Załącznik Nr 1 do zarządzenia Nr 3/021/2013 polityka ochrony danych osobowych przetwarzanych w zespole szkóŁ nr 1 im. J. Piłsudskiego w limanowej



Pobieranie 75.2 Kb.
Data08.05.2016
Rozmiar75.2 Kb.
Załącznik Nr 1 do zarządzenia Nr 3/021/2013
POLITYKA OCHRONY DANYCH OSOBOWYCH PRZETWARZANYCH

W ZESPOLE SZKÓŁ NR 1 im. J. PIŁSUDSKIEGO W LIMANOWEJ


  1. Postanowienia ogólne




  1. Celem niniejszej polityki jest wskazanie działań, jakie należy podejmować oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych osobowych w zakresie zabezpieczenia przetwarzanych danych osobowych.

  2. Dyrektor Szkoły, wykonując zadania administratora danych osobowych, świadomy wagi problemów związanych z ochroną danych osobowych deklaruje:

  1. dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnienia, aby dane te były:

  1. przetwarzane zgodnie z prawem,

  2. zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

  3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

  4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,

  1. zamiar podejmowania działań doskonalących i rozwijających organizacyjne i techniczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom,

  2. zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w zakresie problematyki bezpieczeństwa danych osobowych.

  1. Polityka odnosi się do danych osobowych przetwarzanych zarówno w formie tradycyjnej jak i w systemach informatycznych i obowiązuje wszystkie osoby upoważnione do przetwarzania danych osobowych.




  1. Organizacja przetwarzania danych osobowych




  1. Administrator danych osobowych realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

  1. Upoważnia poszczególne osoby do przetwarzania danych osobowych w stosownym, indywidualnie określonym zakresie.

  2. Wyznacza osoby związane z organizacją przetwarzania danych osobowych i określa ich zadania.

  3. Wprowadza dokumentację przetwarzania danych osobowych.

  4. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych.

  5. Podejmuje decyzje o zakresie, celach i środkach przetwarzania i ochrony danych osobowych.

  6. Odpowiada za zgodne z prawem przetwarzanie danych osobowych.

  1. Administrator bezpieczeństwa informacji w szczególności:

  1. Określa potrzeby w zakresie stosowania zabezpieczeń, wnioskuje do ADO o zatwierdzenie proponowanych rozwiązań i nadzoruje prawidłowość ich wdrożenia.

  2. Sprawuje nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych.

  3. Sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także prowadzeniem ewidencji z zakresu ochrony danych osobowych.

  4. Nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom.

  5. Sporządza projekty dokumentów dotyczących ochrony danych osobowych.

  6. Nadzoruje i organizuje aktualizację dokumentacjo dot. przetwarzania danych osobowych.

  7. Podejmuje odpowiednie działania w wypadku naruszenia lub podejrzenia naruszenia systemu informatycznego.

  1. Osoba upoważniona do przetwarzania danych osobowych:

  1. Może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez administratora danych i tylko w celu wykonywania nałożonych na niego obowiązków. Rozwiązanie stosunku pracy powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych.

  2. Pisemnie oświadcza, że zobowiązuje się do zachowania tajemnicy danych osobowych oraz przestrzegania procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji.

  3. Zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych.

  4. Stosuje określone przez administratora danych oraz administratora bezpieczeństwa informacji procedury oraz wytyczne mające na celu zgodne z prawem przetwarzanie danych.

  5. Zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.

  1. Naruszenie procedur bezpiecznego przetwarzania tych danych, w szczególności świadome udostępnienie danych osobie niepowołanej, jest ciężkim naruszeniem obowiązków pracowniczych i może uzasadnić rozwiązanie umowy o prace bez wypowiedzenia.




  1. Obszar przetwarzania danych osobowych

Obszarem przetwarzania danych osobowych w Szkole są pomieszczenia w budynku posadowionym przy ul. J. Piłsudskiego 81 w Limanowej oraz pomieszczenia w budynku posadowionym przy ul. Witosa 5 w Limanowej, wykazane w niżej zamieszczonej tabeli.




Lp.

Adres – budynek

Pomieszczenia

1.

34 – 600 Limanowa, ul. Piłsudskiego 81 BUDYNEK A

gabinet dyrektora, gabinet wicedyrektora, sekretariat, księgowość, gabinet pedagoga szkolnego, pokój nauczycielski, biblioteka, sale lekcyjne, sala gimnastyczna, hala sportowa, internat, składnica akt

2.

