRZEGLĄDY I KONSERWACJE SYSTEMÓW... 20 NISZCZENIE WYDRUKÓW... 20 INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA DANYCH... 20 ISTOTA NARUSZENIA DANYCH OSOBOWYCH... 20 POSTĘPOWANIE W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH... 20 ZAŁĄCZNIKI... 22

Pojęcia Ustawa rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Administrator Danych Osobowych rozumie się przez to Społeczną Szkołę Podstawową, Społeczne Gimnazjum i Społeczne Liceum Ogólnokształcące reprezentantem których jest dyrektor szkoły Pracownik Przetwarzający Dane sekretarz szkoły, wicedyrektor, pedagog szkolny, wychowawcy świetlicy, wychowawcy klas, pielęgniarka szkoły, nauczyciele, w tym nauczyciele specjaliści- logopeda, terapeuta,. Administrator Szkolnego Bezpieczeństwa Informatycznego osoba powołana przez dyrektora, która odpowiada za bezpieczeństwo danych osobowych, egzekwuje zgodnie z prawem przetwarzanie danych osobowych w Szkole w imieniu ADO oraz określa uprawnienia osób do przetwarzania danych osobowych, a także rozpoznaje potrzeby w zakresie stosowanych w szkole zabezpieczeń. Administrator Systemu Informatycznego - osoba powołana przez dyrektora, która odpowiada za bezpieczeństwo danych osobowych w systemie informatycznym szkoły, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w których przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Dane osobowe - w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Identyfikator użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Hasło - ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Uwierzytelnianie rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. 3

Integralność danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. Poufność danych - rozumie się przez to własność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom. Polityka bezpieczeństwa Cele i zasady funkcjonowania polityki bezpieczeństwa Realizując Politykę bezpieczeństwa informacji zapewnia się ich: a) poufność informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom, b) integralność dane nie zostają zmienione lub zniszczone w sposób nie autoryzowany, c) dostępność istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot, d) rozliczalność możliwość jednoznacznego przypisania działań poszczególnym osobom, e) autentyczność zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana, f) niezaprzeczalność uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne, g) niezawodność zamierzone zachowania i skutki są spójne. Polityka bezpieczeństwa informacji w Szkole ma na celu zredukowanie możliwości wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj.: a) naruszeń danych osobowych rozumianych jako prywatne dobro powierzone Szkole; b) naruszeń przepisów prawa oraz innych regulacji; c) utraty lub obniżenia reputacji Szkoły; d) strat finansowych ponoszonych w wyniku nałożonych kar; e) zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemów. Realizując Politykę bezpieczeństwa w zakresie ochrony danych osobowych Szkoła dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia warunki, aby dane te były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i adekwatne w stosunku do celu, w jakim są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 4

Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych Za przetwarzanie danych osobowych niezgodnie z prawem, celami przetwarzania lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą grozi odpowiedzialność karna wynikająca z przepisów ustawy o ochronie danych osobowych lub pracownicza na zasadach określonych w kodeksie pracy. Administrator Danych Osobowych (ADO) Dyrektor Szkoły: a) formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, b) decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych, c) odpowiada za zgodne z prawem przetwarzanie danych osobowych w Szkole. d) wydaje upoważnienie do przetwarzania danych osobowych określając w nich zakres i termin ważności wzór upoważnienia określa załącznik nr 1, e) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych wzór rejestru określa załącznik nr 2, f) ewidencjonuje oświadczenia osób upoważnionych o zaznajomieniu się z zasadami zachowania bezpieczeństwa danych wzór oświadczenia określa załącznik nr 3, Administrator Szkolnego Systemu Informatycznego (ASBI) pracownik Szkoły wyznaczony przez Dyrektora: a) egzekwuje zgodnie z prawem przetwarzanie danych osobowych w Szkole w imieniu ADO, b) określa potrzeby w zakresie stosowanych w Szkole zabezpieczeń, wnioskuje do ADO o zatwierdzenie proponowanych rozwiązań i nadzoruje prawidłowość ich wdrożenia, c) udziela wyjaśnień i interpretuje zgodność stosowanych rozwiązań w zakresie ochrony danych osobowych z przepisami prawa, d) bierze udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe w Szkole i zapewnia odpowiedni poziom przeszkolenia w tym zakresie. Administrator Systemu Informatycznego (ASI) pracownik Szkoły wyznaczony przez Dyrektora: a) zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa w zakresie e- dziennika i SIO b) prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe Pracownik przetwarzający dane (PPD) pracownik upoważniony przez ASBI: a) chroni prawo do prywatności osób fizycznych powierzających Szkole swoje dane osobowe poprzez przetwarzanie ich zgodnie z przepisami prawa oraz zasadami określonymi w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym Szkoły, b) zapoznaje się zasadami określonymi w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym Szkoły i składa oświadczenie o znajomości tych przepisów.

