POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W XVI LO z ODDZIAŁAMI DWUJĘZYCZNYMI im. STEFANII SEMPOŁOWSKIEJ W WARSZAWIE

PODSTAWY PRAWNE:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu tych danych oraz uchylenia dyrektywy 95/94 WE ( ogólne rozporządzenia o ochronie danych osobowych)
  2. Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2017 r. poz. 59)
  3. Ustawa z dnia 14 grudnia 2016 r. Przepisy wprowadzające ustawę – Prawo oświatowe (Dz. U. z 2017 r. poz. 60)
  4. Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2004 r. Nr 256, poz. 2572, z późn. zm.),
  5. Rozporządzenie Ministra Edukacji Narodowej z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. poz. 1170)

 

 

  1. I. POSTANOWIENIA WSTĘPNE
  2. 1. „Polityka bezpieczeństwa w zakresie przetwarzania danych osobowych w XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie”, jest dokumentem zwanym dalej polityką bezpieczeństwa, który określa zasady i procedury przetwarzania i przechowywania danych osobowych.
  3. 2. Celem niniejszego dokumentu jest podjęcie takich działań, które zapewnią pozyskiwanie i przetwarzanie danych osobowych zgodnie z przepisami prawa oraz ich maksymalną ochronę przed nieuprawnionym ujawnieniem, modyfikacją, utratą lub zniszczeniem.
  4. 3. Niniejsza polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych   w sposób tradycyjny w księgach, aktach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych.
  5. 4. Polityka bezpieczeństwa zawiera środki techniczne i organizacyjne, służące zapewnieniu ochrony przetwarzanych danych.
  6. 5. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych zatrudnionych w XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie.
  7. II. DEFINICJE

administrator danych osobowych – rozumie się przez to osobę, ustalającą cele i sposoby przetwarzania danych. W XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie funkcję administratora danych pełni dyrektor szkoły;

inspektor ochrony danych – rozumie się przez to osobę, której zadaniem będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych. W XVI LO z Oddziałami Dwujęzycznymi im. Stefanii Sempołowskiej w Warszawie funkcję inspektora pełni osoba zatrudniona przez organ prowadzący;

dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

zbiór danych – zestaw danych osobowych posiadający określoną strukturę, prowadzony wg określonych kryteriów oraz celów;

przetwarzanie danych – wykonywanie jakichkolwiek operacji na danych osobowych, np. zbieranie, utrwalanie, opracowywanie, udostępnianie, zmienianie, usuwanie;

hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

identyfikator użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (login),

osoba upoważniona do przetwarzania danych osobowych – rozumie się przez to pracownika szkoły, który upoważniony został do przetwarzania danych osobowych przez dyrektora szkoły na piśmie;

poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;

sieć publiczna – rozumie się przez to sieć telekomunikacyjną, wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;

system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

III. ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH

 

  1. Administrator danych osobowych (ADO) - dyrektor szkoły :
  2. podejmuje decyzje o celach i środkach przetwarzania danych osobowych,
  3. udziela upoważnień do przetwarzania danych osobowych oraz je odwołuje,
  4. podpisuje umowy przetwarzania danych w imieniu administratora przez podmiot przetwarzający (np. dziennik elektroniczny)
  5. prowadzi dokumentację z zakresu ochrony danych, w tym rejestr przetwarzania danych,
  6. odpowiada za bezpieczne przetwarzanie danych,
  7. dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem,
  8. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych.
  9. 2. Osoba upoważniona do przetwarzania danych.
  10. może przetwarzać dane osobowe wyłącznie w celu wykonywania nałożonych obowiązków. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych;
  11. musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji;
  12. zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych;
  13. stosuje określone przez administratora danych procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych;
  14. korzysta z systemu informatycznego administratora danych w sposób zgodny ze wskazówkami zawartymi w instrukcji obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników;
  15. zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.