34 – 600 Limanowa, ul. Witosa 5 BUDYNEK B

gabinet wicedyrektora, sekretariat, gabinet pedagoga szkolnego, pokój nauczycielski, biblioteka, sale lekcyjne, sala gimnastyczna, składnica akt



  1. Zbiory danych osobowych przetwarzanych w Szkole




  1. Zbiory danych osobowych przetwarzanych tradycyjnie w formie papierowej




Nr zbioru

NAZWA ZBIORU

STRUKTURA ZBIORU

1

Akta osobowe


PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/płeć/adres stały/ numer telefonu/ e-mail/ dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny /stosunek do służby wojskowej (dokument wojskowy, seria i numer, stopień wojskowy)/ numer legitymacji służbowej/ posiada gospodarstwo rolne/ emeryt/rencista/obywatelstwo obce/ osoba kontaktowa/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/tytuł zawodowy/zawód wyuczony i wykony-wany/uzyskane kwalifikacje/ nieobecności w pracy

2

Ewidencja akt osobowych

imię i nazwisko

3

Orzeczenia lekarskie

PESEL/ imię i nazwisko/ adres stały/ informacje o stanie zdrowia

4

Karty zasiłkowe

PESEL/NIP/imię i nazwisko/ data urodzenia/okresy niezdolności do pracy/wysokość zasiłków

5

Kartoteka zarobkowa

imię i nazwisko/wysokość zarobków

6

Informacje o zarobkach (PIT- y)

PESEL/NIP/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały/wysokość zarobków

7

Zaświadczenia

PESEL/NIP/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały/wysokość zarobków/ nr dowodu osobistego

8

Dokumentacja dotycząca ZFŚS

PESEL/NIP/imię i nazwisko/data i miejsce urodzenia/ adres zamieszkania/informacje o stanie zdrowia/ informacje o wysokości dochodów

9

Dokumentacja ubezpieczeniowa

PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały/ informacje o stanie zdrowia

10

Arkusz organizacyjny

PESEL/imię i nazwisko/ staż pracy/ tytuł zawodowy/ ukończone kursy/ uzyskane kwalifikacje/ zawód wyuczony i zawód wykonywany/ warunki zatrudnienia/ nieobecności w pracy

11

Dokumentacja awansów zawodowych nauczycieli

imię i nazwisko/ data i miejsce urodzenia/ adres stały/ wykształcenie/ historia pracy/ uzyskane kwalifikacje

12

Dokumentacja uczniów


PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/płeć /adres stały /numer telefonu/ e-mail/ dowód osobisty (seria, nr i rodzaj, wydany przez, data wydania)/ imię i nazwiska rodziców (opiekunów prawnych), adresy rodziców (opiekunów prawnych)/ stan cywilny/numer legitymacji szkolnej/ obywatelstwo obce/osoba kontaktowa/ wykształcenie/ historia nauki/ nazwa szkoły i rok ukończenia/ numer konta/ wyznanie/ informacje o stanie zdrowia

13

Księga uczniów


PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/adres stały imię, nazwiska i adresy rodziców (opiekunów prawnych)

14

Księga meldunkowa

PESEL/imię i nazwisko/imiona rodziców/data i miejsce urodzenia/ adres pobytu stałego/nr aktu urodzenia lub dowodu osobistego ucznia

15

Dziennik zajęć internatu

PESEL/imię i nazwisko/ data i miejsce urodzenia/płeć /adres stały (miejscowość, ulica, numer domu, numer mieszkania)/numer telefonu/imię i nazwiska rodziców (opiekunów prawnych), adresy i numer telefonu rodziców (opiekunów prawnych

16

Dzienniki lekcyjne, dzienniki zajęć


PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/płeć /adres stały (miejscowość, ulica, numer domu, numer mieszkania)/numer telefonu/ dowód osobisty (seria, nr i rodzaj, wydany przez, data wydania)/ imię i nazwiska rodziców (opiekunów prawnych), adresy i numer telefonu rodziców (opiekunów prawnych)/ stan cywilny/ obywatelstwo obce/ nieobecności w szkole/uzyskane oceny

17

Arkusze ocen


PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały (miejscowość, ulica, numer domu, numer mieszkania)/ imię, nazwiska i adresy rodziców (opiekunów prawnych)/uzyskane oceny

18

Rejestr wydanych legitymacji

imię i nazwisko/ klasa/ numer legitymacji

19

Rejestr wydanych zaświadczeń

imię i nazwisko/klasa/

20

Księga absolwentów

imię i nazwisko/ numer w księdze uczniów/ numer świadectwa/ data ukończenia szkoły

21

Świadectwa i duplikaty

PESEL/imię i nazwisko/ data i miejsce urodzenia/ data wydania/ uzyskane oceny

22

Legitymacje uczniowskie

imię i nazwisko/data urodzenia/ miejsce zamieszkania

23

Dokumentacja ubezpieczeniowa

PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały

24

Protokoły powypadkowe

imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ adres stały/ informacje o stanie zdrowia