Rodzaj danych E -Dziennik Wykaz osób uprawnionych do gromadzenia i przetwarzania danych. Dzienniki zajęć specjalistycznych Dzienniki wychowawcy świetlicy Dziennik pedagoga Księgi ewidencji uczniów Zbiorcza dokumentacja przebiegu nauczania (księga ocen) Księgi ewidencji dzieci Podręczne teczki akt osobowych Listy obecności pracowników Teczki nadzoru pedagogicznego Teczki awansu zawodowego Arkusze ocen Dokumentacja opiekuńczo wychowawcza Dokumentacja wydarzeń wynikających z realizowanego procesu edukacji ( konkursy, sprawdzianu, uroczystości itp.) Dokumentacja pomocy psychologiczno pedagogicznej (opinie, orzeczenia) Dokumentacja wychowawcy klasy Deklaracje rodziców Ewidencja uczniów prowadzona na potrzeby sekretariatu Ewidencja uczniów przystępujących do egzaminów zewnętrznych - HERMES Ewidencja zasobów szkoły - SIO Arkusz organizacyjny szkoły Dokumenty zarchiwizowane Dokumentacja ubezpieczeniowa Księga wydanych legitymacji i legitymacje Rejestr zaświadczeń Księga absolwentów Świadectwa i duplikaty Osoba uprawniona do gromadzenia i przetwarzania danych osobowych Wychowawca klasy, nauczyciel prowadzący zajęcia, pedagog, sekretarz szkoły, administrator e-dziennika Nauczyciel prowadzący zajęcia specjalistyczne Wychowawca świetlicy Pedagog Dyrektor szkoły, wicedyrektor, Sekretarz szkoły Dyrektor szkoły, wicedyrektor, Sekretarz szkoły Dyrektor szkoły, wicedyrektor, Sekretarz szkoły Dyrektor szkoły, wicedyrektor, Sekretarz szkoły Dyrektor szkoły, wicedyrektor, Sekretarz szkoły Dyrektor szkoły, wicedyrektor szkoły Dyrektor szkoły, wicedyrektor szkoły, Sekretarz szkoły Dyrektor szkoły, wicedyrektor szkoły, Sekretarz szkoły, wychowawcy klas Dyrektor szkoły, wicedyrektor szkoły, wychowawcy klas Dyrektor szkoły, wicedyrektor szkoły, wychowawcy klas, nauczyciele, sekretarz szkoły Pedagog, dyrektor, wicedyrektor szkoły, wychowawcy, nauczyciel uczący ucznia z wydaną opinią / orzeczeniem Wychowawcy klas Dyrektor szkoły, wicedyrektor, Wychowawcy klas, sekretarz szkoły Sekretarz szkoły, dyrektor szkoły Sekretarz szkoły, dyrektor, wicedyrektor szkoły Dyrektor, wicedyrektor szkoły, sekretarz szkoły Dyrektor, wicedyrektor szkoły, sekretarz szkoły Dyrektor, wicedyrektor szkoły, sekretarz szkoły Sekretarz szkoły, dyrektor, wicedyrektor szkoły Sekretarz szkoły, dyrektor, wicedyrektor szkoły Sekretarz szkoły, dyrektor, wicedyrektor szkoły Sekretarz szkoły, dyrektor, wicedyrektor szkoły Sekretarz szkoły, dyrektor, wicedyrektor szkoły 5 6

Zasady udzielania dostępu do danych osobowych Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami ustawy o ochronie danych osobowych oraz zasadami zawartymi w obowiązującej w Szkole Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym. Osoba zaznajomiona z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu. Dostęp do danych osobowych może mieć wyłącznie osoba posiadająca pisemne oraz imienne upoważnienie wydane przez ASBI. ASBI może wyznaczyć upoważnionych do przetwarzania danych osobowych pracowników Szkoły do nadzoru nad upoważnionymi pracownikami podmiotów zewnętrznych lub innymi upoważnionymi osobami przetwarzającymi dane osobowe w Szkole. 7

Udostępnianie i powierzanie danych osobowych Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa lub jeżeli w sposób wiarygodny uzasadnią one potrzebę ich posiadania, a ich udostępnienie nie naruszy praw i wolności osób, których one dotyczą. Udostępnienie danych może nastąpić na pisemny wniosek zawierający następujące elementy: a) adresat wniosku (administrator danych), b) wnioskodawca, c) podstawa prawna (wskazanie potrzeby), d) wskazanie przeznaczenia, e) zakres informacji. Administrator odmawia udostępnienia danych jeżeli spowodowałoby to naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób. Powierzenie danych może nastąpić w drodze pisemnej umowy, w której osoba przyjmująca dane zobowiązuje się do przestrzegania obowiązujących przepisów ustawy o ochronie danych osobowych. Umowa powinna zawierać informacje o podstawie prawnej powierzenia danych, celu i sposobie ich przetwarzania. Każda osoba fizyczna, której dane przetwarzane są w Szkole, ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych nie częściej niż co 6 miesięcy. Sprawy związane z udzielaniem informacji w tym zakresie prowadzi ASBI, udzielając informacji o zawartości zbioru danych na piśmie zgodnie ze wzorem w załączniku nr 4. Bezpieczeństwo w przetwarzaniu danych osobowych w formie tradycyjnej Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Dostęp do pokoi jest kontrolowany za pomocą monitoringu wizyjnego. Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Szkole powinno odbywać się po uzyskaniu upoważnienia lub skonsultowane z ASBI w przypadku osób upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących przepisów. Dokumentacji, która zawiera zbiory danych osobowych, nie można wynosić poza teren szkoły. 8

