POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W XVI LO z ODDZIAŁAMI DWUJĘZYCZNYMI im. STEFANII SEMPOŁOWSKIEJ W WARSZAWIE
PODSTAWY PRAWNE:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu tych danych oraz uchylenia dyrektywy 95/94 WE ( ogólne rozporządzenia o ochronie danych osobowych)
- Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2017 r. poz. 59)
- Ustawa z dnia 14 grudnia 2016 r. Przepisy wprowadzające ustawę – Prawo oświatowe (Dz. U. z 2017 r. poz. 60)
- Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2004 r. Nr 256, poz. 2572, z późn. zm.),
- Rozporządzenie Ministra Edukacji Narodowej z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. poz. 1170)
- I. POSTANOWIENIA WSTĘPNE
- 1. „Polityka bezpieczeństwa w zakresie przetwarzania danych osobowych w XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie”, jest dokumentem zwanym dalej polityką bezpieczeństwa, który określa zasady i procedury przetwarzania i przechowywania danych osobowych.
- 2. Celem niniejszego dokumentu jest podjęcie takich działań, które zapewnią pozyskiwanie i przetwarzanie danych osobowych zgodnie z przepisami prawa oraz ich maksymalną ochronę przed nieuprawnionym ujawnieniem, modyfikacją, utratą lub zniszczeniem.
- 3. Niniejsza polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, aktach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych.
- 4. Polityka bezpieczeństwa zawiera środki techniczne i organizacyjne, służące zapewnieniu ochrony przetwarzanych danych.
- 5. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych zatrudnionych w XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie.
- II. DEFINICJE
administrator danych osobowych – rozumie się przez to osobę, ustalającą cele i sposoby przetwarzania danych. W XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie funkcję administratora danych pełni dyrektor szkoły;
inspektor ochrony danych – rozumie się przez to osobę, której zadaniem będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych. W XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie funkcję inspektora pełni osoba zatrudniona przez organ prowadzący;
dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
zbiór danych – zestaw danych osobowych posiadający określoną strukturę, prowadzony wg określonych kryteriów oraz celów;
przetwarzanie danych – wykonywanie jakichkolwiek operacji na danych osobowych, np. zbieranie, utrwalanie, opracowywanie, udostępnianie, zmienianie, usuwanie;
hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
identyfikator użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (login),
osoba upoważniona do przetwarzania danych osobowych – rozumie się przez to pracownika szkoły, który upoważniony został do przetwarzania danych osobowych przez dyrektora szkoły na piśmie;
poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
sieć publiczna – rozumie się przez to sieć telekomunikacyjną, wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;
system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
III. ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH
- Administrator danych osobowych (ADO) - dyrektor szkoły :
- podejmuje decyzje o celach i środkach przetwarzania danych osobowych,
- udziela upoważnień do przetwarzania danych osobowych oraz je odwołuje,
- podpisuje umowy przetwarzania danych w imieniu administratora przez podmiot przetwarzający (np. dziennik elektroniczny)
- prowadzi dokumentację z zakresu ochrony danych, w tym rejestr przetwarzania danych,
- odpowiada za bezpieczne przetwarzanie danych,
- dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem,
- podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych.
- 2. Osoba upoważniona do przetwarzania danych.
- może przetwarzać dane osobowe wyłącznie w celu wykonywania nałożonych obowiązków. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych;
- musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji;
- zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych;
- stosuje określone przez administratora danych procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych;
- korzysta z systemu informatycznego administratora danych w sposób zgodny ze wskazówkami zawartymi w instrukcji obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników;
- zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.
- IV. ŚRODKI TECHNICZNE I ORGANIZACYJNE OCHRONY DANYCH OSOBOWYCH
- Została opracowana i wdrożona polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym.
- Dane są przetwarzane wyłącznie przez osoby upoważnione na podstawie pisemnego upoważnienia ADO, czyli dyrektora szkoły.
