Zał. nr 1 do Zarządzenia nr 42/2015 Dyrektora Zespołu Państwowych Szkół Muzycznych nr 4 im. K. Szymanowskiego w Warszawie z dnia 14 grudnia 2015 r. POLITYKA BEZPIECZEŃSTWA oraz INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Zespole Państwowych Szkół Muzycznych nr 4 im. Karola Szymanowskiego w Warszawie Pieczęć Szkoły Podpis Administratora danych osobowych Data
Wstęp 1. Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowią zestaw praw, zasad, reguł i praktycznych rozwiązań dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych w Zespole Państwowych Szkół Muzycznych nr 4 im. K. Szymanowskiego w Warszawie, przetwarzanych w sposób tradycyjny i w systemie informatycznym. 2. Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowią merytoryczną całość. 3. Celem wprowadzenia Polityki bezpieczeństwa jest ustalenie działań oraz ustanowienie zasad i reguł postępowania zapewniających Szkole skuteczną ochronę danych osobowych przed zagrożeniami wewnętrznymi, zewnętrznymi, świadomymi oraz nieświadomymi. 4. Celem wprowadzenia Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych jest zapewnienie właściwych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne w Szkole w zakresie przetwarzania danych osobowych. 5. Ochrona danych osobowych jest zapewniana przez osoby przetwarzające dane osobowe w ramach obowiązków służbowych, z zastosowaniem określonych procedur organizacyjnych, zabezpieczeń fizycznych, oprogramowania systemowego i aplikacji. 6. Realizowana polityka bezpieczeństwa ma zapewnić w stosunku do przetwarzanych danych osobowych: 1) poufność - informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom; 2) integralność - dane nie zostają zmienione lub zniszczone w sposób nieautoryzowany, są odporne na zamierzoną i niezamierzoną manipulację; 3) rozliczalność - możliwość jednoznacznego przypisania działań poszczególnym osobom; 4) zgodność z prawem - gromadzone dane są niezbędne do właściwego funkcjonowania Szkoły i realizowania przez nią zadań określonych w odrębnych przepisach. Podstawowe pojęcia 1. Ustawa - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 r., poz. 1182 z późn. zm.). 2. Rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy Strona 2 z 23
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.). 3. Szkoła - Zespół Państwowych Szkół Muzycznych nr 4 im. K. Szymanowskiego w Warszawie. 4. Polityka - Polityka bezpieczeństwa obowiązującą w Szkole. 5. Instrukcja - Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Szkole. 6. Administrator danych osobowych (ADO) - dyrektor Szkoły. 7. Administrator bezpieczeństwa informacji (ABI) - pracownik Szkoły powołany przez ADO do nadzorowania przestrzegania zasad ochrony przetwarzania danych osobowych w Szkole i prowadzenia dokumentacji z tym związanej. 8. Administrator systemu informatycznego (ASI) - pracownik wyznaczony przez dyrektora Szkoły, odpowiedzialny za pracę systemu informatycznego, w tym za techniczne i organizacyjne środki ochrony tego systemu. 9. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 10. Zbiór danych - zestaw danych o charakterze osobowym dostępnych według określonych kryteriów, posiadający strukturę, rozproszony lub podzielony funkcjonalnie. 11. Przetwarzanie danych - operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza te, które są wykonywane w systemie informatycznym. 12. Usuwanie danych - niszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą. 13. Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, przy czym zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści i może być odwołana w każdym czasie. 14. Baza danych osobowych - zbiór uporządkowanych, powiązanych ze sobą tematycznie danych zapisanych w systemie informatycznym. 15. System informatyczny (system) - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 16. Zabezpieczenie danych w systemie - wdrożenie i eksploatacja środków technicznych oraz organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 17. Użytkownik systemu - pracownik Szkoły uprawniony do przetwarzania danych osobowych w systemie informatycznym, zgodnie z zakresem obowiązków służbowych. Strona 3 z 23
Spis treści Wstęp... 2 Podstawowe pojęcia... 2 Rozdział I... 5 POLITYKA BEZPIECZEŃSTWA... 5 Organizacja przetwarzania danych osobowych... 5 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe... 8 Wykaz zbiorów wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania między nimi... 9 Sposób przepływu danych pomiędzy poszczególnymi systemami... 9 Środki organizacyjne, fizyczne i techniczne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych... 10 Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych... 12 Szkolenie użytkowników... 13 Naruszenie ochrony danych osobowych... 13 Rozdział II... 15 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH... 15 Bezpieczna eksploatacja sprzętu i oprogramowania... 15 Internet i poczta elektroniczna... 15 Nadawanie uprawnień do przetwarzania danych osobowych... 17 dla kont użytkowników w systemie informatycznym.... 17 Metody i środki uwierzytelnienia... 17 Procedura rozpoczęcia, zawieszenia i zakończenia pracy... 19 Procedury tworzenia kopii zapasowych... 19 Sposób, miejsce i okres przechowywania elektronicznych nośników informacji i wydruków... 20 Zabezpieczenie systemu informatycznego przed szkodliwym oprogramowaniem, w tym przed wirusami komputerowymi... 21 Odnotowywania w systemie informatycznym informacji o udostępnieniu danych osobowych... 22 Przeglądy i konserwacje systemu informatycznego... 22 Strona 4 z 23
