Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

Podobne dokumenty
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

ZARZĄDZENIE NR 22/2006 Wójta Gminy Gostycyn z dnia r.

Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W URZĘDZIE GMINY ŁYSE. Rozdział I Wprowadzenie

Polityka Bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNEJ BIBLIOTECE PUBLICZNEJ W BUKOWCU

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. służącym do przetwarzania danych osobowych

Zarządzenie Nr 35/VI/2012 Wójta Gminy Braniewo z dnia 25 maja 2012 r.

Polityka bezpieczeństwa informacji w serwisie techrobot.pl

3 Zarządzenie niniejsze obowiązuje od r. ... (podpis dyrektora)

POLITYKA OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Starostwie Powiatowym w Gostyniu

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik nr 1 do zarządzenia nr 10 dyrektora ZSO w Sokółce z dnia 30 grudnia 2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja. zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. w Ośrodku Pomocy Społecznej. w Dębnicy Kaszubskiej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI

I Postanowienia ogólne. II Rejestrowanie w systemie informatycznym

Instrukcja Postępowania w Sytuacji Naruszeń. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Polityka bezpieczeństwa. systemów informatycznych służących do przetwarzania danych osobowych. w Starostwie Powiatowym w Gryfinie

w Powiatowym Centrum Pomocy Rodzinie w Makowie Mazowieckim

POLITYKA BEZPIECZE ŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄ PRZETWARZANIADANYCH OSOBOWYCH W VILARTE POLSKA SP. Z O.O. ROZDZIAŁ 1 PODSTAWAPRAWNA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH. w Centrum Stomatologii MATHIAS-DENT Grażyna Mathias

POLITYKA BEZPIECZENSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Polityka Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Wilkowie

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY BORZECHÓW

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

Polityka bezpieczeństwa przetwarzania danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Radomsku

Polityka bezpieczeństwa systemów informatycznych Służących do przetwarzania danych osobowych w Urzędzie Gminy Krzemieniewo

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Polityka bezpieczeństwa przetwarzania danych osobowych i danych wrażliwych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Polityka bezpieczeństwa danych osobowych

OCHRONA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ VII DWÓR W GDAŃSKU

Polityka Bezpieczeństwa Ochrony Danych Osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

POLITYKA BEZPIECZEŃSTWA I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY BOLESZKOWICE

Regulamin. Ochrony Danych Osobowych i Informacji w Spółdzielni Mieszkaniowej w Ciechocinku. Postanowienia Ogólne

Instrukcja Zarządzania Systemem Informatycznym

SPIS TREŚCI. Część II Instrukcja w sprawie zasad postępowania przy przetwarzaniu danych osobowych

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ SKARPA MARYMONCKA I. POSTANOWIENIA OGÓLNE

REGULAMIN. organizacji i przetwarzania danych osobowych.

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Noworudzka Szkoła Techniczna

Rozdział I Zagadnienia ogólne

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

Załączniki do Polityki Bezpieczeństwa Informacji. Wzory dokumentów wewnętrznych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

POLITYKA BEZPIECZEŃS TWA

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

osobowych i ich zbiorów stanowiącą załącznik nr 1 do niniejszego zarządzenia.

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH PRZETWARZANIA DANYCH OSOBOWYCH W PUBLICZNEJ SZKOLE PODSTAWOWEJ W BEŁCZNIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W STANIEWICACH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ OŻARÓW W OŻAROWIE MAZOWIECKIM

Transkrypt:

Załącznik nr 1 do Zarządzenia Dyrektora Publicznego Gimnazjum nr 1 im Jana Pawła II w Ząbkach Nr 9 /2015 z dnia 1.10.2015 Polityka Bezpieczeństwa przetwarzania danych osobowych w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach Mając na względzie właściwe wykonywanie obowiązków administratora danych, określonych ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w celu zapewnienia ochrony przetwarzanych danych osobowych, Dyrektor Publiczego Gimnazjum nr 1 im Jana Pawła II w Ząbkach wdraża Politykę Bezpieczeństwa Przetwarzania Danych Osobowych w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach (zwaną dalej Polityką Bezpieczeństwa ), zgodnie z wymogami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów powołania i odwołania administratora bezpieczeństwa informacji (Dz.U z 2015 r. poz. 1934), Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych przez administratora bezpieczeństwa informacji (Dz.U z 2015 r. poz. 745). I. OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE. 1. Obszar przetwarzania danych osobowych stanowią budynki Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach, w których wykonywane są operacje na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie z użyciem sprzętu komputerowego lub w formie kartotek, skorowidzów, ksiąg, wykazów i innych zbiorów ewidencyjnych. Wykaz pomieszczeń określa Załącznik A do niniejszej Polityki Bezpieczeństwa. 2. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych, w sposób uniemożliwiający dostęp osób nieuprawnionych. Osoby postronne mogą przebywać wewnątrz wyżej wymienionego obszaru jedynie w obecności osoby upoważnionej do przetwarzania danych osobowych. W pomieszczeniach, w których przebywają 1

