POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA
PRZETWARZANIA DANYCH OSOBOWYCH
W SZKOLE PODSTAWOWEJ
W NIERADZIE
Podstawa prawna:
1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych( tekst jedn. Dz. U. z 2002r. nr 101, poz. 926 z późn. zm.)
§ 1
- Polityka bezpieczeństwa przetwarzania danych osobowych w Szkole Podstawowej w Nieradzie, zwana dalej „ Polityką Bezpieczeństwa”, określa podstawowe zasady dotyczące zapewnienia bezpieczeństwa w zakresie danych osobowych przetwarzanych w zbiorach danych:
- tradycyjnych, tj. : kartotekach, księgach, aktach osobowych, skorowidzach, wykazach, rejestrach i zbiorach ewidencyjnych,
- w systemach informatycznych.
2. Ilekroć w Polityce Bezpieczeństwa jest mowa o:
- ustawie- rozumie się przez to ustawę z dnia 29 sierpnia 1997r. o ochronie danych osobowych( tekst jedn. Dz. U. z 2002r. nr 101, poz. 926 z późn. zm.)
- administrator bezpieczeństwa informatycznego(ABI)- rozumie się Dyrektora Szkoły Podstawowej w Nieradzie.
- lokalny administrator danych osobowych- rozumie się pracowników administracyjnych szkoły( sekretarka), wychowawców klas i oddziałów przedszkolnych, wychowawcę świetlicy, bibliotekarza i nauczycieli przedmiotów.
- administrator sieci- rozumie się osobę odpowiedzialną za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemów informatycznych, służących do przetwarzania danych osobowych.
- nośniki danych osobowych- dyskietki, płyty CD, pamięć flash, dydki twarde, taśmy magnetyczne lub inne urządzenia oraz materiały służące do przechowywania plików z danymi.
- osoba upoważniona( użytkownik)- osoba posiadająca upoważnienie wydane przez dyrektora szkoły
- dane osobowe- w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
- przetwarzanie danych- rozumie się przez to jakiekolwiek operacje wykonywane dna danych osobowych, tj. : zbieranie, utrwalanie, opracowywanie, zmienianie, udostępnianie i usuwania, a zwłaszcza te, które wykonuje się w systemach informatycznych,
- zbiór danych- to każdy zbiór posiadający strukturę zestawu danych osobowych, dostępnych według określonych kryteriów,
- system informatyczny- zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
- identyfikator użytkownika( login)- to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
- hasło- ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
- uwierzytelnianie- rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,
- poufności danych- rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
3. Dyrektor Szkoły Podstawowej w Nieradzie realizując Politykę Bezpieczeństwa dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były;
- przetwarzane zgodnie z prawem
- zbierane dla konkretnych, zgodnych z prawem celów i niepoddawane przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą.
4. Dyrektor Szkoły Podstawowej w Nieradzie dąży do systematycznego unowocześniania stosowanych na terenie szkoły informatycznych, technicznych i organizacyjnych środków ochrony tych danych w celu zabezpieczenia danych osobowych przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem przepisów o ochronie danych osobowych, nieautoryzowana zmiana, uszkodzeniem lub zniszczeniem.
§ 2
Wykaz zbiorów danych osobowych w Szkole Podstawowej w Nieradzie
- Dane osobowe gromadzone są w zbiorach:
I – Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych
II- Akta osobowe pracowników
III- Dokumentacja dotycząca polityki kadrowej
IV- Ewidencja zasobów szkoły- SIO
V- Księga uczniów
VI- Księga ewidencji
VII- Arkusze ocen
VIII- Dzienniki zajęć obowiązkowych i dodatkowych
IX- Arkusz organizacji szkoły
X- Protokoły Rady Pedagogicznej
XI- Rejestr uchwał Rady Pedagogicznej
XII- Teczki awansu zawodowego nauczycieli
XIII- Pomoc społeczna( stypendia, wyprawki, dofinansowania z GOPS w Poczesnej)
XIV- Orzeczenia i opinie PPPP w Częstochowie
XV- Podania o przyjęcie do szkoły i karty zgłoszenia do oddziału przedszkolnego
XVI- Skierowania na badania okresowe i specjalistyczne
XVII- Ewidencja zwolnień lekarskich
XVIII- Ewidencja urlopów, karty czasu pracy
XIX- Kartoteki wydanej odzieży ochronnej i środków ochrony indywidualnej
XX- Rejestr delegacji służbowych
XXI- Dokumentacja Zakładowego Funduszu Świadczeń Socjalnych
XXII- Listy płac pracowników
XXIII- Wyroki sądowe, nakazy komornicze
XXIV- Zbiory informacji o pracownikach
XXV- Deklaracje uczęszczania na lekcje religii, sprzeciw dot. udziału w zajęciach wychowania do życia w rodzinie
XXVI- Ewidencja decyzji dyrektora szkoły
XXVII- Rejestr zaświadczeń wydanych pracownikom szkoły
XXVIII- Rejestr wypadków
XXIX- Księga druków ścisłego zarachowania
XXX- Zbiór upoważnień
XXXI- Wykaz osób przystępujących do egzaminu zewnętrznego
XXXII- Umowy zawierane z osobami fizycznymi
XXXIII- Kontrola wewnętrzna- wyniki, opracowania, protokoły, notatki
XXXIX- Dokumenty archiwalne
- Zbiory danych osobowych wymienione w § 2 ust.1 podlegają przetwarzaniu w sposób tradycyjny i informatyczny.