Rozdział I POLITYKA BEZPIECZEŃSTWA 1. Organizacja przetwarzania danych osobowych 1. Administrator danych osobowych (ADO) Administratorem danych osobowych jest dyrektor Szkoły, który w szczególności: 1) formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych; 2) podejmuje decyzje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych; 3) odpowiada za zgodne z prawem przetwarzanie danych osobowych w Szkole; 4) powołuje ABI (wzór - zał. nr 1) i zapewnia wymagane warunki jego pracy. 2. Administrator bezpieczeństwa informacji (ABI) Zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: 1) wskazywanie rozwiązań, inicjowanie przedsięwzięć, doradztwo i opiniowanie rozwiązań z zakresu organizacji bezpieczeństwa informacji i ochrony danych osobowych; 2) wyznaczanie, rekomendowanie i egzekwowanie wykonania zadań związanych z ochroną danych osobowych; 3) opracowywanie i prowadzenie dokumentacji z zakresu ochrony danych osobowych; 4) nadawanie upoważnień do przetwarzania danych osobowych (wzór - zał. nr 2); 5) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (wzór - zał. nr 3); 6) prowadzenie rejestru zawartych umów powierzenia przetwarzania danych osobowych podmiotom zewnętrznym (wzór - zał. nr 4 ); 7) przeprowadzanie niezbędnych badań i kontroli w pomieszczeniach, w których są przetwarzane lub przechowywane dane osobowe; 8) nadzór kopii zapasowych zbiorów danych oraz programów służących do ich przetwarzania; 9) prowadzenie ewidencji udostępniania danych (wzór - zał. nr 5); 10) prowadzenie postępowania wyjaśniającego w przypadku naruszenia zasad ochrony danych osobowych; Strona 5 z 23
11) kontrola i bieżące monitorowanie przestrzegania przez pracowników zasad ochrony danych osobowych obowiązujących w Szkole; 12) pozyskiwanie od pracowników pisemnych i ustnych wyjaśnień oraz dokumentów dotyczących danych osobowych; 13) przeprowadzanie kontroli urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych; 14) organizowanie niezbędnych szkoleń pracowników z zakresu ochrony danych osobowych; 15) prowadzenie rejestru zbiorów danych osobowych przetwarzanych w Szkole i zgłaszanie ich do rejestracji, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy; 16) opracowywanie sprawozdań z zakresu ochrony danych osobowych dla ADO; 17) zarządzanie ryzykiem w obszarze ochrony danych osobowych. 3. Administrator systemu informatycznego (ASI) ASI jest wyznaczany przez ADO (wzór - zał. nr 6) i wykonuje w szczególności następujące zadania: 1) zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa, ściśle współpracując z ABI; 2) doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi z ich przetwarzaniem; 3) nadaje indywidualne identyfikatory użytkownikom systemu oraz ustala hasła dostępu wraz z systemem ich zmiany, rejestruje i wyrejestrowuje użytkowników systemu; 4) nadzoruje prace związane z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu; 5) zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci i zabezpieczenie łączy zewnętrznych; 6) prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe; 7) dba o właściwy stan techniczny serwera i komputerów oraz sprzętu współpracującego. 4. Kadra kierownicza Osoby na stanowiskach kierowniczych są zobowiązane do: 1) przestrzegania polityki bezpieczeństwa i zachowania właściwej ochrony danych osobowych w podległych sobie komórkach organizacyjnych; 2) dopuszczenia do przetwarzania danych osobowych w swojej komórce organizacyjnej wyłącznie pracowników przeszkolonych i posiadających odpowiednie upoważnienie; Strona 6 z 23