osoby postronne, monitory stanowisk dostępu powinny być ustawione w sposób uniemożliwiający wgląd w dane osobom nieuprawnionym. II. WYKAZ ZBIORÓW DANYCH OSOBOWYCH. Identyfikację zbiorów danych osobowych przetwarzanych w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach wraz ze wskazaniem programów zastosowanych do ich przetwarzania zawiera Załącznik B do niniejszej Polityki Bezpieczeństwa. III. STRUKTURA ZBIORÓW DANYCH OSOBOWYCH. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi zawiera Załącznik C do niniejszej Polityki Bezpieczeństwa. IV. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI. Sposób współpracy pomiędzy różnymi systemami informatycznymi, stosowanymi w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach określa Załącznik D do niniejszej Polityki Bezpieczeństwa. V. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA BEZPIECZEŃSTWA PRZETWANYCH DANYCH. A. Środki ochrony fizycznej. 1. Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych, jest wyposażony w system alarmowy. 2. Urządzenia służące do przetwarzania danych osobowych znajdują się w zamkniętych pomieszczeniach. B. Środki organizacyjne. 1. Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych sprawuje Dyrektor Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach i wykonuje zadania administratora danych osobowych polegające na: 1) opracowaniu i aktualizacji Polityki Bezpieczeństwa ; 2) prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w Publicznym Gimnazjum nr 1 i m Pawła II w Ząbkach 3) prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych, zgodnie z formularzem stanowiącym Załącznik E do niniejszej Polityki Bezpieczeństwa; 2

4) realizowaniu procedur związanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych osobowych podlegających rejestracji; 5) przeprowadzaniu szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do przetwarzania danych osobowych. 2. Administrator bezpieczeństwa informacji nadzoruje zabezpieczenie przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz przed zmianą, utratą, uszkodzeniem lub zniszczeniem, a ponadto wykonuje zadania administratora danych osobowych polegające na: 1) opracowaniu i aktualizacji instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych; 2) dokonywaniu okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych oraz wdrażaniu zmian w polityce bezpieczeństwa w celu zapewnienia właściwego poziomu ochrony przetwarzanych danych osobowych. 3. Do przetwarzania danych mogą być dopuszczeni pracownicy Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach posiadający upoważnienie nadane przez Dyrektora Gimnazjum Wzór upoważnienia określa Załącznik F do niniejszej Polityki Bezpieczeństwa. 4. Osoby upoważnione do przetwarzania danych, składają pisemne oświadczenie o zachowaniu w tajemnicy tych danych oraz sposobów ich zabezpieczenia. Osoby te są przeszkolone w zakresie przepisów o ochronie danych osobowych oraz poinstruowane o konsekwencjach przetwarzania danych osobowych niezgodnie z przepisami. Wzór oświadczenia określa Załącznik G do niniejszej Polityki Bezpieczeństwa. 5. Tymczasowe wydruki z danymi osobowymi po ustaniu ich przydatności są niszczone w niszczarkach. 6. Procedury postępowania w sytuacji naruszenia ochrony danych osobowych zostały zdefiniowane w Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych w systemie informatycznym w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach zwanej w dalszym ciągu dokumentu instrukcją, stanowiącej Załącznik Nr H do niniejszej Polityki Bezpieczeństwa. 7. Opracowano Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która stanowi Załącznik Nr 2 3

Załącznik Nr A W Y K A Z pomieszczeń Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach tworzących obszar, w którym są przetwarzane dane osobowe. L.p. Zbiór danych osobowych Adres Pomieszczenie 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 4

Załącznik B W Y K A Z ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach L.p. Zbiór danych osobowych Rodzaj systemu/programu Uwagi 1. 2. 3. 4. 5. 6. 7. 5

Załącznik C STRUKTURA ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach L.p. Zbiór danych osobowych Zawartość poszczególnych pól informacyjnych i powiązania między nimi 1. 2. 3. 4. 6

Załącznik Nr D SPOSÓB WSPÓŁPRACY POMIĘDZY RÓŻNYMI SYSTEMAMI INFORMATYCZNYMI, STOSOWANYMI W Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach L.p. Zbiór danych osobowych Rodzaj systemu/programu Sposób współpracy 7

Załącznik Nr E Ewidencja osób upoważnionych do przetwarzania danych osobowych w Publicznym Gimnazjum nr 1 im Jana Pawła Ii w Ząbkach L.p. Imię i nazwisko Zbiór danych osobowych Rodzaj systemu Data upoważnienia Uwagi 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 8

Załącznik Nr F Ząbki, dnia Pan/Pani zatrudniony/a w Publicznym Gimnazjum nr 1 w Ząbkach na stanowisku. UPOWAŻNIENIE Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) u p o w a ż n i a m Pana/Panią do obsługi systemu informatycznego funkcjonującego w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach oraz urządzeń wchodzących w jego skład, służących przetwarzaniu danych osobowych, w zakresie niezbędnym do wykonywania obowiązków służbowych, określonych w zakresie obowiązków z dnia Zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych, ma Pan/Pani obowiązek zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Niniejsze upoważnienie: 1) zostało wydane na czas 2) może być w każdym czasie cofnięte, 3) wygasa z dniem rozwiązania stosunku pracy z upoważnionym pracownikiem. Otrzymuje:. 9