Osoby prowadzące dokumentację zobowiązane są do niezwłocznego poinformowania ASBI lub ADO o podejrzeniu dostępu do dokumentacji przez osoby nieupoważnione. Ponadto zabrania się: a) wyrzucania dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia, b) pozostawiania dokumentów, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach, c) pozostawiania kluczy w drzwiach, szafach, biurkach, zostawiania otwartych pomieszczeń, w których przetwarza się dane osobowe, d) pozostawiania bez nadzoru osób trzecich przebywających w pomieszczeniach szkoły, w których przetwarzane są dane osobowe, e) pozostawiania dokumentów na biurku po zakończonej pracy, pozostawiania otwartych dokumentów na ekranie monitora bez blokady konsoli, f) ignorowania nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych, g) przekazywania informacji będącymi danymi osobowymi osobom nieupoważnionym, h) ignorowania zapisów Polityki Bezpieczeństwa szkoły. Obiekt Społeczna Szkoła Podstawowa, Społeczne Gimnazjum, Społeczne Liceum Ogólnokształcące Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe: Pomieszczenia, w których przetwarzane są dane osobowe Gabinet dyrektora, wicedyrektora szkoły Sekretariat Gabinet pedagoga Pokój nauczycielski e- dziennik Sale i pracownie lekcyjne e dziennik, dokumentacja wychowawcy klasy Archiwum szkoły Zabezpieczenie danych osobowych gromadzonych w formie tradycyjnej w szkole: Środki techniczne Kontrola dostępu, pomieszczenie zamykane na czas nieobecności pracownika, zbiory przechowywane w szafach zamykanych na klucz Zabezpieczenie zbiorów Zabezpieczenie budynku Sekretarz szkoły 7.00-15.00 ( poniedziałek piątek) Pracownicy sprzątający 9.00-18.00 ( poniedziałek piątek) Alarm i monitoring w szkole monitoring 24 godziny na dobę, alarm w godzinach zamknięcia szkoły 17.30-6.30 i w weekendy Lp. Rodzaj danych Miejsce przechowywania 1 Dzienniki zajęć specjalistycznych Szafa w pokoju nauczycielskim, kluczem do szafy dysponuje nauczyciel 2 Dokumentacja wychowawcy klasy szafa w sali lekcyjnej przydzielona wychowawcy, kluczem do szafy dysponuje wychowawca

3 Dokumentacja psychologicznopedagogiczna (PET, PDW,) Szafa w pokoju pedagoga, kluczem do szafy dysponuje pedagog. Szafa w sekretariacie szkoły - kluczem do szafy Opinie, orzeczenia dysponuje dyrektor, wicedyrektor, sekretarz szkoły i pedagog szkoły 4 Księgi ewidencji uczniów Szafa w sekretariacie, kluczem do szafy dysponuje 5 Ankiety uczniów wypełniane przez rodziców, dyrektor, wicedyrektor i sekretarz szkoły Szafa w sekretariacie, kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 6 Listy obecności pracowników Szafa w sekretariacie, kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 7 Arkusze ocen Szafa w sekretariacie szkoły, Archiwum kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 8 Świadectwa szkolne i duplikaty Szafa w sekretariacie szkoły, Archiwum kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 9 Losy absolwentów Szafa w sekretariacie, kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 10 Księga wypadków uczniów i protokoły powypadkowe, dokumentacja ubezpieczeniowa Szafa w sekretariacie, kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 11 Dokumentacja przebiegu egzaminów Szafa w sekretariacie, kluczem do szafy dysponuje zewnętrznych dyrektor, wicedyrektor i sekretarz szkoły 12 Ewidencja uczniów przystępujących do egzaminów zewnętrznych Szafa w sekretariacie szkoły, Archiwum kluczem dysponuje dyrektor, wicedyrektor i sekretarz szkoły 13 Podręczne teczki akt osobowych Szafa w sekretariacie szkoły kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 14 Ewidencja zasobów szkoły - SIO Szafa w sekretariacie szkoły kluczem do szafy dysponuje dyrektor, wicedyrektor i sekretarz szkoły 15 Nadzór pedagogiczny Szafa w gabinecie dyrektora - kluczem do szafy dysponuje dyrektor, wicedyrektor 16 Organizacja roku szkolnego Szafa w gabinecie dyrektora - kluczem do szafy dysponuje dyrektor, wicedyrektor, sekretarz szkoły 17 Arkusz organizacyjny szkoły Szafa w gabinecie dyrektora - kluczem do szafy dysponuje dyrektor, wicedyrektor, sekretarz szkoły 18 Karty zdrowia ucznia Szafa w gabinecie pielęgniarki szkolnej, kluczem do szafy dysponuje pielęgniarka 19 Dokumenty zarchiwizowane Archiwum, kluczem dysponuje dyrektor, wicedyrektor, sekretarz szkoły Zbiory danych przetwarzanych tradycyjnie Zbiór Opis struktury przetwarzanych danych osobowych Użytkownicy przetwarzający dany zbiór lub część zbioru

Księga ewidencji uczniów Imię i nazwisko, data i miejsce urodzenia dziecka, Dyrektor szkoły, PESEL, imiona nazwiska rodziców (prawnych wicedyrektor, opiekunów) adres ich zamieszkania, adres sekretarz szkoły zamieszkania dziecka, nr ewidencyjny ucznia, data przyjęcia do szkoły, klasa, obwód szkolny, data, klasa i przyczyna opuszczenia szkoły, nr wydawanego świadectw ukończenia szkoły Księga arkuszy ocen uczniów Ułożone alfabetycznie i przeliczone arkusze Ocen Dyrektor szkoły, wice uczniów z danego rocznika, którzy ukończyli szkołę dyrektor, sekretarz lub z różnych przyczyn opuścili ją w trakcie nauki szkoły, wychowawca klasy Arkusze ocen uczniów Ułożone poziomami klas oraz według alfabetu. Wychowawca klasy, Zawierają Imiona, Nazwisko, datę i miejsce Dyrektor szkoły, wice urodzenia, PESEL, adres zameldowania lub dyrektor sekretarz zamieszkania, imiona, nazwiska rodziców lub szkoły, opiekunów prawnych, nr ewidencyjny, datę przyjęcia do szkoły, klasę, nr w dzienniku elekcyjnym, informację o prze biegu realizacji obowiązku szkolnego w szkole, oceny końcowe z wszystkich przedmiotów i zajęć dodatkowych oraz zachowania, informację i ilości godzin opuszczonych oraz ilości godzin nieusprawiedliwionych, wyniki egzaminów klasyfikacyjnych, sprawdzianów zewnętrznych, data uchwały rady pedagogicznej promującej bądź nie promującej ucznia do klasy programowo wyższej, podpis wychowawcy klasy Dokumentacja Listy uczniów zgłoszone do sprawdzianu Dyrektor, sprawdzianu zewnętrznego zewnętrznego w danym roku, powołania nauczycieli wicedyrektor, do komisji nadzorujących sprawdzian zewnętrzny, Członkowie komisji oświadczenie członków komisji nadzorującej nadzorującej sprawdzian w sprawie zabezpieczenia materiałów egzamin, sekretarz szkolnych przed uprawnionym ujawnieniem i ochrony szkoły danych osobowych kserokopie list zdających uczniów (kod ucznia wpisany na arkuszu egzaminacyjnym, PESEL, data i miejsce urodzenia, informacja o dysleksji, uwagi), kserokopie protokołów przebiegu sprawdzianu z poszczególnych sal egzaminacyjnych ze składem imiennym komisji nadzorującej egzamin (imię, nazwisko, nauczany przedmiot, miejsce pracy, własnoręczny podpis),listy z wynikami egzaminu Dokumentacja awansu zawodowego nauczycieli Wniosek o rozpoczęcie stażu n-la kontraktowego Dyrektor, i mianowanego, sprawozdanie z realizacji planu wicedyrektor, rozwoju zawodowego n-la stażysty, kontraktowego Opiekun stażu, i mianowanego. Dokumentacja nauczyciela stażysty Członkowie komisji ubiegającego się o stopień nauczyciela kwalifikacyjnej kontraktowego