3) zarządzania bezpieczeństwem zasobów danych osobowych w swojej komórce organizacyjnej poprzez wdrażanie, monitorowanie i eksploatację zabezpieczeń; 4) zgłaszania do ABI lub ASI zagrożeń i zdarzeń niekorzystnych dla ochrony danych; 5) identyfikacji oraz analizy zagrożeń i ryzyka w zakresie ochrony danych osobowych. 5. Pracownicy 1) dane osobowe mogą przetwarzać wyłącznie pracownicy mający właściwe upoważnienie; 2) wszyscy pracownicy są zobowiązani do: a) przestrzegania zasad ochrony danych osobowych określonych w Polityce bezpieczeństwa, b) zgłaszania ABI zauważonych nieprawidłowości lub naruszeń, takich jak np. pozostawione bez właściwego nadzoru wydruki lub dokumenty zawierające dane osobowe, otwarte pomieszczenia, w których przetwarzane są dane osobowe. 3) osoby nie posiadające upoważnienia do przetwarzania danych osobowych, które mogą incydentalnie uzyskać do nich dostęp, składają oświadczenie o zachowaniu danych w poufności (wzór - zał. nr 7). 6. Pracownicy upoważnieni do przetwarzania danych osobowych Pracownicy Szkoły, którzy mają upoważnienie do przetwarzania danych osobowych są zobowiązani: 1) przetwarzać dane osobowe wyłącznie w celu realizacji nałożonych obowiązków służbowych w zakresie ustalonym w upoważnieniu; 2) zachować poufność danych osobowych, z którymi się zetknęli, zarówno w okresie zatrudnienia w Szkole, jak i po jego zakończeniu; 3) przestrzegać przepisów i procedur bezpiecznego przetwarzania danych osobowych; 4) zapoznać się z przepisami prawa dotyczącymi ochrony danych osobowych oraz Polityką bezpieczeństwa i Instrukcją zarządzania systemem informatycznym obowiązującymi w Szkole; 5) strzec dane osobowe przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. 7. Procedura nadawania upoważnień do przetwarzania danych osobowych 1) ABI sporządza upoważnienie dla pracownika po skonsultowaniu jego zakresu obowiązków z dyrektorem Szkoły lub bezpośrednim przełożonym pracownika; 2) przed nadaniem upoważnienia ABI szkoli pracownika w zakresie ochrony danych osobowych (najważniejsze definicje, odpowiedzialność prawna, obowiązek pracownika Strona 7 z 23
z zakresu zabezpieczenia danych przetwarzanych w formie papierowej oraz w systemach informatycznych); 3) upoważnienie sporządza się w trzech egzemplarzach podpisanych przez pracownika: dla pracownika, dla ABI, do akt osobowych; 4) ABI prowadzi elektroniczną i papierową ewidencję wydawanych upoważnień; 5) zmiana zakresu oraz anulowanie upoważnienia wymaga odnotowania w ewidencji prowadzonej przez ABI; 6) zmiana zakresu upoważnienia skutkuje wydaniem nowego upoważnienia; 7) anulowanie upoważnienia może nastąpić w szczególności w przypadku: a) zmiany stanowiska pracy lub zakresu wykonywanych obowiązków i ustania konieczności przetwarzania danych, b) umyślnego naruszenia zasad ochrony danych osobowych, które określa ustawa i przepisy wewnętrzne (Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), c) rozwiązania stosunku pracy. 2. Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Pomieszczenia tworzące obszar przetwarzania danych osobowych w budynku Szkoły: 01-530 Warszawa, ul. Krasińskiego 1. Numer pomieszczenia Nazwa pomieszczenia - archiwum - biblioteka - serwerownia 4 magazyn instrumentów 14A gabinet medyczny 21 pokój kierownika gospodarczego 23 pokój pedagoga i psychologa 24 pokój nauczycielski 25 gabinet wicedyrektora ds. ogólnokształcących 26 sekretariat 26A gabinet dyrektora 26B gabinet wicedyrektora ds. muzycznych 35 świetlica 46 pokój specjalisty ds. dokumentacji szkolnej/abi 59A księgowość 59B kadry - pokój nauczyciela W-F Strona 8 z 23
20 sala gimnastyczna - portiernia 43, 44 sala kameralna i koncertowa 44A pokój operatora sprzętu audiowizualnego - pomieszczenie woźnej-szatniarki 1, 2, 3, 5, 6, 7, 8, 9, 10, 11, 14, 15, 16, 17, 18, 19, 22, 27, 28, 29, 30, 31, 32, 33, 34, 38, 39, 40, 41, 42, 45, 45A, 45B, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58A, 58B, 58C sale lekcyjne 3. Wykaz zbiorów wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania między nimi Wykaz zbiorów wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania między nimi- zał. nr 8. 4. Sposób przepływu danych pomiędzy poszczególnymi systemami 1. Dane wprowadzane są do systemów przez osoby upoważnione do przetwarzania danych osobowych. 2. Systemy stosowane komunikują się. 3. Przepływ danych pomiędzy systemami informatycznymi zastosowanymi w celu przetwarzania danych osobowych może odbywać się w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego. 4. Przesyłanie danych pomiędzy systemami informatycznymi odbywa się w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu (importu) danych za pomocą teletransmisji, np. poprzez wewnętrzną sieć teleinformatyczną oraz automatyczny. 5. Poniżej wskazane zostały powiązania pomiędzy systemami. Kierunek strzałek oznacza przepływ danych w określonym kierunku: Strona 9 z 23
Kadry Optivum (dane pracowników i zleceniobiorców) Płace Optivum (dane pracowników i zleceniobiorców) Program Płatnik (dane pracowników i zleceniobiorców dla ZUS) Finanse Optivum (dane kontrahentów) Przepływ automatyczny (bezpośrednie połączenie między systemami) Przepływ półautomatyczny (eksport w pliku przez sieć LAN) Przepływ manualny (eksport pliku przez zewnętrzny nośnik) 5. Środki organizacyjne, fizyczne i techniczne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Zabezpieczenia organizacyjne: 1) powołanie ABI i wyznaczenie ASI; 2) opracowanie i wdrożenie Polityki bezpieczeństwa, Instrukcji zarządzania systemem informatycznym oraz regulaminu zasad ewidencji, przechowywania, wydawania i zdawania kluczy; 3) ustalenie zasad dostępu do pomieszczeń, w których przetwarzane są dane osobowe; 4) wydawanie upoważnień do przetwarzania danych i egzekwowanie oświadczeń o zachowaniu poufności danych osobowych; 5) prowadzenie ewidencji osób upoważnionych do przetwarzania danych; 6) informowanie i szkolenie osób przetwarzających dane osobowe w zakresie przepisów dotyczących ochrony danych osobowych i zabezpieczeń systemu informatycznego; 7) zabezpieczanie danych przed dostępem osób nieupoważnionych; 8) zawieranie pisemnych umów w przypadku powierzenia przetwarzania danych podmiotom zewnętrznym. Strona 10 z 23