 

  1. IV. ŚRODKI TECHNICZNE I ORGANIZACYJNE OCHRONY DANYCH OSOBOWYCH
  2. Została opracowana i wdrożona polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym.
  3. Dane są przetwarzane wyłącznie przez osoby upoważnione na podstawie pisemnego upoważnienia ADO, czyli dyrektora szkoły.
  4. Dane przetwarzane są tylko wtedy, gdy wynika to z przepisów prawa lub na podstawie pisemnej zgody rodzica / pełnoletniego ucznia (zgoda na publikację osiągnięć i pozytywnego wizerunku na stronie internetowej i w materiałach informacyjnych szkoły).
  5. Osoby przetwarzające dane zostały zapoznane z obowiązującymi przepisami prawa oraz z polityką bezpieczeństwa i technikami zabezpieczeń.
  6. Osoby nieupoważnione mogą przebywać w pomieszczeniach, gdzie przetwarza się dane tylko w obecności osób upoważnionych i w warunkach zapewniających bezpieczeństwo danych.
  7. Dane osobowe przetwarzane są wyłącznie na terenie szkoły, nie można wynosić poza teren szkoły dokumentacji zawierającej dane osobowe.
  8. Wyznaczono dyżury nauczycieli odpowiadających za zamykanie na klucz szafki z dziennikami wychowawcy i wrzucanie klucza do skrzynki w sekretariacie.
  9. Ryzyko ze strony osób, które potencjalnie mogą w łatwiejszy sposób uzyskać dostęp do danych osobowych (np. osoby sprzątające pomieszczenia szkolne), jest minimalizowane przez zobowiązywanie ich do zachowania tajemnicy na podstawie odrębnych, pisemnych oświadczeń.
  10. Bieżące naprawy komputerów są dokonywane przez pracownika szkoły.
  11. Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest wyposażony w system monitoringu wizyjnego.
  12. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi, a zbiory danych przechowuje się w zamykanych na klucz szafkach.
  13. Pomieszczenia, w których przetwarza się dane, powinny być zamykane na czas nieobecności pracownika zatrudnionego przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
  14. Każdy dokument papierowy zawierający dane osobowe przeznaczony do wyrzucenia powinien być zniszczony w sposób uniemożliwiający jego odczytanie przy pomocy niszczarki, która umożliwia cięcie poprzeczne.
  15. Na stanowiskach pracy, w których przetwarzane są dane osobowe zainstalowano oprogramowanie antywirusowe, poczta elektroniczna wpływająca do szkoły skanowana jest programem antywirusowym.
  16. System informatyczny z jakiego korzystają pracownicy szkoły pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu.
  17. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji.
  18. Zdefiniowano użytkowników i ich prawa dostępu - dla każdego użytkownika systemu jest ustalony identyfikator i hasło.
  19. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika.
  20. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem wejściowym do systemu operacyjnego oraz hasłem do każdej aplikacji przy pomocy której przetwarzane są dane osobowe.
  21. Komputery i nośniki przenośne, pliki z danymi zabezpieczone są hasłem dostępowym lub szyfrowane.
  1. V. POSTANOWIENIA KOŃCOWE
  2. Każda osoba, upoważniona do przetwarzania danych osobowych, zobowiązana jest do zapoznania się przed dopuszczeniem do przetwarzania danych z niniejszym dokumentem oraz złożenia stosownego oświadczenie, potwierdzającego znajomość jego treści.
  3. Niezastosowanie się do postanowień niniejszego dokumentu i naruszenie procedur ochrony danych jest traktowane jako ciężkie naruszenie obowiązków służbowych.

Załączniki :

  1. Oświadczenie pracownika potwierdzające znajomość treści polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym.
  2. Wzór imiennego upoważnienia do przetwarzania danych osobowych w XVI Liceum Ogólnokształcącym z Oddziałami Dwujęzycznymi im. S. Sempołowskiej w Warszawie.
  3. Wzór upoważnienia dostępu do danych osobowych pracowników, w zakresie dotyczącym przetwarzania danych zgodnie z zakresem obowiązków i uprawnień.
  4. Wzór wniosku o udzielenie upoważnienia w sprawie dostępu do danych osobowych.
  5. Wzór zgody na zbieranie, przetwarzanie i wykorzystywanie: danych osobowych dziecka oraz jego rodzica (opiekuna prawnego). Oświadczenie rodzica/opiekuna prawnego w kwestii znajomości treści dotyczących ochrony danych osobowych.
  6. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych w XVI Liceum Ogólnokształcącym z Oddziałami Dwujęzycznymi im. S. Sempołowskiej w Warszawie.