Podręczne teczki osobowe Imię i nazwisko pracownika, miejsce zamieszkania, Sekretarz szkoły, nazwisko rodowe, imiona i nazwiska rodziców Dyrektor, pracownika, PESEL, numery telefonów stacjonarnych, wicedyrektor numery telefonów komórkowych, odpisy dyplomów ukończenia studiów wyższych magisterskich, licencjackich, podyplomowych lub ich uwierzytelnione kopie, kopie ukończenia kursów udoskonalających, kwalifikacyjnych, warsztatów nauczycielskich innych form doskonalenia zawodowego, zaświadczenia o stanie zdrowia, uwierzytelnione kopie aktów nadania stopnia n - la stażysty, kontraktowego, mianowanego, dyplomowanego, książeczki zdrowia pracowników, Księga druków ścisłego Imię i nazwisko osoby Sekretarz szkoły, zarachowania Dyrektor, Ewidencja wydanych legitymacji szkolnych Ewidencja wydanych świadectw ukończenia szkoły Ewidencja wydanych duplikatów świadectw szkolnych Dokumentacja egzaminów poprawkowych i klasyfikacyjnych Dokumentacja wypadków uczniów Dokumentacja zwolnień uczniów z wychowania fizycznego Ewidencja zwolnień lekarskich pracowników Rejestr wydanych delegacji służbowych Imię i nazwisko ucznia Imię i nazwisko ucznia, PESEL Imię i nazwisko osoby, PESEL wicedyrektor Sekretarz szkoły, Dyrektor, wicedyrektor Sekretarz szkoły, Dyrektor, wicedyrektor Sekretarz szkoły Dyrektor, wicedyrektor protokoły przebiegu egzaminu: imię i nazwisko Dyrektor, ucznia skład imienny komisji przeprowadzającej wicedyrektor, egzamin (imię, nazwisko, własnoręczny podpis), Członkowie komisji prace pisemne uczniów egzaminacyjnej Rejestr wypadków imię i nazwisko ucznia i Sekretarz szkoły, nauczyciela Dyrektor, Zeszyt wypadków uczniów - imię i nazwisko ucznia wicedyrektor Protokół powypadkowy ucznia imię i nazwisko Inspektor BHP poszkodowanego ucznia; imię i nazwisko nauczyciela zgłaszającego wypadek; imię i nazwisko dyrektora szkoły; imię i nazwisko świadków wypadku; protokół zawiera datę i miejsce wypadku, opis wypadku, rodzaj zajęć, rodzaj wypadku oraz urazu i jego opis Dokumentacja NNW imię i nazwisko ucznia, PESEL ucznia, adres zamieszkania i data urodzenia. Decyzja dyrektora imię i nazwisko ucznia Opinia lekarza imię i nazwisko ucznia, PESEL/data urodzenia, adres zamieszkania Wniosek rodzica imię i nazwisko rodzica, adres zamieszkania, imię i nazwisko ucznia. Imię i nazwisko pracownika Imię i nazwisko pracownika Sekretarz szkoły, Dyrektor, Zastępca dyrektora, Nauczyciel w-f Sekretarz szkoły, Dyrektor, wicedyrektor Sekretarz szkoły, Dyrektor, wicedyrektor

Protokoły Rady Pedagogicznej Imię i nazwisko nauczyciela, imię i nazwisko ucznia, Karty ewidencji czasu pracy Imię i nazwisko pracownika, stanowisko pracy Dokumentacja zdrowotna uczniów Dokumentacja pedagoga szkolnego Imię i nazwisko ucznia, PESEL ucznia, adres zamieszkania ucznia Dyrektor, wicedyrektor, nauczyciele Pracownicy administracji i obsługi, Dyrektor, wicedyrektor Pielęgniarka szkolna, Dyrektor, wicedyrektor, wychowawca Imię i nazwisko ucznia, data i miejsce urodzenia Pedagog szkolny, ucznia, PESEL ucznia, adres zamieszkania ucznia, imię Dyrektor, i nazwisko rodzica (prawnego opiekuna), adres wicedyrektor zamieszkania rodzica (prawnego opiekuna),telefony do rodziców (prawnych opiekunów), kopie opinii i orzeczeń wydanych przez Poradnie Psychologiczno - Pedagogiczne Archiwum Szkolne Dane pracowników i uczniów, które przetwarzane są Sekretarz szkoły, (dokumentacja archiwalna) w innych zbiorach danych wypisanych w niniejszym Dyrektor, dokumencie a przekazane są do archiwizacji. wicedyrektor Papierowy dziennik zajęć dodatkowych, świetlicy szkolnej Imię i nazwisko ucznia, imię ojca i matki, miejsce zamieszkania, oceny, frekwencja, PESEL, Wychowawcy klas, nauczyciel, Dyrektor, wicedyrektor 14