25

Karta zdrowia ucznia

PESEL/imię i nazwisko/ data i miejsce urodzenia/ adres/ imiona rodziców/ informacje o stanie zdrowia

26

Orzeczenie o niepełnosprawności

imię i nazwisko/data i miejsce urodzenia/PESEL/ rodzaj i nr dokumentu tożsamości/adres zamieszkania/ stopień i symbol niepełnosprawności/wskazania/ uzasadnienie

27

Orzeczenie o potrzebie kształcenia specjalnego

imię i nazwisko wnioskodawcy oraz ucznia/data i miejsce urodzenia ucznia/adres zamieszkania/klasa/ imiona i nazwiska rodziców(opiekunów prawnych) oraz ich adres zamieszkania stopień upośledzenia/ diagnoza/zalecenia/uzasadnienie

28

Zaświadczenie lekarskie

imię i nazwisko/data urodzenia/PESEL/ucznia/ informacja o stanie zdrowia



  1. Zbiory danych osobowych przetwarzanych w systemie informatycznym

Administrator danych posiada następujące systemy informatyczne:




Nr zbioru

NAZWA ZBIORU - PROGRAMU INFORMATYCZNEGO

STRUKTURA ZBIORU

29

SATURN HR - Kadry


PESEL/ NIP/ imię (imiona) i nazwisko/ nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały/ numer telefonu/ e-mail/ dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/ numer legitymacji służbowej/ posiada gospodarstwo rolne/ emeryt/ rencista/ obywatelstwo obce/ dane osoby kontaktowej/ wykształcenie/ nazwa szkoły i rok ukończenia/ staż pracy/ historia pracy/ warunki zatrudnienia/ wysokość wynagrodzenia /ukończone kursy/ kary i nagrody/ nieobecności w pracy/ informacja o karalności/ informacje o stanie zdrowia

30

PŁATNIK

PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia

31

SATURN HR - Płace

PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia

32

SQOLA - Księgowość

PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia/ numer konta bankowego

33

SIO

PESEL/płeć/wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/ zawód wyuczony i wykonywany/ uzyskane kwalifikacje/ nieobecności w pracy

34

OPTIVUM - Sekretariat


PESEL/imię i nazwisko/ data i miejsce urodzenia/ płeć/adres stały /numer telefonu/e-mail/ dowód osobisty (seria, numer i rodzaj, wydany przez, data wydania)/ imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ stan cywilny/ numer legitymacji szkolnej/

35

OPTIVUM - Świadectwa

PESEL/imię i nazwisko/ data i miejsce urodzenia/ informacje o wynikach w nauce

36

OBIEG

PESEL/ imię (imiona) i nazwisko/ imiona rodziców/ adres/ data i miejsce urodzenia

37

OPTIVYM – Biblioteka

imię i nazwisko/ klasa

38

OPTIVUM - Arkusze Ocen


PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały (miejscowość, ulica, numer domu, numer mieszkania)/ imię, nazwiska i adresy rodziców (opiekunów prawnych)/uzyskane oceny

39

OPTIVUM - Rekrutacja

PESEL/imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały (miejscowość, ulica, numer domu, numer mieszkania)/ imię, nazwiska i adresy rodziców (opiekunów prawnych)/uzyskane oceny




  1. Poziom bezpieczeństwa przetwarzania danych w systemie informatycznym i sposób przepływu danych pomiędzy poszczególnymi systemami

Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji Zarządzania Systemem Informatycznym

W ramach procesów przetwarzania danych osobowych nie dochodzi do przepływu danych pomiędzy różnymi systemami informatycznymi.


  1. W systemach informatycznych obowiązują zabezpieczenia na poziomie wysokim.

  2. Najważniejszymi zastosowanymi środkami zabezpieczenia danych w systemach informatycznych są:

  1. identyfikatory użytkownika i hasła dostępu do systemu,

  2. identyfikatory użytkownika i hasła dostępu do aplikacji,

  3. wygaszacze ekranu.

  1. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzania danych




  1. Do elementów zabezpieczenia danych osobowych zalicza się:

  1. stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne)

  2. zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności dokumentów papierowych i elektronicznych),

  3. nadzór Administratora Bezpieczeństwa Informacji nad realizacją wprowadzonych zasad i procedur zabezpieczenia danych (zabezpieczenia organizacyjne),

  4. kompleksowe i całościowe traktowanie zabezpieczenia danych przez wszystkie podmioty i osoby biorące udział w przetwarzaniu danych.