2. W celu właściwej ochrony danych osobowych bezwzględnie zakazuje się: 1) wyrzucania dokumentów zawierających dane osobowe bez ich uprzedniego trwałego zniszczenia w niszczarce; 2) pozostawiania w urządzeniach, takich jak np. drukarki, kserokopiarki, dokumentów zawierających dane osobowe; 3) pozostawiania bez nadzoru otwartych pomieszczeń, w których przetwarzane są dane osobowe, pozostawiania w nich osób trzecich bez nadzoru, oraz pozostawiania kluczy w drzwiach do tych pomieszczeń; 4) pozostawiania bez nadzoru otwartych szaf zawierających dokumenty lub szafek z kluczami; 5) wynoszenia poza teren Szkoły kluczy do pomieszczeń; 6) pozostawiania na biurku po skończonej pracy dokumentów zawierających dane osobowe lub otwartych dokumentów na ekranie monitora bez blokady konsoli; 7) dopuszczanie do pobytu nieznanych osób w obszarze przetwarzania danych osobowych; 8) przekazywania informacji zawierających dane osobowe osobom nieupoważnionym; 9) podejmowania pracy w systemie informatycznym z przełamaniem lub zaniechaniem stosowania procedur ochrony danych osobowych, w tym pracy bez wymaganego upoważnienia, stosowania identyfikatora i hasła innej osoby upoważnionej; 10) udostępniania własnego identyfikatora i hasła innej osobie; 11) zakończenia pracy lub opuszczenia stanowiska pracy niezgodnie z przyjętymi procedurami. 3. Zabezpieczenia ochrony fizycznej danych osobowych: 1) dokumentacja papierowa zawierająca dane osobowe przechowywana jest w szafach zamykanych na klucz; 2) pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz; 3) dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest kontrolowany, a klucze wydawane są tylko upoważnionym osobom; 4) pomieszczenia, w których przetwarzane są dane osobowe zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy; 5) obszar, w którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem; 6) obszar, w którym przetwarzane są dane osobowe objęty jest systemem alarmowym przeciwwłamaniowym i nadzorowany przez służbę ochrony; 6) część pomieszczeń na parterze budynku, w których przetwarzane są dane osobowe ma okna zabezpieczone kratą; 7) pomieszczenie serwerowni jest klimatyzowane, a w oknie znajdują się kraty. Strona 11 z 23
4. Opis zabezpieczeń infrastruktury informatycznej, telekomunikacyjnej, narzędzi programowych i baz danych znajduje się instrukcji zarządzania systemem informatycznym. 6. Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych 1. ABI przeprowadza sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w trybie: 1) sprawdzenia planowego - według opracowanego planu sprawdzeń; 2) sprawdzenia doraźnego - w przypadku powzięcia wiadomości lub uzasadnionego podejrzenia o naruszeniu ochrony danych osobowych; 3) sprawdzenia na wniosek GIODO. 2. ABI opracowuje plan sprawdzeń na okres nie krótszy niż kwartał i nie dłuższy niż rok i przedstawia go ADO nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem; plan sprawdzeń obejmuje co najmniej jedno sprawdzenie (wzór - zał. nr 9). 3. Plan sprawdzeń uwzględnia w szczególności: 1) przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania; 2) zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych; 3) konieczność weryfikacji zgodności przetwarzania danych osobowych z: a) zasadami przetwarzania danych osobowych, b) zasadami dotyczącymi zabezpieczenia danych osobowych, c) zasadami przekazywania danych osobowych, d) obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera dane wrażliwe. 4. O sprawdzeniu doraźnym oraz sprawdzeniu dokonywanym na wniosek GIODO, ABI zawiadamia ADO przed podjęciem pierwszej czynności w toku sprawdzenia. 5. ABI dokumentuje czynności związane z dokonywanym sprawdzeniem w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami prawa oraz do opracowania sprawozdania. Strona 12 z 23