Bezpieczeństwo w przetwarzaniu danych osobowych w systemach informatycznych Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji zarządzania systemem informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemu informatycznego szkoły. Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych Zbiór- Program informatyczny służący do przetwarzania danych osobowych Folder uczniowski Sekretariat Hermes SIO Librus Synergia e dziennik Uczeń Rodzic/ opiekun prawny Pracownik szkoły Opis struktury przetwarzanych danych osobowych Imiona, nazwisko ucznia, PESEL, data i miejsce urodzenia, imię ojca, matki (prawnych opiekunów) miejsce zamieszkania, przebieg wypełniania obowiązku szkolnego w poszczególnych latach szkolnych, data dodania, data ostatniej modyfikacji Imię i nazwisko, klasa, nazwa i adres szkoły, imię i nazwisko dyrektora szkoły, dane organu prowadzącego, data i miejsce urodzenia, PESEL, kod ucznia na egzaminie gimnazjalnym, numer Sali egzaminacyjnej, informacja o zdawanych przedmiotach, informacja o ewentualnych dostosowaniach (dysleksja) i typie arkusza egzaminacyjnego. Imię, nazwisko ucznia, PESEL, adres zamieszkania, przypisanie do oddziału Imię, nazwisko nauczyciela, PESEL, wykształcenie, stopień awansu zawodowego, wymiar etatu, rodzaj prowadzanych zajęć, formy doskonalenia zawodowego, składniki wynagrodzenia Imię, nazwisko ucznia, adres e- mail, adres IP, adres zamieszkania, data urodzenia, nr telefonu, płeć, nazwisko rodowe, PESEL, miejsce urodzenia, adres zameldowania, informacja o orzeczeniach i wynikach egzaminów, obywatelstwo Imię i nazwisko ucznia, adres e- mail, adres IP, adres zamieszkania, nr telefonu, płeć, obywatelstwo Imię i nazwisko ucznia, adres e- mail, adres IP, adres zamieszkania, nr telefonu, płeć, obywatelstwo, informacja o wykształceniu Użytkownicy systemu informatycznego przetwarzający dany zbiór lub część zbioru Sekretarz szkoły, Dyrektor, wicedyrektor Dyrektor, sekretarz szkoły Dyrektor, sekretarz szkoły, Główna księgowa Dyrektor, wicedyrektor, sekretarz szkoły, Nauczyciele

Aplikacja e - świadectwa e-dziennik Uczeń Pracownik szkoły Imię, nazwisko ucznia, adres e- mail, adres zamieszkania, data urodzenia, płeć, nazwisko rodowe, PESEL, miejsce urodzenia, adres zameldowania, informacja o orzeczeniach i wynikach egzaminów, obywatelstwo, imię i nazwisko matki oraz adres zamieszkania Imię i nazwisko ucznia, adres e- mail, adres IP, adres zamieszkania, nr telefonu, płeć, obywatelstwo, informacja o wykształceniu Dyrektor, wicedyrektor, sekretarz szkoły, Wychowawcy klas INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Nadawanie i rejestrowanie uprawnień do przetwarzania danych w systemie informatycznym Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych w Szkole. ADO zawiera umowę powierzenia przetwarzania danych osobowych z Librus Sp. z ograniczoną odpowiedzialnością sp. k. w zakresie e dziennika i aplikacji e świadectwa. Za tworzenie, modyfikację i nadawanie uprawnień kontom użytkowników w zakresie e- dziennika odpowiada ASI. ADO nadaje uprawnienia w systemie informatycznym na podstawie upoważnienia nadanego pracownikowi przez ADO. Usuwanie kont stosowane jest wyłącznie w uzasadnionych przypadkach, standardowo, przy ustaniu potrzeby utrzymywania konta danego użytkownika ulega ono dezaktywacji w celu zachowania historii jego aktywności. Osoby dopuszczone do przetwarzania danych osobowych zobowiązane są do zachowania tajemnicy w zakresie tych danych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu stosunku pracy, co jest równoznaczne z cofnięciem uprawnień do przetwarzania danych osobowych. Zabezpieczenie danych w systemie informatycznym Ochronę przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane są dane osobowe zapewniają zasilacze UPS. 16

W przypadkach awaryjnych, takich jak nagły brak zasilania, ciągłość funkcjonowania systemu informatycznego podtrzymuje bateria zasilająca serwerowni. W czasie pracy baterii zasilającej ASI dokonuje oceny sytuacji i podejmuje wszelkie niezbędne kroki w celu zachowania integralności danych oraz przywrócenia normalnego funkcjonowania systemu. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnień. Zmiana hasła jest wymuszona automatycznie przez system. Hasła do systemu stacji roboczych mają długość przynajmniej 6 znaków (duże i małe litery oraz cyfry lub znaki specjalne) i okres ważności nie dłużej niż 1 miesiąc. Hasło nie może być zapisywane lub przechowywane w miejscu dostępnym dla osób nieuprawnionych. W przypadku utracenia hasła użytkownik ma obowiązek skontaktować się z ASI celem uzyskania nowego hasła. Hasła użytkowników uprzywilejowanych posiadających uprawnienia na poziomie administratorów systemów informatycznych objęte są takimi samymi restrykcjami dotyczącymi ich poufności jak pozostałe hasła. System informatyczny, a w szczególności aplikacje służące do przetwarzania danych osobowych muszą posiadać mechanizmy pozwalające na odnotowanie faktu wykonania operacji na danych. W szczególności zapis ten powinien obejmować: a) rozpoczęcie i zakończenie pracy przez użytkownika systemu, b) operacje wykonywane na przetwarzanych danych, c) nieudane próby dostępu do systemu informatycznego przetwarzającego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych, d) błędy w działaniu systemu informatycznego podczas pracy danego użytkownika. System informatyczny powinien zapewnić zapis faktu przekazania danych osobowych z uwzględnieniem: a) identyfikatora osoby, której dane dotyczą, b) osoby przesyłającej dane, c) odbiorcy danych, d) zakresu przekazanych danych osobowych, e) daty operacji, f) sposobu przekazania danych. Stosuje się aktywną ochronę antywirusową na każdym komputerze, na którym przetwarzane są dane osobowe. Za dokonywanie skanowania systemu w poszukiwaniu złośliwego oprogramowania (w przypadku braku ochrony rezydentnej) i aktualizację bazy wirusów odpowiada użytkownik stacji roboczej. 17

Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe w szkole zabrania się: a) ujawniania loginu i hasła współpracownikom i osobom z zewnątrz, b) pozostawiania haseł w miejscach widocznych dla innych osób, c) udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym, d) udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych w systemie, e) używania oprogramowania w innym zakresie niż pozwala na to umowa licencyjna, f) przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne, g) kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza szkołę, h) samowolnego instalowania i używania jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego; programy komputerowe instalowane są przez ASBI, i) używania nośników danych udostępnionych przez osoby postronne, j) przesyłania dokumentów i danych z wykorzystaniem konta pocztowego prywatnego (nie służbowego), k) otwierania załączników i wiadomości poczty elektronicznej od nieznanych i niezaufanych nadawców, l) używania nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą; Zasady bezpieczeństwa podczas pracy w systemie informatycznym W celu rozpoczęcia pracy w systemie informatycznym użytkownik: a) loguje się do systemu operacyjnego przy pomocy identyfikatora i hasła (autoryzacja użytkownika w bazie usług katalogowych), b) loguje się do programów i systemów wymagających dodatkowego wprowadzenia unikalnego identyfikatora i hasła. W sytuacji tymczasowego zaprzestania pracy na skutek nieobecności przy stanowisku komputerowym należy uniemożliwić osobom postronnym korzystanie z systemu informatycznego poprzez wylogowanie się z sytemu lub uruchomienie wygaszacza ekranu chroniony hasłem. W sytuacji gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitorze lub obrócić monitor (przymknąć ekran laptopa) w sposób uniemożliwiający wgląd w wyświetlaną treść. Użytkownik wyrejestrowuje się z systemu informatycznego przed wyłączeniem stacji komputerowej poprzez zamknięcie programu przetwarzającego dane oraz wylogowanie się z systemu operacyjnego. 18

Zawieszenie korzystania z systemu informatycznego może nastąpić losowo wskutek awarii lub planowo (np. w celu konserwacji sprzętu). Planowe zawieszenie prac jest poprzedzone poinformowaniem pracowników Szkoły przez ASI na co najmniej 30 minut przed planowanym zawieszeniem. Pracownik korzystający z systemu informatycznego zobowiązany jest do powiadomienia ASI w razie: a) podejrzenia naruszenia bezpieczeństwa systemu; b) braku możliwości zalogowania się użytkownika na jego konto; c) stwierdzenia fizycznej ingerencji w przetwarzana dane; d) stwierdzenia użytkowania narzędzia programowego lub sprzętowego. Na fakt naruszenia zabezpieczeń systemu mogą wskazywać: a) nietypowy stan stacji roboczej (np. brak zasilania, problemy z uruchomieniem); b) wszelkiego rodzaju różnice w funkcjonowaniu systemu (np. komunikaty informujące o błędach, brak dostępu do funkcji systemu, nieprawidłowości w wykonywanych operacjach); c) różnice w zawartości zbioru danych osobowych (np. brak lub nadmiar danych); d) inne nadzwyczajne sytuacje. Tworzenie kopii zapasowych Dane systemów kopiowane są w trybie rocznym ( kopie zapisów e- dziennika). Odpowiedzialnym za wykonanie kopii danych jest szkolny administrator Librusa. Kopie zbiorów umieszczonych na serwerze wykonywane są automatycznie oprogramowaniem wytworzonym we własnym zakresie. Kopie danych przechowywane są w sejfie w gabinecie dyrektora szkoły i zabezpieczane przez ASI. Okresową weryfikację kopii bezpieczeństwa pod kątem ich przydatności do odtworzenia danych przeprowadza ASI. Usuwanie kopii danych następuje poprzez bezpieczne kasowanie po okresie wymaganych prawem. Nośniki danych, na których zapisywane są kopie bezpieczeństwa niszczy się trwale w sposób mechaniczny. Udostępnienie danych Dane osobowe przetwarzane w systemach informatycznych mogą być udostępnione osobom i podmiotom z mocy przepisów prawa. 19

Przeglądy i konserwacje systemów Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe mogą być wykonywane wyłącznie przez pracowników Szkoły lub przez upoważnionych przedstawicieli wykonawców. Prace konserwacyjne powinny uwzględniać wymagany poziom zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych. Niszczenie wydruków Wszelkie wydruki z systemów informatycznych zawierające dane osobowe przechowywane są w miejscu uniemożliwiającym ich odczyt przez osoby nieuprawnione, w zamkniętych szafach lub pomieszczeniach i po upływie ich przydatności są niszczone przy użyciu niszczarek. INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA DANYCH Istota naruszenia danych osobowych Naruszeniem danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności: a) nieautoryzowany dostęp do danych, b) nieautoryzowane modyfikacje lub zniszczenie danych, c) udostępnienie danych nieautoryzowanym podmiotom, d) nielegalne ujawnienie danych, e) pozyskiwanie danych z nielegalnych źródeł. Postępowanie w przypadku naruszenia danych osobowych Każdy pracownik Szkoły, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to ASBI lub ADO. 20