  1. Rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych:

  1. zabezpieczenia fizyczne:

- całodobowy system monitorowania budynków,

- system alarmowy budynków,

- pomieszczenia zamykane na klucz,

- szafy z zamkami,

b) zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:

- przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach,

- przetwarzanie danych osobowych następuje przez wyznaczone i przeszkolone do tego celu osoby,

c) zabezpieczenia organizacyjne:

- Administrator Bezpieczeństwa Informacji na bieżąco monitoruje pracę systemu informatycznego z należytą starannością, zgodnie z a aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami,

- nie rzadziej, niż raz na miesiąc przeprowadza się kontrolę stanu bezpieczeństwa systemu informatycznego i przestrzegania zasad ochrony danych osobowych, a w przypadkach wykrycia rażących zaniedbań sporządza ich opis w formie protokołu lub raportu i niezwłocznie przedkłada je Administratorowi Bezpieczeństwa Informacji.

d) organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:

- przetwarzać dane osobowe mogą jedynie pracownicy, którzy posiadają stosowne upoważnienie przyznane przez Administratora Danych Osobowych,

- w trakcie przetwarzania danych osobowych, pracownik jest osobiście odpowiedzialny za bezpieczeństwo powierzonych mu danych,

- przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, pracownik winien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone, oraz czy zabezpieczenia te nie były naruszone. Fakt naruszenia winien być każdorazowo zgłaszany Administratorowi Bezpieczeństwa Informacji,

- w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego nieupoważnione,

- po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych.



  1. W ramach zabezpieczenia danych osobowych ochronie podlegają:

  1. sprzęt komputerowy – serwery, komputery osobiste, komputery przenośne, drukarki i inne urządzenia zewnętrzne,

  2. oprogramowanie – kody źródłowe, programy, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne,

  3. dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie informatycznym,

  4. hasła użytkowników,

  5. pliki dziennych operacji systemowych i baz danych , kopie zapasowe i archiwa,

  6. użytkownicy i administratorzy, którzy obsługują i używają system informatyczny,

  7. dokumentacja – zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje, itp.,

  8. wydruki,

  9. dokumentacja papierowa związana z przetwarzaniem danych, z której dane są wprowadzane do systemu informatycznego lub też jest wykorzystywana niezależnie od systemu informatycznego.




  1. Analiza ryzyka związanego z przetwarzaniem danych osobowych




FORMA PRZETWARZANIA DANYCH

ZAGROŻENIA

dane przetwarzane w sposób tradycyjny


- oszustwo, kradzież, sabotaż;

- zdarzenia losowe (powódź, pożar);

- zaniedbania pracowników szkoły (niedyskrecja, udostępnienie danych osobie nieupoważnionej);

- niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania;

- pokonanie zabezpieczeń fizycznych;

- podsłuchy, podglądy;

- brak rejestrowania udostępniania danych;

- niewłaściwe miejsce i sposób przechowywania dokumentacji;



dane przetwarzane w systemach informatycznych

- niewłaściwa administracja systemem;

- niewłaściwa konfiguracja systemu;

- zniszczenie (sfałszowanie) kont użytkowników;

- kradzież danych kont;

- pokonanie zabezpieczeń programowych;

- zaniedbania pracowników szkoły (niedyskrecja, udostępnienie danych osobie nieupoważnionej);

- niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania;

- zdarzenia losowe (powódź, pożar);

- niekontrolowane wytwarzanie i wypływ danych poza obszar przetwarzania z pomocą nośników informacji i komputerów przenośnych;

- naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione;

- przypadkowe bądź celowe uszkodzenie systemów i aplikacji informatycznych lub sieci;

- przypadkowe bądź celowe modyfikowanie systemów i aplikacji informatycznych lub sieci;



- przypadkowe bądź celowe wprowadzenie zmian do chronionych danych osobowych



  1. Postanowienia końcowe




  1. Administrator Bezpieczeństwa Informacji okresowo analizuje zagrożenia i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonuje inwentaryzacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności opisowi zawartemu w punktach II – V polityki bezpieczeństwa.

  2. Dokumentem, który normuje procedury zarządzania systemem informatycznym służącym do przetwarzania danych osobowych jest instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

  3. Treść niniejszej polityki ma charakter poufny, chroniony tajemnic a pracodawcy na zasadzie art. 100 § 2 pkt 4 Kodeksu Pracy.



Załączniki do polityki:

  1. Upoważnienie do przetwarzania zbiorów danych osobowych,

  2. Unieważnienie upoważnienia do przetwarzania zbiorów danych osobowych,

  3. Oświadczenie

  4. Zgoda na przebywanie w obszarze przetwarzania danych,

  5. Odwołanie zgody

  6. Zgoda na przetwarzanie danych osobowych

  7. Rejestr osób upoważnionych do przetwarzania danych osobowych





©absta.pl 2019
wyślij wiadomość

    Strona główna