ZESPÓŁ SZKÓŁ SPECJALNYCH W MAZOWIECKIM CENTRUM REHABILITACJI Biuletyn Informacji Publicznej

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

§ 1.

Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Zespole Szkół Specjalnych
w Mazowieckim Centrum Rehabilitacji w Konstancinie - Jeziornie, określa zasady przetwarzania danych osobowych oraz środki techniczne i organizacyjne zastosowane dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa przetwarzanych danych. Polityka bezpieczeństwa dotyczy danych osobowych przetwarzanych w zbiorach manualnych oraz w systemach informatycznych.

§ 2.

Ilekroć w „Polityce Bezpieczeństwa” jest mowa o:

1. Zespole szkół – rozumie się przez to Zespół Szkół Specjalnych w Mazowieckim Centrum Rehabilitacji w Konstancinie – Jeziornie, ul. Długa 40/42,
2. Ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997r. o ochronie danych osobowych z dnia 29 sierpnia 1997r. (t.j. Dz.U. z 2002r. nr 101, poz.926 z póź.zm.)
3. danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
4. zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych
   o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
5.  przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
6.  systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
7.  zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie
   i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
8.  usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
9.  administratorze danych - rozumie się przez to Dyrektora Zespołu Szkół, decydującego
   o celach i środkach przetwarzania danych osobowych,
10.  administratorze bezpieczeństwa informacji – rozumie się przez to osobę wyznaczoną przez Administratora Danych w celu nadzorowania i przestrzegania zasad ochrony, o których mowa w ust. 1, chyba, że Administrator Danych sam wykonuje te czynności.

11. Zgodzie osoby, której te dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie – zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

§ 3.

1. Każdy z pracowników Zespołu Szkół ma prawo do ochrony dotyczących go danych osobowych.  

2. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem do:
1. Systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem;
2. Informacji zgromadzonych, przetwarzanych w formie tradycyjnej.
3. Dane osobowe w Zespole szkół są gromadzone, przechowywane, edytowane, archiwizowane w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych na dokumentach papierowych, jak również w systemach informatycznych na elektronicznych nośnikach informacji.
4. Powyższy dokument wprowadza regulacje w zakresie zasad organizacji procesu przetwarzania i odnosi się swoją treścią do informacji:
1. w formie papierowej – przetwarzanej w ramach systemu tradycyjnego
2. w formie elektronicznej – przetwarzanej w ramach systemu informatycznego
5. Z zapisami polityki bezpieczeństwa danych osobowych obowiązkowo są zapoznawani wszyscy użytkownicy systemów informatycznych i tradycyjnych.

§ 4

1. W Zespole Szkół nie wyznacza się Administratora Bezpieczeństwa Informacji. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Dyrektor jednostki, jako Administrator Danych Osobowych.

§ 5

Dane osobowe przetwarzane są w budynku Mazowieckiego Centrum Rehabilitacji w Konstancinie – Jeziornie, ul. Długa 40/42 w części zajmowanej przez Zespół Szkół, na podstawie umowy użyczenia, w poszczególnych pomieszczeniach wykazanych w załączniku nr 1.

§ 6

1. Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach, skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych poszczególnych komórek organizacyjnych Jednostki w postaci papierowej i elektronicznej.
2. Do przetwarzania zbiorów danych osobowych w systemie informatycznym Jednostki, stosowane są pakiety biurowe lub specjalistyczne programy.
3. Programy służące do przetwarzania danych osobowych w Zespole szkół: VULCAN OPTIVUM – (Kadry, Płace, Księgowość, Arkusz organizacyjny), Płatnik, SIO, Hermes.
4. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych określa załącznik nr 2 do „Polityki Bezpieczeństwa”.

§ 7.

W podmiocie dba się o to, aby dane osobowe w formie papierowej były niedostępne dla osób nieupoważnionych. Dokumenty znajdują się w pomieszczeniu zamykanym na klucz, do którego dostęp mają tylko osoby posiadające aktualne upoważnienie do przetwarzania danych osobowych.

§ 8.

1. Do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych.
2. Administrator Danych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator Danych nadaje uprawnienia pracownikom, którzy przetwarzają dane poprzez podpisanie upoważnienia, które stanowi załącznik nr 3 do „Polityki Bezpieczeństwa”.  
3. Ewidencja osób przetwarzających dane posiadających upoważnienie stanowi załącznik nr 4 do „Polityki Bezpieczeństwa”.

§ 9.

1. Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi Jednostki, winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (informacji).
2. Administrator Danych zapewnia środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
3. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych.
4. Środki ochrony, zastosowane przez ABI dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych, obejmują:
   1. środki ochrony fizycznej;
   2. środki techniczne;
   3. środki organizacyjne
   4. Zastosowane środki ochrony fizycznej pomieszczeń:
      1. drzwi do pomieszczeń zamykane na klucz,
      2. zasada czystego biurka – należy usuwać z niezabezpieczonego miejsca pracy danych osobowych w wersji papierowej oraz na elektronicznych nośnikach danych osobowych jak również stosować wygaszaczy ekranu w przypadku korzystania z urządzeń wyświetlających dane osobowe;
      3. Zasada właściwego ustawienia monitora komputerowego – należy ustawić tak monitor swojego komputera, aby danych na nim widoczne nie mogła przeczytać osoba postronna.
      4. Zasada przechowywania dokumentów w bezpiecznym miejscu – należy dbać o to, aby dokumenty przechowywane były w zamkniętych szafach lub szufladach.
      5. Zasada bezpiecznego pomieszczenia – nie należy pozostawiać bez opieki w pokoju osób trzecich.
   5. Zastosowane środki techniczne obejmują zastosowanie programu antywirusowego oraz potrzymanie zasilania komputerów przez UPS.
   6. Zastosowane środki organizacyjne obejmują utworzenie Instrukcji zarządzania systemem informatycznym.
   7. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy oraz Ustawy o ochronie danych osobowych. W odniesieniu do innych osób upoważnionych do przetwarzania danych osobowych, w sytuacji naruszeń obowiązków wynikających z niniejszego dokumentu ponieść mogą odpowiedzialność odszkodowawczą. Wszystkie osoby upoważnione do przetwarzania danych osobowych mogę ponieść odpowiedzialność karną w sytuacji naruszenia zasad określonych w niniejszym dokumencie.

§ 10.

Na wniosek osoby, której dane dotyczą, Administrator Danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji.

§ 11.

Administrator Danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych w podmiocie. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

§ 12.

Sposób zabezpieczenia oraz przetwarzania danych w systemie informatycznym reguluje Instrukcja Zarządzania Systemem Informatycznym.

§ 13.

W sprawach nieuregulowanych w niniejszej „Polityce Bezpieczeństwa” mają zastosowanie odpowiednie przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. oraz ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych, oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

§ 14.

1. Administrator Danych wyraża pełne zaangażowanie dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz wsparcie dla przedsięwzięć technicznych
   i organizacyjnych związanych z ochroną danych osobowych.

1. Polityka dotyczy wszystkich danych osobowych przetwarzanych w podmiocie, niezależnie
   od formy ich przetwarzania (zbiory ewidencyjne, systemy informatyczne) oraz od tego czy dane są lub mogą być przetwarzane w zbiorach danych.

1. Polityka ma zastosowanie wobec wszystkich komórek organizacyjnych w tym oddziałów, samodzielnych stanowisk pracy i wszystkich procesów przebiegających w ramach przetwarzania  danych osobowych.

1. Celem Polityki jest przetwarzanie zgodnie z przepisami danych osobowych przetwarzanych
   w podmiocie oraz ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą.

1. Ze względu na nieustannie zmieniające się zagrożenia przetwarzania danych o osobowych
   i zmiany prawa niniejsza polityka może być dokumentem dynamicznie zmieniającym się
   w czasie. Uaktualnienia procedur ochrony, oprogramowania i innych parametrów stosowanych przy przetwarzaniu danych osobowych znajdują na bieżąco odzwierciedlenie funkcjonalne w niniejszej Polityce.

1. Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:

a)    poufności - właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom;

b)    integralności - właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

c)    rozliczalności - właściwości zapewniającej, że działania podmiotu operującego na  danych osobowych mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

d)    ciągłości - zdolności do niezakłóconego ich przetwarzania, bez przerw uniemożliwiających ich udostępnianie osobom upoważnionym.

1. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:

a)    odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne
i rozwiązania organizacyjne;

b)    szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony;

c)    kontrolę i nadzór nad przetwarzaniem danych osobowych;

d)    monitorowanie zastosowanych środków ochrony;

e)    ciągłe śledzenie zmieniających się zagrożeń wewnętrznych i zewnętrznych, także  uwzględnianie zmieniającego się prawa;

f)     kontrolę i nadzór nad przetwarzaniem danych osobowych przez podmioty trzecie, którym dane zostały udostępnione lub powierzone.

1. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

1. Administrator Danych lub osoba przez niego upoważniona wdraża wszystkie niezbędne dokumenty wynikające z zapisów ustawy oraz innych przepisów mających zastosowania przy przetwarzaniu danych osobowych.

                                                                                                          Administrator Danych