Każdy pracownik Szkoły, który stwierdzi fakt naruszenia bezpieczeństwa danych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony oraz ustalić przyczynę i sprawcę naruszenia ochrony. W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia ASBI. ASBI podejmuje następujące kroki: a) zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Szkoły, b) może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, c) rozważa celowość i potrzebę powiadamiania o zaistniałym naruszeniu ADO, d) nawiązuje kontakt ze specjalistami spoza urzędu (jeśli zachodzi taka potrzeba). ASBI dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport wg wzoru stanowiącego załącznik nr 5 i przekazuje go ADO. ASBI zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych). 21

Załączniki Załącznik nr 1 Upoważnienie do przetwarzania danych osobowych Załącznik nr 2 Rejestr osób upoważnionych do przetwarzania danych osobowych Załącznik nr 3 Oświadczenie pracownika o zapoznaniu się z zasadami zachowania bezpieczeństwa danych osobowych Załącznik nr 4 Informacja o zawartości zbioru danych Załącznik nr 5 Raportu z naruszenia bezpieczeństwa danych osobowych Załącznik nr 6 - Oświadczenie informacyjne dla ustawowych przedstawicieli dzieci uczniów Oświadczenie woli 22

Kwidzyn, r. Załącznik Nr 1 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych... (pieczęć Szkoły ) UPOWAŻNIENIE nr / do przetwarzania danych osobowych Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 10 poz. 926 z późn. zm.) upoważniam Panią/Pana... zatrudnioną (ego) w...do przetwarzania danych osobowych zgromadzonych w formie tradycyjnej oraz w systemach informatycznych w okresie od dnia... 20. r. do w zakresie określonym obowiązkami służbowymi. Wyżej wymieniona osoba została wpisana do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w szkole, który określa zakres upoważnienia.... (podpis Administratora Danych Osobowych ) 23

Kwidzyn, dnia... r. Załącznik nr 2 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych... (pieczęć Szkoły ) REJESTR OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Lp. Imię i nazwisko Identyfikator Zakres Data nadania Data Uwagi użytkownika upoważnienia do uprawnień i odebrania * przetwarzania podpis ADO uprawnień i danych podpis ADO osobowych 24

Załącznik nr 3 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych Kwidzyn, dnia... r..... (imię i nazwisko )... (stanowisko ) OŚWIADCZENIE o zachowaniu poufności i zapoznaniu się z przepisami Ja niżej podpisany/a oświadczam, iż zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których mam lub będę miał/a dostęp w związku z wykonywaniem zadań i obowiązków służbowych wynikających ze stosunku pracy, zarówno w czasie trwania umowy, jak i po jej ustaniu. Oświadczam, że zostałem/am poinformowany/a o obowiązujących w Szkole zasadach dotyczących przetwarzania danych osobowych, określonych w Polityce bezpieczeństwa informacji Kwidzyńskich Szkół Społecznych w Kwidzynie i zobowiązuję się ich przestrzegać. W szczególności oświadczam, że bez upoważnienia nie będę wykorzystywał/a danych osobowych ze zbiorów znajdujących się w Szkole. Zostałem/am zapoznany/a z przepisami Ustawy o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 z późn. zm.) oraz Rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024). Poinformowano mnie również o grożącej, stosownie do przepisów rozdziału 8 Ustawy o ochronie danych osobowych odpowiedzialności karnej. Niezależnie od odpowiedzialności przewidzianej w wymienionych przepisach, mam świadomość, ze złamanie zasad ochrony danych osobowych, obowiązujących w Kwidzyńskich Szkołach Społecznych w Kwidzynie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną.... (podpis pracownika) 25

Kwidzyn,..... Załącznik nr 4 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych... (pieczęć Szkoły )... (imię i nazwisko )...... (adres ) INFORMACJA o zawartości zbioru danych osobowych W związku z Pani/Pana wnioskiem z dnia r. o udzielenie informacji związanych z przetwarzaniem danych osobowych w Kwidzyńskich Szkołach Społecznych działając na podstawie art. 33 ust. 1 Ustawy o ochronie danych osobowych informuję, że zbiór danych zawiera następujące Pani/Pana dane osobowe:... Powyższe dane przetwarzane są w Kwidzyńskich Szkołach Społecznych w celu z zachowaniem wymaganych zabezpieczeń i zostały uzyskane.... (podać sposób). Powyższe dane nie były / były udostępniane.. (podać komu) w celu. (podać cel przekazania danych). Zgodnie z rozdziałem 4 Ustawy o ochronie danych osobowych przysługuje Pani/Panu prawo do kontroli danych osobowych, prawo ich poprawiania, a także w przypadkach określonych w art. 32 ust. 1 pkt 7 i 8 Ustawy, prawo wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz prawo sprzeciwu wobec przetwarzania danych w celach marketingowych lub wobec przekazywania danych innemu administratorowi danych osobowych.... (podpis Administratora Danych Osobowych ) 26

Kwidzyn,... r.. Załącznik nr 5 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych... (pieczęć Szkoły ) RAPORT Z NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH 1. Data:... r. Godzina:... 2. Osoba powiadamiająca o zaistniałym zdarzeniu...... (imię, nazwisko, stanowisko służbowe, nazwa użytkownika - jeśli występuje) 3. Lokalizacja zdarzenia:...... (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:......... 5. Przyczyny wystąpienia zdarzenia:...... 6. Podjęte działania:...... 7. Postępowanie wyjaśniające:............ (podpis Administratora Szkolnego Bezpieczeństwa Informatycznego) 27