6. ABI zawiadamia kierownika komórki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności w terminie co najmniej 7 dni przed dniem przeprowadzenia czynności. Nie dotyczy to przypadków: 1) sprawdzenia doraźnego, jeżeli niezwłoczne rozpoczęcie sprawdzenia jest niezbędne do przywrócenia stanu zgodnego z prawem lub weryfikacji, czy naruszenie miało miejsce; 2) sprawdzenia na wniosek GIODO, jeżeli na zawiadomienie nie pozwala wyznaczony przez niego termin. 7. ABI przygotowuje dla ADO sprawozdanie z przeprowadzonego sprawdzenia w postaci elektronicznej i papierowej (wzór - zał. nr 10). 8. ABI przekazuje ADO sprawozdanie: 1) ze sprawdzenia planowego - nie później niż w terminie 30 dni od zakończenia sprawdzenia; 2) ze sprawdzenia doraźnego - niezwłocznie po zakończeniu sprawdzenia; 3) ze sprawdzenia na wniosek GIODO - zachowując termin wskazany przez organ. 9. Za przekazanie sprawozdania do GIODO ze sprawdzenia dokonywanego na jego wniosek, odpowiada ADO. 7. Szkolenie użytkowników 1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe zostaje przeszkolony przez ABI w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych. 2. Zakres szkolenia obejmuje zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi i instrukcjami obowiązującymi u Szkole. 3. Po przeprowadzonym szkoleniu pracownik składa pisemne oświadczenie o zapoznaniu się z przepisami, zachowaniu tajemnicy danych oraz świadomości skutków prawnych niestosowania się do wymogów z zakresu ochrony danych osobowych (wzór - zał. nr 11). 8. Naruszenie ochrony danych osobowych 1. Naruszeniem ochrony danych osobowych jest każdy stwierdzony fakt ich nieuprawnionego ujawnienia, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, Strona 13 z 23
zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności: 1) nieautoryzowany dostęp do danych; 2) nieautoryzowane modyfikacje lub zniszczenie danych; 3) udostępnienie danych nieautoryzowanym podmiotom; 4) nielegalne ujawnienie danych; 5) pozyskiwanie danych z nielegalnych źródeł. 2. Pracownik jest zobowiązany chronić dane osobowe poprzez bezwzględne stosowanie się do obowiązujących przepisów. 3. Pracownik jest zobowiązany do przekazania informacji ADO lub ABI w przypadku własnego uchybienia w zakresie ochrony danych osobowych, a także o zauważonych przypadkach lub uzasadnionym podejrzeniu naruszenia przepisów dotyczących ich ochrony przez inne osoby. 4. Naruszenie bezpieczeństwa danych osobowych zagrożone jest odpowiedzialnością karną określoną w ustawie o ochronie danych osobowych oraz odpowiedzialnością wynikającą z Kodeksu Pracy, a w przypadku nauczycieli - także z Karty Nauczyciela. 5. W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r., o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 z późn. zm.), a także wydane na jej podstawie akty wykonawcze. Strona 14 z 23
Rozdział II INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH 9. Bezpieczna eksploatacja sprzętu i oprogramowania 1. W Szkole obowiązuje wysoki poziom bezpieczeństwa systemu informatycznego. 2. Dyrektor Szkoły nadaje upoważnienia w sprawie dostępu do serwerowni (wzór - zał. nr 12). 3. Sprzęt służący do przetwarzania danych osobowych składa się z komputerów stacjonarnych klasy PC, notebooków oraz serwera. 4. W celu zapewnienia bezpiecznej eksploatacji sprzętu i oprogramowania ustala się następujące warunki ich eksploatacji: 1) przetwarzanie danych osobowych w komputerach przenośnych jest zakazane; 2) sieć komputerowa posiada zasilanie energetyczne gwarantujące właściwe i zgodne z wymaganiami producenta działanie sprzętu komputerowego; 3) główny serwer jest podtrzymywany przez UPS zapewniający odpowiedni czas pracy systemu; 4) programy zainstalowane na komputerach posiadają licencje i są użytkowane zgodnie z ich zapisami; 5) w systemie informatycznym obowiązują mechanizmy uwierzytelniania użytkowników za które odpowiada ASI; 6) ekrany monitorów są wyposażone w wygaszacze zabezpieczone hasłem, które aktywują się automatycznie po upływie określonego czasu od ostatniego użycia komputera; 7) ekrany monitorów są ustawione w sposób uniemożliwiający odczyt wyświetlanych danych osobom nieupoważnionym, a za spełnienie tego obowiązku odpowiada użytkownik. 10. Internet i poczta elektroniczna 1. Zasady korzystania z Internetu: 1) zakazuje się ściągania przez użytkowników plików lub przeglądania zasobów o treści prawnie zabronionej, obscenicznej bądź pornograficznej; Strona 15 z 23
2) programy komputerowe mogą być pobierane w uzasadnionych przypadkach za każdorazową zgodą ASI, który może nakazać przetestowanie pobranego oprogramowania w odseparowanym środowisku i wydać zgodę na instalację oprogramowania; 3) użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie pobrane z Internetu i przez niego zainstalowane; 4) użytkownicy mogą wykorzystywać jedynie zaakceptowane przez ASI formy dostępu do Internetu, przy czym zabronione jest łączenie się użytkowników systemu informatycznego Szkoły poprzez łącza komutowane oraz publiczną bezprzewodową sieć szkolną. 2. Zasady obowiązujące użytkowników poczty elektronicznej: 1) do korespondencji poprzez e-mail należy wykorzystywać służbową pocztę elektroniczną; 2) użytkownik może przesyłać wyłącznie te dane lub informacje, do których ma uprawnienia; 3) do przesyłania informacji poza Szkołę są upoważnione osoby posiadające odpowiednie uprawnienia; 4) użytkownicy są zobowiązani zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu; 5) do przesyłania danych wewnątrz i na zewnątrz Szkoły należy wykorzystywać mechanizmy kryptograficzne; 6) zaleca się korzystanie z opcji systemu poczty elektronicznej informującej o dostarczeniu i otwarciu dokumentu przez adresata; 7) zaleca się usuwanie poczty od nieznanych nadawców, których tytuł nie sugeruje związku z działalnością Szkoły i wypełnianymi obowiązkami służbowymi, lub zasięgnięcie opinii ASI w tej sprawie; 8) zakazuje się uruchamiania wykonywalnych załączników dołączonych do wiadomości oraz poinformowanie ASI o fakcie otrzymania takiego załącznika; 9) zakazuje się rozsyłania informacji o zagrożeniach dla systemu informatycznego, tzw. łańcuszków szczęścia i innych podobnych informacji; 10) zaleca się ograniczenie wielkości załączników w wiadomościach rozsyłanych do większej liczby adresatów, zgodnie z wydajnością systemu poczty elektronicznej; 11) zaleca się okresowe kasowanie zbędnych wiadomości. 3. Prawa i obowiązki ASI związane z obsługą Internetu i poczty elektronicznej: 1) monitorowanie i analizowanie ruchu internetowego poprzez blokowanie niedozwolonych stron internetowych, o których mowa w ust. 1 pkt 1) oraz stron zagrażających systemowi; 2) monitorowanie przesyłanych informacji pod kątem niebezpiecznego oprogramowania; Strona 16 z 23
3) zbieranie i przechowywanie przez 3 miesiące informacji na temat przeglądanych adresów internetowych, dat i godzin dostępu, identyfikatora użytkownika i komputera, z zachowaniem poufności tych informacji; 4) wykorzystywanie mechanizmów kryptograficznych do przesyłania danych wewnątrz i na zewnątrz Szkoły. 11. Nadawanie uprawnień do przetwarzania danych osobowych dla kont użytkowników w systemie informatycznym 1. Uprawnienia nadaje ASI we współpracy z ABI, wyłącznie osobom upoważnionym do przetwarzania danych osobowych. 2. Nadanie uprawnienia polega na: 1) ustaleniu indywidualnego identyfikatora w systemie informatycznym; 2) przydzieleniu przez ASI hasła umożliwiającego pierwsze wejście do systemu; 3) odnotowaniu nadanego uprawnienia w Ewidencji osób upoważnionych do przetwarzania danych osobowych; 4) automatycznym zarejestrowaniu w bazie systemu internetowego. 3. Identyfikator użytkownika nadawany jest jednorazowo, nie podlega zmianom, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielony innej osobie. 4. Anulowanie nadanego uprawnienia wymaga odnotowania w ewidencji prowadzonej przez ABI. 5. Po ustaniu stosunku pracy uprawnienie wygasa automatycznie, co skutkuje wyrejestrowaniem z systemu przez ASI oraz odnotowaniem w dokumentacji ABI. 12. Metody i środki uwierzytelnienia 1. Zasady nadawania hasła dostępu dla użytkownika systemu informatycznego: 1) pierwsze hasło dla użytkownika ustala i przydziela ASI przy wprowadzaniu identyfikatora użytkownika do systemu; 2) po zalogowaniu się do systemu z użyciem hasła przydzielonego przez ASI, użytkownik jest zobowiązany do natychmiastowej zmiany hasła na swoje, znane tylko jemu hasło; Strona 17 z 23
3) hasło nie może zawierać powszechnie używanych słów, imion, nazwisk, inicjałów i dat urodzenia użytkownika, numerów rejestracyjnych samochodów, numerów telefonów i tym podobnych elementów; 4) zabrania się ujawniania hasła innym osobom, także po ich dezaktualizacji, a także zapisywania hasła w niezabezpieczonych miejscach; 5) hasła w bazie są zapisywane w systemie informatycznym w postaci szyfrowanej; 6) użytkownik ma prawo zmienić swoje hasło w każdym momencie pracy w systemie; 7) zmianę hasła wymusza system wg ustaleń ASI. 2. Zasady dotyczące hasła ASI: 1) hasło ASI składa się z co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne i musi być zmieniane nie rzadziej, niż co 30 dni; 2) w przypadku utraty uprawnień przez ASI, jego hasła podlegają natychmiastowej zmianie; 3) hasła do kont użytkowników posiadających uprawnienia administratora systemu informatycznego są przechowywane w zamkniętej kopercie, w sejfie w pokoju ABI; 4) do awaryjnego użycia hasła do kont użytkowników posiadających uprawnienia administratora systemu informatycznego upoważnieni są dyrektor Szkoły, ABI i kierownik gospodarczy; 5) awaryjne użycie hasła do konta użytkowników posiadających uprawnienia administratora systemu informatycznego jest każdorazowo odnotowywane w zeszycie Awaryjne użycie hasła, który przechowuje ABI w sejfie. 3. Zasady uwierzytelniania (logowania) na poziomie systemu operacyjnego: 1) hasło na poziomie dostępu do systemu operacyjnego musi składać się z co najmniej 8 znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne; 2) za systematyczną, terminową zmianę hasła odpowiada użytkownik; 3) zmiana hasła do systemu operacyjnego następuje nie rzadziej, niż co 30 dni, a w przypadku jego ujawnienia lub uzasadnionego podejrzenia ujawnienia osobom trzecim - zmiana powinna nastąpić natychmiast. 4. Użytkownik jest zobowiązany do stosowania uwierzytelnień wymaganych przez poszczególne systemy i programy, z którymi współpracuje Szkoła. Strona 18 z 23
13. Procedura rozpoczęcia, zawieszenia i zakończenia pracy 1. Rozpoczęcie pracy na komputerze następuje poprzez zalogowanie się do systemu informatycznego. 2. Dostęp do danych osobowych może nastąpić po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. 3. Przed opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wylogować się z systemu informatycznego lub wywołać blokowany hasłem wygaszacz ekranu. 4. Zakończenie pracy następuje poprzez wylogowanie z systemu informatycznego, wyłączenie sprzętu komputerowego i zabezpieczenie stanowiska pracy, w szczególności dokumentów i nośników zewnętrznych, na których znajdują się dane osobowe. 5. W przypadku stwierdzenia lub uzasadnionego podejrzenia naruszenia bezpieczeństwa systemu, niedozwolonej ingerencji w przetwarzane dane lub użytkowane narzędzia programowe, czy też sprzętowe, użytkownik ma bezwzględny obowiązek zawiadomić ASI lub ABI. 14. Procedury tworzenia kopii zapasowych 1. Tworzenie kopii bezpieczeństwa programów zainstalowanych na serwerze: 1) kopie zapasowe danych oraz systemu informatycznego są tworzone w sposób zautomatyzowany, a ASI otrzymuje każdorazowo powiadomienie o poprawnym utworzeniu kopii; 2) kopie całościowe sporządzane są raz w tygodniu z poziomu serwera; 3) kopie sporządzane są na wydzielonym twardym dysku na serwerze; 4) kopie przegrywane są na dysk zewnętrzny raz na kwartał; 5) dostęp do kopii mają: dyrektor, ABI, ASI; 6) kopie są przechowywane w ogniotrwałym sejfie w pokoju ABI. 2. Tworzenie kopii bezpieczeństwa programów (danych) niezainstalowanych na serwerze: 1) kopie przegrywane są na dysk zewnętrzny raz na kwartał; 2) wszystkie nośniki są opisane datą sporządzenia i zewidencjonowane w Rejestrze nośników komputerowych zawierających dane osobowe" (wzór zał. 13); 3) kopie całościowe przechowywane są przez 5 lat; 4) dostęp do kopii mają: dyrektor, ABI, ASI, inne osoby upoważnione; Strona 19 z 23
5) kopie są przechowywane w ogniotrwałym sejfie w pokoju ABI. 3. Za wykonywanie kopii zapasowych, o których mowa w ust. 1 i 2 oraz weryfikację ich poprawności odpowiada ASI. 15. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji i wydruków 1. W Szkole stosowane są następujące rodzaje nośników elektronicznych: dyski twarde, płyty CD i DVD, pendrive'y, pamięci typu flash. 2. Sposoby zabezpieczenia elektronicznych nośników informacji: 1) nośniki przechowuje się w miejscach zabezpieczonych przed dostępem osób nieupoważnionych oraz chroniących je przed zniszczeniem, w tym przed wpływem pól elektromagnetycznych; 2) kopiowanie zbiorów danych osobowych na wymienne nośniki (np. pamięci typu flash, płyty CD i DVD) wymaga zgody dyrektora, ABI lub ASI; 3) zabrania się wynoszenia twardych dysków z zapisanymi danymi osobowymi poza obszar Szkoły bez zgody dyrektora, ABI lub ASI; 4) przekazywanie danych osobowych poza Szkołę na nośnikach wymiennych odbywa się z zachowaniem następujących zasad: a) adresat powinien zostać powiadomiony o przesyłce, b) nadawca powinien sporządzić kopię przesyłanych danych, c) należy zastosować bezpieczne koperty depozytowe, d) przesyłkę należy przesyłać przez kuriera, e) adresat powinien powiadomić nadawcę o otrzymaniu przesyłki. 5) użytkownicy są zobowiązani do niezwłocznego i trwałego usuwania/kasowania danych osobowych z nośników informacji po ustaniu powodu ich przechowywania (chyba, że z powodu odrębnych przepisów należy je zachować na dłużej); 6) podlegające likwidacji uszkodzone lub przestarzałe nośniki, a w szczególności twarde dyski z danymi osobowymi, są niszczone w sposób fizyczny (wzór - zał. nr 14); 7) nośniki informacji zamontowane w sprzęcie IT, a w szczególności twarde dyski z danymi osobowymi powinny być wymontowane lub wyczyszczone specjalistycznym Strona 20 z 23
oprogramowaniem, zanim zostaną przekazane poza obszar organizacji (np. sprzedaż lub darowizna komputerów stacjonarnych, laptopów). 3. Zabezpieczenie dokumentów i wydruków: 1) dokumenty i wydruki zawierające dane osobowe przechowuje się w pomieszczeniach zabezpieczonych fizycznie zgodnie z zasadami określonymi w polityce; 2) za bezpieczeństwo dokumentów i wydruków odpowiadają pracownicy je przetwarzający oraz kierownicy komórek organizacyjnych, którzy są zobowiązani do stosowania następujących zasad: a) zamykanie dokumentów na klucz w szafach, biurkach, sejfach podczas nieobecności w pomieszczeniach lub po zakończeniu pracy (tzw. polityka czystego biurka), b) niszczenie dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania; c) niepozostawianie wydruków i ksero na urządzeniach bez nadzoru. 