§ 3
Wykaz budynków i pomieszczeń do przetwarzania danych osobowych
- Dane osobowe gromadzone i przetwarzane są w budynku Szkoły Podstawowej w Nieradzie, położonym w Michałowie przy ul. Laurowej 54; 42- 262 Poczesna.
- Pomieszczeniami do przetwarzania danych osobowych z użyciem sprzętu komputerowego oraz sposobem tradycyjnym( ręcznym) są;
- gabinet dyrektora
- sekretariat szkoły
- biblioteka szkolna
- pokój nauczycielski
- gabinet lekarski
- składnica akt
§ 4
Opis zdarzeń naruszających ochronę danych osobowych
- Rodzaje zdarzeń naruszających ochronę danych osobowych:
- Zagrożenia losowe zewnętrzne. Np. klęski żywiołowe, przerwy w zasilaniu. Ich występowanie może prowadzić do utraty integralności danych lub ich zniszczenia albo uszkodzenia infrastruktury technicznej systemu( ciągłość zostaje naruszona ale nie dochodzi do naruszenia danych osobowych.
- Zagrożenia losowe wewnętrzne, np. awarie sprzętu, niezamierzone pomyłki operatorów, błędy oprogramowania. W wyniku tego może dojść do zniszczenia danych. Może nastąpić również zakłócenie ciągłości pracy systemu i naruszenie poufności danych.
- Zagrożenia zamierzone( świadome i celowe naruszenie poufności danych). W wyniku ich wystąpienia zazwyczaj nie występuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy. W ramach tej kategorii zagrożeń mogą wystąpić:
* nieuprawniony dostęp do systemu z zewnątrz
* nieuprawniony dostęp do systemu z wewnątrz
* nieuprawnione przekazanie danych
* bezpośrednie zagrożenie materialnych składników np. kradzież, czy zniszczenie
2. Okoliczności zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to w szczególności:
- sytuacje losowe lub nieprzewidywalne oddziaływanie czynników zewnętrznych na zasoby systemu, np. wybuch gazu, pożar, zalanie pomieszczeń, uszkodzenie wskutek prowadzonych prac remontowych,
- niewłaściwe parametry środowiska, np. nadmierna wilgotność, temperatura, wstrząsy, oddziaływania pola elektromagnetycznego, przeciążenia napięcia,
- awarie sprzętu lub oprogramowania, które są celowym działaniem na potrzeby naruszenia ochrony danych osobowych,
- pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu,
- pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub niepożądaną modyfikację w systemie,
- naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,
- modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia,
- ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą procedur ochrony ich przetwarzania,
- podmienienie lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie w sposób niedozwolony danych osobowych,
- rażące naruszenie obowiązków w zakresie przestrzegania procedur i bezpieczeństwa informacji( np. niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce lub kserokopiarce, niewykonanie kopii zapasowych, prace na danych osobowych w celach prywatnych, itp.),
- nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskach, płytach CD, kartach pamięci oraz wydrukach komputerowych w formie niezabezpieczonej, tj. otwarte szafy, biurka, regały, składnica akt.
3. Szczegółowe zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
§ 5
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych
- Formy zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe:
- wszystkie pomieszczenia, w których przetwarzane są dane osobowe zamykane są na klucz, w przypadku opuszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych- także w godzinach pracy,
- dane osobowe przechowywane w wersji tradycyjnej, tj. papierowej lub elektronicznej( pamięć flash, płyty CD, DVD, dyskietki), po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe w sejfach,
- nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarkach,
- budynek, w którym są przetwarzane dane osobowe chroniony jest całodobowo przez pracowników firmy NET SERWIS
2. Formy zabezpieczeń przed nieautoryzowanym dostępem do danych osobowych:
- podłączenie urządzenia końcowego( komputera, drukarki) do sieci komputerowej szkoły dokonywane jest przez administratora sieci,
- udostępnianie użytkownikowi zasobów sieci zawierających dane osobowe przez administratora sieci następuje na podstawie upoważnienia do przetwarzania danych osobowych,
- identyfikacja użytkowników w systemie następuje poprzez zastosowanie uwierzytelnienia,
- udostępnianie kluczy do pomieszczeń, w których przetwarzane są dane osobowe tylko osobom upoważnionym,
- ustawienie monitorów na stanowiskach pracy uniemożliwiający wgląd w dane osobowe,
- wymuszenie zmiany hasła co 30 dni
3. Formy zabezpieczeń przed utratą danych osobowych w wyniku awarii:
- ochrona przed utratą danych poprzez cykliczne wykonywanie kopii zapasowych,
- zapewnienie właściwej temperatury i wilgotności w pomieszczeniach,
- zastosowanie ochrony przeciwpożarowej poprzez umieszczenie w dostępnej odległości gaśnic,
4. Organizację ochrony danych osobowych realizuje się poprzez:
- zapoznanie każdego pracownika z przepisami dotyczącymi ochrony danych osobowych przed dopuszczeniem do pracy,
- przeszkolenie osób w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem danych i programów,
- kontrolowanie pomieszczeń budynku,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- wyznaczenie administratora bezpieczeństwa informacji.