Załącznik Nr G w z ó r OŚWIADCZENIE Ja, niżej podpisany/a.. oświadczam, iż zostałe/am zaznajomiony/a z przepisami dotyczącymi ochrony danych osobowych oraz pouczony/a o obowiązku zachowania w tajemnicy informacji uzyskanych w trakcie dokonywania operacji związanych z przetwarzaniem danych osobowych, również po ustaniu zatrudnienia. (data i podpis pracownika) 10

Załącznik Nr H Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w systemie informatycznym w Publicznym Gimnazjum nr 1 im Jana Pawła II I. Opis zdarzeń naruszających ochronę danych osobowych 1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp., b) niewłaściwe parametry środowiska, np. niewłaściwa wilgotność, temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje, c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub sabotaż, d) niewłaściwe działanie serwisu, w tym także pozostawienie serwisantów bez nadzoru, e) pojawienie się komunikatu alarmowego pochodzącego od części systemu zapewniającej ochronę zasobów lub innego komunikatu o podobnym znaczeniu, f) zła jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego, wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie, g) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, h) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze danych bez upoważnienia, i) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie informatycznym, j) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedur ochrony przetwarzania lub innych chronionych elementów systemu zabezpieczeń, k) funkcjonowanie systemu lub jego sieci komputerowej wykazujące odstępstwa od założonego rytmu pracy, uprawdopodobniające przełamanie lub zaniechanie ochrony danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie jest dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., l) obecność w obszarze bezpieczeństwa osób postronnych bez dozoru pracowników zatrudnionych przy przetwarzaniu danych osobowych, m) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki", itp., n) podmiana lub zniszczenie nośników z danymi osobowymi bez zachowania procedury; skasowanie lub skopiowanie danych osobowych w sposób niedozwolony, o) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie wydrukowanych danych osobowych w drukarce czy w kserografie, niewykonanie w określonym terminie kopii bezpieczeństwa, itp.). 2. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia fizycznego miejsc przetwarzania danych osobowych, np. pozostawienie otwartego 11

pomieszczenia w obszarze bezpieczeństwa; umożliwienie nieautoryzowanego dostępu do urządzeń archiwizujących itp. II. Postępowanie w przypadku naruszenia ochrony danych osobowych 3. W przypadku stwierdzenia naruszenia: a) zabezpieczenia systemu informatycznego, b) stanu urządzeń, c) zawartości zbioru danych osobowych, d) wynikającego z ujawnienia metody pracy lub sposobu działania programu, e) jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych, f) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. pożar itp.) g) każdy pracownik Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach zatrudniony przy przetwarzaniu danych osobowych jest obowiązany niezwłocznie powiadomić o tym fakcie administratora systemu i administratora bezpieczeństwa informacji. 4. Pracownicy, którzy stwierdzili naruszenie ochrony danych osobowych, o których mowa w pkt. 4 i 5 w oczekiwaniu na przebycie administratora bezpieczeństwa informacji muszą: a) zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku, b) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców, c) wstrzymać bieżącą pracę w celu zabezpieczenia miejsca zdarzenia, d) zaniechać, dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę, e) podjąć inne działania przewidziane i określone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzyszących naruszeniu, f) udokumentować wstępnie zaistniałe naruszenie, g) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora bezpieczeństwa informacji lub osoby upoważnionej. 5. Administrator bezpieczeństwa informacji po przybyciu na miejsce naruszenia ochrony danych osobowych: a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze wnioski z przeprowadzonych wcześniej symulacji zagrożeń oraz politykę bezpieczeństwa w tym zakresie, b) żąda dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem. 6. Administrator bezpieczeństwa informacji dokumentuje zaistniały przypadek naruszenia oraz sporządza raport, który powinien w szczególności zawierać: a) wskazanie osoby powiadamiającej o naruszeniu oraz innych osób zaangażowanych lub odpytanych w związku z naruszeniem, b) określenie czasu i miejsca naruszenia i powiadomienia, c) określenie rodzaju naruszenia i okoliczności towarzyszących, d) opis podjętego działania i metody postępowania, e) wstępną ocenę przyczyn wystąpienia naruszenia, f) ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego. 12

7. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu administrator bezpieczeństwa informacji zasięga niezbędnych opinii i proponuje postępowanie naprawcze, w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych. 8. Zaistniałe naruszenie powinno stać się przedmiotem szczegółowej, zespołowej analizy z udziałem dyrektora szkoły, administratora bezpieczeństwa informacji i administratora systemu. 9. Analiza, o której mowa w pkt. 7, powinna zawierać wszechstronną ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości. III. Postanowienia końcowe 10. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszej Instrukcji, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne. 11. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej procedury mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez pracownika, który wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomił o tym administratora bezpieczeństwa informacji. 13

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres