Załącznik nr 2 do Zarządzenia Dyrektora Publicznego Gimnazjum nr 1 im Jana Pawła II w Ząbkach Nr 9 /2015 z dnia 1.10.2015 I n s t r u k c j a Zarządzania Systemem Informatycznym do Przetwarzania Danych Osobowych w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach 1. Instrukcja niniejsza, zwana w dalszej części Instrukcją, określa zasady zarządzania, administrowania i dostępu do systemu informatycznego służącego przetwarzaniu danych osobowych w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach, zwanym w dalszej części Szkołą. 2. Instrukcja została opracowana zgodnie z wymogami określonymi : ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U z 2002 r. Nr 101, poz. 926 ze zm.) w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) oraz na podstawie Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów powołania i odwołania administratora bezpieczeństwa informacji (Dz.U z 2015 r. poz. 1934), Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych przez administratora bezpieczeństwa informacji (Dz.U z 2015 r. poz. 745). 3. 1. Dane osobowe to wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na
numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby tylko wówczas, gdy wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3 ustawy o ochronie danych osobowych). 2. Zasady proceduralne i wymogi określone w Instrukcji mają zapewnić możliwie najwyższy poziom zabezpieczenia danych osobowych przed dostępem osób nieuprawnionych oraz przed ich utratą lub dezintegracją. 3. Szkoła jest Właścicielem danych osobowych zebranych i przetwarzanych w swoim Systemie Informatycznym, a w szczególności dane na temat pracowników, uczniów, absolwentów oraz rodziców i opiekunów prawnych. 4. Dane osobowe mogą być przechowywane na komputerach i serwerach w pomieszczeniach Szkoły lub na zewnętrznych serwerach dostawców elementów oprogramowania Systemu Informatycznego Szkoły (np. Dziennik Elektroniczny), jeżeli spełnione będą wymogi określone w ustawie o ochronie danych osobowych. 4. 1. W Szkole osobą odpowiedzialną za bezpieczeństwo danych osobowych jest Dyrektor. 2. Dyrektor Szkoły może wyznaczyć pracownika Administratora Systemu Informatycznego, zwanego w dalszej części Administratorem, który będzie stale i na bieżąco dbał o właściwe funkcjonowanie i zabezpieczenie Systemu Informatycznego, zgodnie z zasadami Instrukcji. 5. 1. Dostęp do danych osobowych mogą mieć wyłącznie osoby upoważnione przez Dyrektora, zgodnie zakresem swoich obowiązków pracowniczych i tylko w zakresie niezbędnym do wykonywania tych obowiązków. 2. Administrator tworzy w Systemie Informatycznym konta użytkowników dla osób upoważnionych przez Dyrektora i konfiguruje uprawnienia dostępu do danych osobowych. 3. Osoba upoważniona do dostępu do danych osobowych Systemie Informatycznym Szkoły, zwana w dalszej części Uprawnionym otrzymuje od Administratora niezbędne informacje (loginy, hasła etc.) oraz instruktaż, które umożliwiają dostęp do zasobów Systemu. 4. Uprawnioną, w wyjątkowych przypadkach, może być także osoba nie będąca pracownikiem Szkoły, która wykonuje na rzecz Szkoły specjalistyczne czynności np. związane z serwisowaniem programów, usuwaniem usterek w ich działaniu itp. Uprawnienie takie nadaje się tylko w ograniczonym zakresie, niezbędnym do wykonania zleconych czynności i cofa je bezzwłocznie po ich wykonaniu. 5. W bardzo ograniczonym zakresie Uprawnionymi są także rodzice i opiekunowie prawni, którym umożliwia się dostęp tylko do Dzienniczka Uczniowskiego.
6. Uprawniony : a) przegląda dane osobowe i edytuje je w Systemie Informatycznym wyłącznie w związku z funkcjonowaniem Szkoły i w zakresie swoich obowiązków służbowych i uprawnień, b) nie przekazuje poznanych informacji innym, ani nie kopiuje ich na nośniki zewnętrzne, c) chroni swoje dane dostępowe, zwłaszcza hasło, którego pod żadnym pozorem nie udostępnia nikomu, d) w przypadku odtajnienia (np. złamania) hasła, zmienia je natychmiast samodzielnie lub bezzwłocznie zwraca się o to do Administratora, e) po zakończeniu pracy w programie związanym z dostępem do danych osobowych, natychmiast wylogowuje się z tego programu i zamyka jego działanie, f) przerywając pracę z komputerem na dłuższy czas zwłaszcza, gdy opuszcza pomieszczenie, powinien wylogować się z systemu operacyjnego lub zablokować działanie systemu operacyjnego tak, aby wznowienie działania systemu wymagało podania hasła, g) kończąc pracę z komputerem zamyka system operacyjny i wyłącza zasilanie komputera, h) informuje Dyrektora lub Administratora o zauważonych problemach, które mogą stwarzać zagrożenie dla ochrony danych osobowych, zwłaszcza o podejrzeniu włamania lub wglądu do Systemu Informatycznego przez osoby nieuprawnione. 7. W celu właściwej ochrony danych osobowych szkolny System Informatyczny powinien, odpowiadać następującym wymogom: 1) wewnętrzna sieć komputerowa (LAN) służąca szkolnej administracji i kadrze pedagogicznej powinna być odseparowana od edukacyjnej sieci komputerowej, z której korzystają uczniowie, 2) serwery baz danych powinny znajdować się w pomieszczeniu (serwerowni) dostępnym wyłącznie dla osób upoważnionych przez Dyrektora, 3) komputery nauczycielskie i administracyjne powinny być uwierzytelnianie przez centralny serwer, a z komputerów nieuwierzytelnionych nie może być dostępu do zasobów serwera, 4) komputery (także np. smartfony) nieuwierzytelnione mogą, za zgodą Dyrektora, mieć możliwość łączenia się z Internetem przez specjalnie skonfigurowane i zabezpieczone bezprzewodowe punkty dostępowe (Access Point), 5) szkolne komputery przenośne (laptopy, tablety itd.), zawierające dane osobowe lub umożliwiające zdalny dostęp do nich, mogą być wynoszone poza teren Szkoły tylko za zgodą Dyrektora i wówczas wymagają szczególnej ochrony przez Uprawnionego, który nie ma prawa udostępniać osobom postronnym takiego sprzętu.