Załącznik nr 6 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych Imię i nazwisko: Status wobec Administratora: rodzic ucznia/opiekun prawny ucznia Oświadczenie informacyjne dla ustawowych przedstawicieli dzieci uczniów Społecznej Szkoły Podstawowej w Kwidzynie Zgodnie z wymogami ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) informuję Pana/Panią, że administrator danych osobowych tj. Społeczna Szkoła Podstawowa w Kwidzynie zbiera i przetwarza dane osobowe Pana/Pani oraz dane osobowe dziecka ucznia szkoły w zakresie niezbędnym do prawidłowego wykonywania obowiązków wynikających z celów statutowych. Informuję, jednocześnie, że przysługuje Panu/Pani prawo wglądu do danych oraz uzupełnienia, uaktualnienia oraz żądania prostowania zgromadzonych danych w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Ponadto informuję, że Administrator danych osobowych tj. Społeczna Szkoła Podstawowa w Kwidzynie dołoży wszelkich starań, aby dane były zbierane, przetwarzane i chronione zgodnie z prawem. Kwidzyn,. (podpis i pieczęć reprezentanta Administratora) 28

Załącznik nr 6 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych Imię i nazwisko: Status wobec Administratora: rodzic ucznia/opiekun prawny ucznia Oświadczenie informacyjne dla ustawowych przedstawicieli dzieci uczniów Społecznego Gimnazjum w Kwidzynie Zgodnie z wymogami ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) informuję Pana/Panią, że administrator danych osobowych tj. Społeczne Gimnazjum w Kwidzynie zbiera i przetwarza dane osobowe Pana/Pani oraz dane osobowe dziecka ucznia szkoły w zakresie niezbędnym do prawidłowego wykonywania obowiązków wynikających z celów statutowych. Informuję, jednocześnie, że przysługuje Panu/Pani prawo wglądu do danych oraz uzupełnienia, uaktualnienia oraz żądania prostowania zgromadzonych danych w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Ponadto informuję, że Administrator danych osobowych tj. Społeczne Gimnazjum w Kwidzynie dołoży wszelkich starań, aby dane były zbierane, przetwarzane i chronione zgodnie z prawem. Kwidzyn,. (podpis i pieczęć reprezentanta Administratora) 29

Załącznik nr 6 do Polityki bezpieczeństwa Kwidzyńskich Szkół Społecznych Imię i nazwisko: Status wobec Administratora: rodzic ucznia/opiekun prawny ucznia Oświadczenie informacyjne dla ustawowych przedstawicieli dzieci uczniów Społecznego Liceum Ogólnokształcącego w Kwidzynie Zgodnie z wymogami ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) informuję Pana/Panią, że administrator danych osobowych tj. Społeczne Liceum Ogólnokształcące w Kwidzynie zbiera i przetwarza dane osobowe Pana/Pani oraz dane osobowe dziecka ucznia szkoły w zakresie niezbędnym do prawidłowego wykonywania obowiązków wynikających z celów statutowych. Informuję, jednocześnie, że przysługuje Panu/Pani prawo wglądu do danych oraz uzupełnienia, uaktualnienia oraz żądania prostowania zgromadzonych danych w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Ponadto informuję, że Administrator danych osobowych tj. Społeczne Liceum Ogólnokształcące w Kwidzynie dołoży wszelkich starań, aby dane były zbierane, przetwarzane i chronione zgodnie z prawem. Kwidzyn,. (podpis i pieczęć reprezentanta Administratora) 30

Załącznik nr 7 do Polityki bezpieczeństwa Kwidzyńskie Szkoły Społeczne Nazwisko i imię dziecka.. Data urodzenia. Nazwisko i imię rodzica/prawnego opiekuna.. Adres OŚWIADCZENIE WOLI Oświadczam, że wyrażam zgodę na gromadzenie i przetwarzanie przez Administratora danych osobowych tj. Społeczną Szkołę Podstawową w Kwidzynie, danych osobowych moich i mojego dziecka ucznia., w czasie edukacji w tej szkole i w zakresie niezbędnym do prawidłowego wykonywania obowiązków statutowych, a w szczególności w zakresie tej formy jej działalności, z której korzystam ja lub moje dziecko/dziecko którego jestem reprezentantem ustawowym. Oświadczam także, że zostałam/łem pouczony o przysługujących mi uprawnieniach w zakresie możliwości wglądu do gromadzonych danych oraz o możliwości ich uzupełniania, uaktualniania oraz żądania prostowania w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Kwidzyn,.. (czytelny podpis reprezentanta ustawowego dziecka) 31

Załącznik nr 7 do Polityki bezpieczeństwa Kwidzyńskie Szkoły Społeczne Nazwisko i imię dziecka.. Data urodzenia. Nazwisko i imię rodzica/prawnego opiekuna.. Adres OŚWIADCZENIE WOLI Oświadczam, że wyrażam zgodę na gromadzenie i przetwarzanie przez Administratora danych osobowych tj. Społeczne Gimnazjum w Kwidzynie, danych osobowych moich i mojego dziecka ucznia., w czasie edukacji w tej szkole i w zakresie niezbędnym do prawidłowego wykonywania obowiązków statutowych, a w szczególności w zakresie tej formy jej działalności, z której korzystam ja lub moje dziecko/dziecko którego jestem reprezentantem ustawowym. Oświadczam także, że zostałam/łem pouczony o przysługujących mi uprawnieniach w zakresie możliwości wglądu do gromadzonych danych oraz o możliwości ich uzupełniania, uaktualniania oraz żądania prostowania w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Kwidzyn,.. (czytelny podpis reprezentanta ustawowego dziecka) 32