16. Zabezpieczenie systemu informatycznego przed szkodliwym oprogramowaniem, w tym przed wirusami komputerowymi 1. Źródłem szkodliwego oprogramowania może być poczta elektroniczna użytkowników, pliki pobrane z niepewnych źródeł, wymienne nośniki pamięci używane poza systemem informatycznym Szkoły oraz ataki na zewnętrzny interfejs sieciowy serwera. 2. Ochrona przeciw szkodliwemu oprogramowaniu jest realizowana przez centralny program G DATA Security, zarządzany przez ASI poprzez następujące procedury: 1) definicje wirusów są aktualizowane automatycznie na serwerze zarządzającym oprogramowaniem G DATA Security co godzinę, a na komputerach użytkowników - przynajmniej raz dziennie; 2) system antywirusowy zainstalowany jest na każdym komputerze z dostępem do danych osobowych i powinien być aktywny cały czas podczas pracy danego systemu; 3) pliki otrzymywane z zewnętrz i wysyłane na zewnątrz są sprawdzane automatycznie przez system antywirusowy lub ręcznie przez użytkowników; 4) użytkownik ma obowiązek powiadomić ASI o pojawieniu się wirusa i wstrzymać pracę na komputerze do czasu likwidacji zagrożenia. Strona 21 z 23
3. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej: 1) ASI jest odpowiedzialny za aktywowanie i poprawne konfigurowanie oprogramowania monitorującego wymianę danych pomiędzy: a) siecią lokalną i siecią rozległą, b) stanowiskiem komputerowym użytkownika i innymi urządzeniami w sieci lokalnej. 2) użytkownicy są odpowiedzialni za utrzymywanie stałej aktywności zainstalowanego na ich komputerach oprogramowania monitorującego wymianę danych pomiędzy ich komputerem a siecią lokalną. 17. Odnotowywanie w systemie informatycznym informacji o udostępnieniu danych osobowych Nazwa systemu informatycznego Wymóg rozporządzenia System rejestruje datę wprowadzenia danych do systemu System rejestruje identyfikator użytkownika wprowadzającego dane osobowe do systemu, chyba, że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba System rejestruje źródło danych, w przypadku zbierania danych, nie od osoby, której one dotyczą System rejestruje informacje o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba, że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych System rejestruje sprzeciw, o którym mowa w art. 32 ust. 1 pkt. 8 UODO VULCAN OPTIVUM SIO iarkusz Płatnik ZUS PZU ERU HERMES TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK ND - dane zbierane od osób, których dane dotyczą. ND - dane osobowe nie są udostępniane podmiotom trzecim (za wyjątkiem podmiotów uprawnionych do tego przez prawo). ND - dane osobowe nie są przetwarzane na podstawie art. 23 ust 1 pkt 4 i 5 Ustawy, w celach marketingowych, jak również nie są przekazywane innym administratorom danych. 18. Przeglądy i konserwacje systemu informatycznego 1. Przeglądy i konserwacje systemu powinny być wykonywane w terminach określonych przez producentów systemu oraz zgodnie z przyjętym harmonogramem konserwacji: Strona 22 z 23
1) nie rzadziej niż raz w tygodniu - a) kopie zapasowe baz danych zawierających dane osobowe, b) pełne skanowanie dysków twardych serwera programem antywirusowym, c) analiza logów programu antywirusowego po skanowaniu. 2) nie rzadziej niż raz w miesiącu - a) pełne skanowanie dysków twardych stacji programem antywirusowym, b) analiza logów programu antywirusowego po skanowaniu. 3) nie rzadziej niż raz na kwartał - a) aktualizacja oprogramowania antywirusowego, b) kontrola stanu urządzeń sieciowych. 4) nie rzadziej niż raz w roku - a) bezpośrednia kontrola wydajności programowej stacji roboczych, b) aktualizacja systemów operacyjnych stacji roboczych, c) analiza dzienników zdarzeń stacji roboczych w poszukiwaniu niepokojących symptomów, d) wysłanie wiadomości do użytkowników z pytaniem, czy występują jakieś problemy przy korzystaniu z systemu informatycznego, e) kontrola stanu zużycia części stałych drukarek, f) kontrola stanu okablowania i gniazdek sieciowych, g) fizyczna kontrola serwera, usuwanie kurzu, h) usuwanie kurzu z wnętrza stacji roboczych. 2. Aktualizacja oprogramowania powinna być przeprowadzana zgodnie z zaleceniami producentów oraz opinią rynkową dotyczącą bezpieczeństwa i stabilności nowych wersji. 3. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada ASI. 4. Nieprawidłowości w działaniu systemu informatycznego oraz oprogramowania powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. 5. Wszelkie prace konserwacyjne i naprawcze sprzętu komputerowego oraz uaktualnienia systemu informatycznego wykonywane przez podmiot zewnętrzny, powinny odbywać się na zasadach określonych w szczegółowej umowie z uwzględnieniem klauzuli dotyczącej ochrony danych. 6. W przypadku naprawy sprzętu komputerowego dane osobowe należy zabezpieczyć, natomiast w przypadku naprawy sprzętu poza terenem danej jednostki, po zabezpieczeniu - usunąć z dysku wykorzystując specjalistyczne oprogramowanie, a gdy nie ma możliwości usunięcia danych - naprawa powinna być nadzorowana przez ASI lub inną osobę upoważnioną. Strona 23 z 23