- Dane przetwarzane są tylko wtedy, gdy wynika to z przepisów prawa lub na podstawie pisemnej zgody rodzica / pełnoletniego ucznia (zgoda na publikację osiągnięć i pozytywnego wizerunku na stronie internetowej i w materiałach informacyjnych szkoły).
- Osoby przetwarzające dane zostały zapoznane z obowiązującymi przepisami prawa oraz z polityką bezpieczeństwa i technikami zabezpieczeń.
- Osoby nieupoważnione mogą przebywać w pomieszczeniach, gdzie przetwarza się dane tylko w obecności osób upoważnionych i w warunkach zapewniających bezpieczeństwo danych.
- Dane osobowe przetwarzane są wyłącznie na terenie szkoły, nie można wynosić poza teren szkoły dokumentacji zawierającej dane osobowe.
- Wyznaczono dyżury nauczycieli odpowiadających za zamykanie na klucz szafki z dziennikami wychowawcy i wrzucanie klucza do skrzynki w sekretariacie.
- Ryzyko ze strony osób, które potencjalnie mogą w łatwiejszy sposób uzyskać dostęp do danych osobowych (np. osoby sprzątające pomieszczenia szkolne), jest minimalizowane przez zobowiązywanie ich do zachowania tajemnicy na podstawie odrębnych, pisemnych oświadczeń.
- Bieżące naprawy komputerów są dokonywane przez pracownika szkoły.
- Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest wyposażony w system monitoringu wizyjnego.
- Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi, a zbiory danych przechowuje się w zamykanych na klucz szafkach.
- Pomieszczenia, w których przetwarza się dane, powinny być zamykane na czas nieobecności pracownika zatrudnionego przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
- Każdy dokument papierowy zawierający dane osobowe przeznaczony do wyrzucenia powinien być zniszczony w sposób uniemożliwiający jego odczytanie przy pomocy niszczarki, która umożliwia cięcie poprzeczne.
- Na stanowiskach pracy, w których przetwarzane są dane osobowe zainstalowano oprogramowanie antywirusowe, poczta elektroniczna wpływająca do szkoły skanowana jest programem antywirusowym.
- System informatyczny z jakiego korzystają pracownicy szkoły pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu.
- Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji.
- Zdefiniowano użytkowników i ich prawa dostępu - dla każdego użytkownika systemu jest ustalony identyfikator i hasło.
- Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika.
- Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem wejściowym do systemu operacyjnego oraz hasłem do każdej aplikacji przy pomocy której przetwarzane są dane osobowe.
- Komputery i nośniki przenośne, pliki z danymi zabezpieczone są hasłem dostępowym lub szyfrowane.
- V. POSTANOWIENIA KOŃCOWE
- Każda osoba, upoważniona do przetwarzania danych osobowych, zobowiązana jest do zapoznania się przed dopuszczeniem do przetwarzania danych z niniejszym dokumentem oraz złożenia stosownego oświadczenie, potwierdzającego znajomość jego treści.
- Niezastosowanie się do postanowień niniejszego dokumentu i naruszenie procedur ochrony danych jest traktowane jako ciężkie naruszenie obowiązków służbowych.
Załączniki :
- Oświadczenie pracownika potwierdzające znajomość treści polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym.
- Wzór imiennego upoważnienia do przetwarzania danych osobowych w XVI Liceum Ogólnokształcącym z Oddziałami Dwujęzycznymi im. S. Sempołowskiej w Warszawie.
- Wzór upoważnienia dostępu do danych osobowych pracowników, w zakresie dotyczącym przetwarzania danych zgodnie z zakresem obowiązków i uprawnień.
- Wzór wniosku o udzielenie upoważnienia w sprawie dostępu do danych osobowych.
- Wzór zgody na zbieranie, przetwarzanie i wykorzystywanie: danych osobowych dziecka oraz jego rodzica (opiekuna prawnego). Oświadczenie rodzica/opiekuna prawnego w kwestii znajomości treści dotyczących ochrony danych osobowych.
- Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych w XVI Liceum Ogólnokształcącym z Oddziałami Dwujęzycznymi im. S. Sempołowskiej w Warszawie.