8. 1. Oprogramowanie komputerów Systemu Informatycznego: a) musi pochodzić wyłącznie z legalnych źródeł, b) musi być użytkowane zgodnie z warunkami licencji - dotyczy to także pobranego (np. z Internetu) oprogramowania udostępnionego do nieodpłatnego użytkowania, c) instalowane wyłącznie przez osoby upoważnione przez Dyrektora Administratora lub np. zewnętrznych dostawców oprogramowania, d) wyjątkowo może być instalowane przez użytkowników samodzielnie tylko za zgodą Dyrektora, w ramach ograniczeń systemu operacyjnego i wyłącznie takie, które jest niezbędne lub bardzo pomocne w związku z wykonywanymi obowiązkami. 2. Administrator, za zgodą Dyrektora, może w każdej chwili, nawet bez konieczności uzyskiwania zgody użytkownika, odinstalować zainstalowane przez użytkownika oprogramowanie, jeśli: a) stwierdzi nielegalność jego pochodzenia lub użytkowanie niezgodne z warunkami licencji, b) stwierdzi, że zainstalowany program zakłóca pracę systemu operacyjnego lub nadmiernie przeciąża komputer w stopniu dokuczliwie spowalniającym jego pracę, c) stwierdzi, że program może zawierać szkodliwe kody (wirusy, itp.) mogące stanowić zagrożenie dla szkolnego Systemu Informatycznego, d) uzna, że zainstalowany program zupełnie nie ma związku z obowiązkami użytkownika, a może być przyczyną problemów technicznych lub przestał być potrzebny i nie jest już wykorzystywany. 3. Administrator sukcesywnie monitoruje stan oprogramowania komputerów, aktualizuje system i programy zabezpieczające (antywirusowe) oraz usuwa napotkane problemy. 4. Użytkownicy sygnalizują administratorowi potrzebę zainstalowania potrzebnych programów lub konieczność aktualizacji systemu na użytkowanych przez nich komputerach. 9. Procedura nadawania uprawnień użytkownikom systemu: 1) Dyrektor uprawnia przyjętego do pracy pracownika wręczając mu pisemne upoważnienie, określone w 5., p.2., precyzujące zakres uprawnień w Systemie Informatycznym i dostęp do określonych zbiorów danych osobowych, 2) Administrator tworzy dla Uprawnionego: a) osobiste, służbowe konto poczty elektronicznej z adresem elektronicznym i tymczasowym hasłem,
b) konto użytkownika do systemu operacyjnego komputera pracującego pod kontrolą szkolnego serwera z jednorazowym hasłem, wymagającym zmiany w trakcie pierwszego logowania do Systemu, skonfigurowane odpowiednio, 3) Administrator w programach przetwarzających dane osobowe tworzy dla przyjętego nauczyciela / pracownika administracji konta użytkownika i konfiguruje odpowiednio uprawnienia, 4) Administrator Dziennika Elektronicznego dla rodzica lub opiekuna prawnego przyjętego do szkoły ucznia tworzy konto użytkownika z uprawnieniami do korzystania z Elektronicznego Dzienniczka Ucznia, 5) Uprawniony logując się po raz pierwszy do udostępnionych mu systemów i serwisów zmienia od razu tymczasowe lub jednorazowe hasła na znane tylko jemu. 10. 1. Zmiana zakresu uprawnień dostępu do Systemu Informatycznego możliwa jest tylko decyzją Dyrektora. 2. W wyjątkowych, uzasadnionych zagrożeniem dla danych osobowych, przypadkach Administrator może natychmiast uniemożliwić (zablokować konto) dostęp Uprawnionemu informując jednocześnie Dyrektora. Konto takie może zostać ponownie odblokowane po ustaniu przyczyny powodu jego zablokowania lub bezzwłocznie na polecenie Dyrektora. 3. Konta odchodzącego z pracy pracownika wyłączane są w dniu ustania stosunku pracy, chyba że Dyrektor zadecyduje inaczej. 11. Dane dostępowe (adresy IP i http, ścieżki dostępu, loginy i hasła) do kont z uprawnieniami administracyjnymi do: a) serwerów szkolnych, b) szkolnych serwisów internetowych (poczta, www, ftp, platformy edukacyjne i portale społecznościowe itd.) na serwerach zewnętrznych, c) programów umożliwiających dostęp do danych osobowych w szkolnym Systemie Informatycznym (na serwerach własnych i zewnętrznych), d) zarządzalnych urządzeń sieciowych (routery, modemy, drukarki itd.) gromadzi i zabezpiecza Administrator, przekazując aktualny ich wykaz Dyrektorowi do zdeponowania w zapieczętowanej kopercie w szkolnym sejfie. Tak zabezpieczony wykaz umożliwi Dyrektorowi działanie pod nieobecność Administratora lub natychmiastową zmianę haseł w przypadku zmiany osoby Administratora.